“Alexa, ligue as luzes da cozinha”. “Ok Google, abra a porta da garagem”. “Siri, ativar o climatizador de ar”. Esses são só alguns exemplos de coisas que entusiastas de automação residencial podem falar em seu cotidiano — afinal, a explosão do mercado de Internet das Coisas (IoT) não causou um aumento apenas no uso de dispositivos inteligentes em ambientes profissionais, mas também dentro de nossas próprias residências.
Impulsionada sobretudo justamente pela acessibilidade desse trio de assistentes pessoais, cada vez mais presentes em smartphones (além de smart speakers próprios), a prateleira de quinquilharias que se conectam à sua rede Wi-Fi doméstica aumenta a cada dia. Lâmpadas, fechaduras, motores para portões de garagem, sensores de presença, câmeras de segurança, acionadores de persianas, adaptadores de tomada… Ufa!
A lista é extensa, e, com tais produtos ficando mais baratos e acessíveis, é compreensível vislumbrar um usuário comum querendo pelo menos ligar e desligar as luzes da sua casa com um simples comando de voz. O que pouco se fala — e todos deveriam saber — é que essa gama de gadgets também trazem riscos à informação no ambiente residencial, com ameaças cibernéticas que até mesmo respingam na proteção de dados corporativos.
Alexa, qual é a vulnerabilidade de hoje?
O cenário é simples: assim como acontece com sensores inteligentes focados em uso corporativo, dispositivos IoT de apelo doméstico costumam ser fabricados por empresas de origem duvidosa, com firmwares próprios e muitas vezes sem as devidas preocupações com cibersegurança. Muitos deles já saem de fábrica com vulnerabilidades graves que, caso exploradas, podem ser usadas por cibercriminosos para ataques cibernéticos.
Lembre-se: um “smart device”, para funcionar, comunica-se com a internet através do roteador que provê a rede sem fio usada em seu celular ou notebook. Ou seja, mesmo que você tenha bons hábitos de segurança com seus dispositivos móveis, um ator malicioso ainda pode invadir a sua rede doméstica e atacar diretamente o roteador usando brechas desses aparelhos que, no fim das contas, também estão conectados à web.
A situação se agrava ainda mais quando o gadget IoT possui conectividade própria através de um chip 5G. Nestes casos, torna mais difícil ainda controlá-lo, já que seu ponto de entrada é uma rede móvel extensa e global, fora do controle da rede doméstica; porém, em algum momento de seu ciclo de funcionamento, ele faz uma ponte entre esse “mundo exterior” e a rede doméstica, trazendo consigo ameaças ainda mais preocupantes.
Ok Google, me explique os riscos
Embora muitas vulnerabilidades em dispositivos IoT estejam embutidas em seu próprio firmware, várias outras se encontram na forma com a qual o produto se comunica com outros aparelhos, incluindo seu smartphone. Isso inclui não apenas o Wi-Fi e a mundialmente famosa tecnologia Bluetooth, mas também um protocolo que está se tornando cada vez mais popular no IoT doméstico: o ZigBee.
Em poucas palavras, o ZigBee nada mais é do que um tipo de rede sem fio local (podendo assim ser considerada uma WLAN — Wireless Local Area Network) que utiliza uma infraestrutura separada para “desafogar” seu Wi-Fi e permitir que os dispositivos inteligentes se comuniquem entre si de forma rápida, simples e energeticamente eficiente. Ela possui curto alcance (cerca de 100 metros) e pode ou não precisar de um hub controlador.
Embora essa informação não seja publicizada para o consumidor leigo, uma parcela gigantesca dos aparelhos IoT vendidos hoje no mercado (principalmente aqui no Brasil!) utilizam o ZigBee. O problema é que ele também possui várias vulnerabilidades. A equipe de pesquisadores da Payatu fez uma análise aprofundada sobre o protocolo e conceitualizou diversos ataques assustadores e possíveis de serem aplicados.
Em um dos cenários hipotéticos, só para exemplificar, o atacante seria capaz de roubar a chave secreta de segurança de um aparelho IoT e se infiltrar na rede, já que tal chave pode ser, em alguns casos, transmitida pelo ZigBee em texto simples sem criptografia. Outros ataques possíveis incluem a transmissão de cabeçalhos em excesso para causar uma espécie de esgotamento energético nos aparelhos ou até interferir na rede em si.
Siri, hoje eu vou trabalhar em casa
Ok, até aí, dá para relevar (na verdade não, mas…), né? O grande problema é que, além de todas essas ameaças representarem um risco enorme à sua privacidade pessoal, elas também podem respingar no ambiente corporativo. Afinal, a adoção de políticas de BYOD (bring your own device) só aumenta, assim como o modelo de trabalho híbrido ou remoto, no qual o colaborador usa sua própria rede Wi-Fi para trabalhar.
Isso significa que, mesmo se o seu roteador doméstico estiver configurado adequadamente, essas invasões através de dispositivos inteligentes podem abrir portas para que um cibercriminoso coloque suas mãos em sistemas, aplicações e documentos corporativos — tudo sem que o usuário sequer perceba que existe um “intruso” na sua rede.
Educação, sensibilização e muito bom senso!
Todos nós já sabemos que proteger dispositivos IoT é algo difícil; muitas vezes, impossível. Nosso objetivo aqui não é propor a proibição da automação residencial, mas sim incentivar reflexões: você realmente precisa de um termômetro inteligente? Aquele dispenser de ração para o seu pet necessita se comunicar com a internet? Verificou a procedência de um gadget e a reputação de sua fabricante antes de adquiri-lo?
O mercado de IoT veio para ficar e não há como escapar dele. Podemos, porém, aproveitá-lo com cautela e responsabilidade — e, claro, a conscientização do usuário sobre riscos à segurança da informação é algo crucial.
Para um programa de educação eficiente e com alto engajamento, você pode contar com a Eskive, que possui 14 anos de experiência e uma metodologia proprietária para garantir uma excelente jornada de aprendizagem. Fale conosco!
