Será que a Internet das Coisas é a porta traseira para hackear a sua casa?

A nova porta da casa

Toda casa tem muitos lugares por onde criminosos podem entrar. Do sistema de segurança do portão eletrônico às paredes, tudo se pode hackear hoje em dia. Nenhuma fechadura (física) é perfeita, todos têm um ponto ou um sistema que pode ser aberto. E o mesmo vale para o cabo de internet, se a senha não é forte é fácil de sermos roubados.

Qualquer porta pode ser a de trás

Atualmente quase todos os aparelhos podem ser ligados à Internet. Desde a smart TV que ocupa o centro da sala, até geladeiras e máquinas de lavar que podem enviar informações para o celular sem que estejamos sequer em casa. A casa inteligente não é tão popular no Brasil, mas a indústria vem lançado cada vez mais produtos neste estilo e, em um futuro não tão distante, você estará comprando uma geladeira com acesso à rede. O nome disso é Internet das Coisas - falamos sobre ela o dia todo aqui no site.

Segurança no mundo físico é algo que conhecemos e faz parte do senso comum, mas não podemos dizer o mesmo sobre a segurança na Internet. É bastante claro para mim que você nunca vai deixar a sua bicicleta na rua sem colocar um cadeado, mas por outro lado, manter o roteador de casa com a senha que veio junto na hora da compra aposto que você ou algum conhecido o fazem. Neste caso, o que nos falta é conhecimento tecnológico, mas ainda assim podemos nos proteger.

Na Internet das Coisas temos produtos prontos, que precisamos apenas conectar à tomada e sair usando. Porém, também existe os chamados "faça você mesmo" (da sigla inglesa DIY - Do It Yourself). Desde a Raspberry Pi (ou Raspi) até às câmeras de segurança, todos são ligados à Internet, mas oferecem riscos diferentes.

Se você comprar um dispositivo pronto, que se conecta à Internet, precisamos de um software seguro desenvolvido pela fabricante, e não precisamos nos preocupar com as atualização assim enquanto estiverem disponíveis, como um smartphone, por exemplo.

Agora, se você é quem construiu um dispositivo, terá mais preocupações que apenas atualizar o software. Se você usa, por exemplo, uma Raspi para acessar seu disco rígido remotamente, e instalou o software padrão sem criar um novo usuário, ou nem mesmo alterar a senha padrão do router de acesso à internet, saiba que você acaba de abrir aquilo que chamamos de backdoor, ou a porta traseira para que alguém entre rapidamente no seu sistema e, entre outras coisas, acesse seus dados pessoais.

O hack da sua casa

Os dispositivos IoT se conectam à Internet e pode ser acessados por todos. Com o Shodan (um buscador de dispositivos) é possível encontrar qualquer dispositivo IoT, até mesmo os que apresentam as vulnerabilidades que citei acima. Isto nos dá uma ideia da acessibilidade desses dispositivos, para mim, para você e qualquer outra pessoa que se proponha a encontrá-los.

Portanto, devemos estar preocupados com a segurança dos dispositivos que compramos e nós conectados em casa. Isso também vai depender em grande parte do grau de maturidade tecnológica do fabricante do dispositivo.

Alguns exemplos de hacking em residências

Nos últimos tempos, tudo o que temos está ligado à Internet. Existem atualmente mais de 7 bilhões de dispositivos conectados à internet, e muitos outros conectados à rede Wi-Fi, Bluetooth, NFC, etc. As conexões destes dispositivos são a porta de entrada para explorar vulnerabilidades em seus softwares e assumir o controle dos mesmos.

Em 21 de outubro de 2016, o maior provedor do mundo de DNS, Dyn, sofreu um DDoS (ataque distribuído por negação de serviço) de uma botnet de milhões de dispositivos da IoT. Isto é, todos estes milhões de dispositivos queriam entrar nas páginas da web geridas pela Dyn que teve um colapso dos seus servidores, deixando as empresas como o Twitter, GitHub, PayPal, Amazon, Reddit, Netflix e Spotify sem serviço.

Outro exemplo de hacking de dispositivos IoT pudemos ver há algumas semanas em um dos escritórios da Oracle. Graças a um robô que pode enviar um sinal para um certo número de lâmpadas inteligentes para repetir um código Morse de S.O.S.

As câmaras de segurança ligadas à Internet, por vezes, podem não ser assim tão seguras como deveriam. Em 2014, 73 mil câmeras de segurança em todo o mundo foram hackeadas e parte das imagens que continham nelas foram publicadas. Recentemente, tivemos uma câmera de segurança hackeada em apenas 98 segundo. O dispositivo em questão havia custado 55 dólares.

8/x: Actually, it took 98 seconds for first infection pic.twitter.com/EDdOZaEs0V

— Rob Graham (@ErrataRob) 18 de noviembre de 2016

Talvez você lembre deste último exemplo. Em 2014, uma equipe de engenheiros especializados em segurança da informação (os verdadeiros hackers), conseguiu assumir o controle de um jipe, em uma rodovia. O curiosos foi ver que a fabricante Jeep demorou para oferecer uma solução aos clientes, visto que levou meses para atualizar os carros.

Como se proteger de um hacking na sua residência

Há centenas de empresas que se preocupam com a segurança na IoT, como a Cisco ou o Google. Contudo, como em alguns exemplos citados aqui, podemos ver que o hacking não é coisa de filme de ação de Hollywood. Assim, confira algumas dicas de segurança para dispositivos IoT e tudo o que se conecta à internet (incluindo smartphones):

• Antes de comprar um aparelho certifique-se de que a fabricante poderá lidar com as vulnerabilidades de forma rápidas e com atualizações mensais de segurança;
• Altere os nomes de usuário e as senhas padrão. Isso é básico;
• Desative a Universal Plug-and-Play (UPnP), que traduzindo seria colocar na tomada e ligar, uma vez que cria diretamente uma buraco na segurança das conexões do roteador;
• Desative o Remote Management Protocol do seu roteador, especialmente se for feito via Telnet que normalmente é uma via de infecção para o malware Mirai;
• Mantenha o software do seu dispositivo sempre atualizado e com os devidos patches de segurança;
• Opcional: compre um dispositivo de firewall que pode impedir ataques.

Você possui dispositivos IoT em casa? Deixe seu comentário abaixo.