A Internet das Coisas (IoT), como qualquer tecnologia em rápido desenvolvimento, está enfrentando uma série de "doenças do crescimento", entre as quais a mais séria é o problema de segurança. Quanto mais dispositivos "inteligentes" estiverem conectados à rede, maiores serão os riscos associados ao acesso não autorizado ao sistema de IoT e ao uso de seus recursos pelos atacantes. Hoje, os esforços de muitas empresas e organizações no campo da TI visam encontrar soluções que minimizem as ameaças que impedem a implementação completa da IoT.
Inteligente, mas vulnerável
O desenvolvimento do conceito de Internet das coisas e sua implementação em vários campos prevê a presença de dezenas de bilhões de dispositivos independentes. Segundo o portal
Statista, em 2017 já existem mais de 20 bilhões e, até 2025, são esperados pelo menos 75 bilhões, todos conectados à rede e transmitindo dados correspondentes à sua funcionalidade. Dados e funcionalidade são alvos para atacantes, o que significa que eles devem ser protegidos.
Para dispositivos IoT, a segurança consiste principalmente na integridade do código, autenticação de usuários (dispositivos), estabelecimento de direitos de propriedade (incluindo os dados gerados por eles) e a capacidade de repelir ataques físicos e virtuais. Mas, na verdade, a maioria dos dispositivos de IoT que estão funcionando hoje não estão equipados com recursos de segurança, eles têm interfaces de controle externas, senhas padrão, ou seja, possuem todos os sinais de vulnerabilidade da Web.
Ainda nos lembramos dos eventos de um ano atrás, quando a botnet Mirai, ao selecionar combinações de logons e senhas padrão, invadiu um grande número de câmeras e roteadores, que mais tarde foram usados para um poderoso ataque DDoS nas redes de provedores de correios do Reino Unido, Deutsche Telekom, TalkTalk, KCOM e Eircom. Nesse caso, o “bootforce” dos dispositivos IoT foi realizado usando o Telnet, e os roteadores foram invadidos pela porta 7547 usando os protocolos TR-064 e TR-069.
Mas o mais ressonante, talvez, foi o ataque que colocou o operador de DNS DYN, e com ele quase a "meia Internet" dos Estados Unidos. Para o ataque à botnet, a maneira mais fácil foi usada através dos logins e senhas padrão do dispositivo.
Esses eventos demonstraram claramente as lacunas nos sistemas de IoT e a vulnerabilidade de muitos dispositivos inteligentes. É claro que falhas nos relógios inteligentes ou nos rastreadores de fitness de uma pessoa não causarão muito dano, exceto a frustração de seus proprietários. Mas os dispositivos de IoT que fazem parte dos sistemas e serviços M2M, em particular, são integrados à infraestrutura crítica, estão repletos de consequências imprevisíveis. Nesse caso, o grau de sua segurança deve corresponder à importância dessa ou daquela infraestrutura: transporte, energia ou outra, da qual dependem a atividade vital das pessoas e o trabalho da economia. Também no nível doméstico - falhas e ataques no mesmo sistema residencial “inteligente” podem levar a comunidades locais ou outras situações de emergência e perigosas.
Obviamente, as ameaças à infraestrutura também existiam nos tempos anteriores à Internet - por exemplo, devido aos mesmos desastres naturais ou aos erros dos designers. No entanto, com o advento de dispositivos conectados à rede, outro foi adicionado, e provavelmente uma ordem de magnitude mais séria - um ataque cibernético.
Certificação de dispositivo
O problema de segurança existente dos dispositivos IoT não surgiu devido à estupidez técnica ou descuido de seus desenvolvedores. Aqui os ouvidos se atêm a um cálculo sóbrio: a velocidade de entrada no mercado oferece uma vantagem sobre os concorrentes, embora não por muito tempo, e mesmo devido ao baixo limiar de segurança.
A maioria dos fabricantes não se preocupa em gastar tempo e dinheiro desenvolvendo e testando os códigos e sistemas de segurança de seus produtos "inteligentes".
Uma maneira de levá-los a reconsiderar sua atitude em relação à segurança de seus produtos de IoT é a certificação. A ideia não é nova, mas ainda merece atenção, pelo menos essa é pelo menos uma maneira de resolver o problema. O procedimento de certificação para dispositivos IoT não deve ser burocrático e fornecer ao comprador uma garantia de que ele possui um certo grau de proteção contra ataques de hackers. Para começar, a necessidade de um certificado de segurança pode ser indicada ao realizar compras corporativas e estaduais.
Hoje, várias empresas privadas também estão envolvidas em questões de certificação. Em particular, a Online Trust Alliance (OTA) tomou a iniciativa de abordar a segurança da IoT no nível estadual e do fabricante, lançando o
IoT Trust Framework , uma lista de critérios para desenvolvedores, fabricantes de dispositivos e provedores de serviços que buscam melhorar sua segurança, privacidade e ciclo de vida. Produtos de IoT. Antes de tudo, ele é focado em dispositivos domésticos, de escritório e portáteis conectados e é um tipo de código de conduta de recomendação e a base de vários programas de certificação e avaliação de risco.
Este ano, a divisão independente da Verizon, ICSA Labs,
lançou um programa de testes de segurança e certificação de dispositivos IoT. De acordo com seus desenvolvedores, é um dos primeiros do gênero e está testando componentes como notificação / log, criptografia, autenticação, comunicação, segurança física e segurança de plataforma. Os dispositivos certificados serão marcados com uma marca de aprovação especial do ICSA Labs, indicando que foram testados e as vulnerabilidades descobertas foram corrigidas. Os dispositivos certificados também serão monitorados e testados periodicamente durante todo o seu ciclo de vida para manter sua segurança.
Por sua vez, o
programa de teste e certificação UL Cybersecurity Assurance (CAP) visa garantir a segurança de produtos e sistemas. A certificação CAP certifica que um produto ou sistema fornece um nível razoável de proteção contra riscos que podem resultar em acesso, alteração ou falha não intencional ou não autorizada. Além disso, o CAP também confirma que patches futuros, atualizações ou novas versões de software de um produto ou sistema certificado não reduzirão o nível de proteção que existia no momento da avaliação.
No entanto, muitos especialistas em segurança da IoT acreditam que o maior benefício desses programas de certificação será ao testar não apenas um dispositivo específico, mas todo o ecossistema: sua infraestrutura, aplicativos etc. Afinal, um dispositivo IoT testado e seguro também pode falhar durante a interação dentro do sistema.
Tendo vantagens inegáveis para o desenvolvimento da IoT, os programas de certificação têm um lado negativo. O simples fato de passar no dispositivo de teste e a disponibilidade de um certificado não podem ser uma garantia de 100% de sua segurança, porque, muito provavelmente, ele ainda possui certas falhas. A fé excessiva em um certificado de segurança pode ser um truque para usuários que têm necessidades individuais e vários aplicativos para seus dispositivos, o que significa seus próprios riscos e ameaças. E, claro, a possibilidade de abuso não está excluída. Certamente existem fabricantes que pagarão pela "quase certificação", perseguindo objetivos puramente comerciais.
Parece que uma solução global para o problema de segurança por meio da certificação exige uma solução unificadora, um incentivo comum a todos os fabricantes para produzir dispositivos seguros e os consumidores a não comprar aqueles cuja segurança não é confirmada por nada. O que deveria ser - legislativo, econômico ou punitivo - ainda não foi decidido. Por fim, o resultado deve ser a segurança do sistema global de IoT.
Tecnologia Blockchain
A segurança da Internet das coisas foi uma das primeiras áreas de uso da tecnologia blockchain. Graças à tecnologia do registro distribuído, tornou-se possível fornecer um alto nível de segurança para dispositivos IoT na rede e eliminar as restrições e riscos existentes para a IoT associados à centralização.
Ele permite que você salve com rapidez e segurança os protocolos de troca e os resultados da interação de vários dispositivos de IoT em um sistema descentralizado. É a arquitetura distribuída do blockchain que garante a segurança suficientemente alta de todo o sistema IoT. Mas se alguns dos dispositivos de rede ainda estiverem sujeitos a hackers, em geral, isso não afetará a operação geral do sistema. O uso mencionado por botnets de dispositivos "inteligentes" trabalhando em sistemas de IoT tornou-se possível devido à sua fraca segurança. O tipo de confiança distribuído permite que você se livre de um dispositivo invadido sem causar danos visíveis a todo o modelo de interação entre objetos "íntegros".
No contexto de segurança, hoje o blockchain pode ser usado em várias áreas nas quais a Internet das coisas está se desenvolvendo mais intensamente. Por exemplo, trata-se de gerenciamento de autenticação, verificando a integridade de vários serviços, garantindo a indivisibilidade de informações e outros. No início do ano, várias empresas líderes, incluindo Cisco, BNY Mellon, Bosch, Foxconn e várias outras, formaram um
consórcio que encontrará soluções para usar o blockchain para aumentar a segurança e melhorar a interação dos produtos IoT. A principal tarefa que seus membros definiram para si mesmos é o desenvolvimento com base na tecnologia blockchain de um banco de dados distribuído e um protocolo para a troca de informações entre dispositivos IoT.
Observe que em janeiro de 2017, o DHS EUA começou a usar a tecnologia blockchain para proteger, transmitir e armazenar dados coletados pelo departamento de câmeras de vigilância por vídeo e vários sensores de monitoramento. A tecnologia também está sendo testada pela DARPA, uma divisão do Departamento de Defesa dos EUA que supervisiona o desenvolvimento de novas tecnologias para o exército. Além disso, uma das agências que conduzem pesquisas sob o teto do Pentágono assinou um contrato no valor de vários milhões de dólares com a empresa de software Galois, que está desenvolvendo segurança no campo da blockchain.
Hoje já é óbvio que será difícil perceber todas as possibilidades que o conceito de IoT pode oferecer aos usuários sem resolver problemas de segurança e privacidade. Os métodos acima para proteger a IoT, é claro, não são exaustivos; muitos grupos, empresas e entusiastas estão trabalhando em uma solução para o problema. Mas, acima de tudo, um alto nível de segurança para dispositivos IoT deve ser a principal preocupação de seus fabricantes. A proteção confiável deve inicialmente fazer parte das funções do produto e se tornar uma nova vantagem competitiva para fabricantes e fornecedores de soluções complexas de IoT.