Facebook
Google
Twitter
Aviões que somem misteriosamente do radar, equipamentos de hospitais que se desligam de forma remota matando pacientes, veículos descontrolados pelas ruas ou uma inocente montanha-russa que se transforma em um brinquedo assassino. Casos como esses costumam ser apresentados no seriado norte-americano CSI Cyber, em que a atriz Patricia Arquette lidera uma equipe do FBI (Federal Bureau of Investigation) especializada em crimes cibernéticos. São todos exemplos de como o poder da tecnologia aliado ao submundo pode afetar pessoas, empresas e países.
Apenas ficção? Nem tanto. Muitos dos episódios do CSI Cyber foram baseados em crimes cibernéticos reais em evolução - na verdade, depois que alguns episódios foram ao ar, situações semelhantes às relatadas aconteceram. Quem garante é Mary Aiken, ciberpsicóloga e PhD em Ciberpsicologia Forense, cujo trabalho inspirou a produção dos episódios. "Todos os riscos que destacamos são plausíveis", afirma ela, que também é Conselheira Acadêmica do Centro de Cibercrime Europeu (EC3) da Europol. No centro desse aumento exponencial dos riscos está a Internet das Coisas (IoT), tecnologia que deverá movimentar US$ 11 trilhões até 2025, segundo a Fundação Getulio Vargas (FGV). Imagine controlar um mundo com 100 bilhões de dispositivos inteligentes conectados, desde residências, semáforos, aparelhos médicos em hospitais, máquinas em fábricas e carros?
"Um ataque cibernético na IoT tem um potencial de danos muito maior do que tudo o que vimos até hoje", revela o doutor em Engenharia da Computação e membro sênior do Instituto de Engenheiros Eletricistas Eletrônicos (IEEE) Augusto Fröhlich. Trata-se de uma tecnologia revolucionária, mas que está sendo construída muito rapidamente e com as mesmas bases da internet original. Isso significa que está exposta aos tradicionais ataques do passado, como os que chegavam aos computadores pessoais e servidores, mas também a todas as novas ameaças que chegam com esse mundo interligado.
O ataque de ransomware (que criptografa as máquinas e exige um pagamento para liberação dos arquivos) que ocorreu há poucos dias e tirou do ar empresas públicas e privadas de mais de 70 países é mais um exemplo da força dos golpes virtuais que estão vindo aí. "A situação é preocupante, porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros", explica Marco Ribeiro, líder da prática de gestão de risco de TI da Protiviti, consultoria global especializada em gestão de riscos e segurança. Segundo o especialista, são abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para promover outras invasões.
Dentro dessa nova realidade, sistemas de automação residencial permitirão que um consumidor, antes mesmo de chegar em casa, possa enviar mensagem para que os próprios dispositivos realizem ações para abrir os portões, desligar alarmes, preparar o banho quente, colocar música ambiente e alterar a temperatura da casa. No setor privado, rastreamento de carga, agricultura de precisão e gerenciamento de energia e ativos são algumas das possibilidades.
Mas existe o outro lado da moeda. O professor e pesquisador do Centro de Tecnologia e Sociedade da FGV Direito Eduardo Magrani comenta que transformar um objeto analógico em inteligente, além de encarecer o produto e deixá-lo sujeito a falhas que não teria a priori, pode gerar riscos em relação à segurança e à privacidade. "É importante pensarmos que tipo de tecnologias e objetos inteligentes devemos incentivar", observa Magrani. Governos, corporações, fornecedores e consumidores ainda estão longe de perceber os riscos que estão correndo. "Os pesquisadores das universidades, dos centros de pesquisa e das empresas estão trabalhando arduamente para minimizar os efeitos colaterais disso, mas o mercado não parece querer esperar", completa Fröhlich.
O CEO da Aker, Rodrigo Fragola, acredita que medidas só serão tomadas efetivamente quando algo mais sério acontecer. "A tendência é que só deem atenção efetiva quando os criminosos começarem a desligar remotamente marca-passos, desprogramar sinais de trânsito ou bloquear a tarifação de trens", acredita. O fato é que, cada vez mais, as empresas consideram os enormes benefícios das novas tecnologias, como IoT, Big Data, Cloud e Mobilidade; mas também devem saber que atalhos e simplificações na implantação virão acompanhadas de ameaças cibernéticas altíssimas, como de espionagem industrial.
"Antes, para atacar um mainframe, o cibercriminosos miravam a máquina; hoje eles podem apenas chegar pelo celular de um funcionário e entrar na rede corporativa", exemplifica Fragola. O mercado de segurança está no meio de um furacão, pois saiu de um cenário com poucos fornecedores de produtos e protocolos, quando era possível ter um nível de proteção razoável, para um mundo com uma infinidade de novas aplicações, padrões e pontos de controle. "A IoT vai ser a visão do inferno", projeta.
Hoje, quase tudo em uma empresa está conectado à internet e, portanto, deve ser protegido. Vanessa Pádua, especialista em segurança da (ISC)² - organização associativa internacional sem fins lucrativos que tem como objetivo inspirar um mundo cibernético seguro - comenta que é preciso avaliar a arquitetura da rede como um todo. Assim, se um bot for instalado em algum dispositivo, não irá contaminar os demais. "É preciso conter a ameaça dentro de uma área delimitada, ter mais visibilidade do tráfego e, assim, conseguir controlar tudo", sugere.
Fröhlich acredita que o risco das grandes corporações é menor, pois, em geral, usam suas próprias cloud e costumam ter as suas redes de IoT isoladas da internet. Com isso, conseguem ter um grande avanço na otimização de recursos, incluindo energia e matéria-prima, com um aumento de qualidade e redução de custos. "O grande problema são as empresas sem histórico de pesquisa ou de desenvolvimento tecnológico, que acham que podem conectar suas máquinas a uma rede Wi-Fi e obter o mesmo resultado. Estas, certamente, estarão muito vulneráveis", sinaliza.
Vida privada é ameaçada por invasão de dispositivos
Televisão, geladeira, máquina de lavar roupa, travesseiro e relógio eram objetos inofensivos até bem pouco tempo. Quando passaram a incorporar sensores que os conectam à rede mundial, tudo mudou. Ao armazenar dados importantes dos usuários, como hábitos de vida e a sua localização, esses equipamentos passaram a colocar em risco a privacidade das pessoas. "Se o usuário olhar o seu extrato bancário e perceber que lhe roubaram R$ 1 mil, o banco detecta a fraude e o ressarce. Mas se invadirem o videogame e pegarem fotos comprometedoras, vão atingir diretamente a pessoa", exemplifica o CEO da Aker, Rodrigo Fragola.
Todos esses itens conectados fazem com que o volume de tráfego de dados em uma residência seja o equivalente ao de uma empresa de porte médio há 10 anos. Porém, o orçamento de segurança não chega nem perto do dispendido pelas corporações. É possível que alguém esteja sendo monitorado enquanto assiste um filme na sua Smart TV. O mesmo pode ocorrer com a câmera do computador - ou você acha que é a toa que o fundador e CEO do Facebook, Mark Zuckerberg, usa uma fita adesiva na câmera e no microfone do seu notebook?
Os riscos estão em praticamente todos os equipamentos conectados que os consumidores possuem em suas casas. Entre 2011 e 2012, por exemplo, mais de 4 milhões de modens de sete diferentes fabricantes foram atacados no mundo. O DNS foi alterado e, com isso, os criminosos passaram a controlar a navegação dos usuários, direcionando-os para onde queriam, como sites falsos de bancos. Mesmo com antivírus atualizado e o computador livre de ameaças, as pessoas estão sendo monitoradas porque o modem e o roteador estavam infectados.
O mesmo já aconteceu com câmeras de segurança, que foram invadidas, infectadas e passaram a ser usadas para realizar ataques de negação de serviço em 2016. Com isso, sites de grandes empresas acabaram caindo no ano passado. "Controlando todos esses dispositivos, os cibercriminosos passam a ter acesso a uma quantidade enorme de banda e podem tirar um país do ar. É uma realidade assustadora e vai continuar aumentando", projeta o analista sênior de segurança da Kaspersky no Brasil, Fabio Assolini.
Muitos dos problemas relacionados à IoT se devem ao fato de que os fabricantes que fornecem essas soluções, em geral, não são especializados em software. As empresas se focam em oferecer conectividade, mas não têm experiência e nem interesse em investir para deixá-los mais seguros. Sem falar que, com a explosão da demanda por objetos conectados, as empresas vivem a pressão de lançar rapidamente os produtos. "Desenvolver software seguro nem sempre combina com desenvolver software rápido", sugere Fragola.
O outro lado da moeda são os consumidores, que não estão conscientes e atentos o suficiente para essa tema. Deixar de trocar a senha padrão dos equipamentos que adquirem nas lojas, como um roteador ou televisor inteligente, é um erro básico e que facilita muito a vida do criminoso.
Ciberpsicóloga alerta para riscos da desinibição on-line
Ficção ajuda a entender riscos, diz Mary
/ARQUIVO PESSOAL/DIVULGAÇÃO/JC
Estudar o impacto da tecnologia no comportamento humano ou, como ela costuma dizer, onde os humanos e a tecnologia colidem, tem sido uma das missões de Mary Aiken. Diretora da Cyberpsychology Research Network e uma das ciberpsicólogas forenses mais respeitadas do mundo, ela mora na Irlanda, mas tem uma atuação global. É professora associada adjunta na University College Dublin e Conselheira Acadêmica do Centro Europeu de Delito Cibernético (EC3) da Europol. Realizou workshops e treinamento com agências globais, como Interpol, FBI e Casa Branca. Seu trabalho inspirou a série de televisão da CBS CSI: Cyber. Mary vivencia no seu dia a dia temas como cibersegurança, ciberstalking, direitos da criança no mundo virtual e até mesmo o uso da tecnologia como facilitadora do tráfico de seres humanos.
JC Empresas & Negócios - Quais são os principais insights que o livro The Cyber Effect traz?
Mary Aiken - Há uma grande diferença entre o comportamento do mundo real e como nos comportamos on-line. O efeito de desinibição no mundo virtual significa que faremos coisas que não faríamos no mundo real. Por outro lado, o que acontece no cibercontexto gera impacto sobre o mundo real e vice-versa. O mais importante é reconhecer efeitos de mundo on-line e fazer algo sobre isso. Sempre que há uma interação entre a tecnologia e o ser humano, a tendência é que os resultados sejam potencializados.
Empresas & Negócios - O mundo está preparado para os riscos que chegam com as tecnologias?
Mary - Governos, indústrias e pessoas em geral estão se tornando mais conscientes da importância do tema da segurança cibernética e dos riscos que estão correndo. Acredito que cibershows, como o CSI Cyber, são importantes porque ajudam a informar e a educar de forma divertida. Todos os riscos que foram destacados na série são plausíveis de acontecer, mas não significa necessariamente que irão acontecer.
Empresas & Negócios - Um dos seus temas frequentes de estudo tem sido a relação das crianças no mundo on-line. Como conduzir essa presença de forma segura?
Mary - A tecnologia oferece enormes vantagens em termos de conhecimento e conectividade - no entanto, deve ser introduzida para as crianças de forma adequada com a sua idade. A Academia Americana de Pediatria, por exemplo, não recomenda qualquer tempo de tela para crianças com idade de até dois. Nós realmente precisamos desenvolver recomendações profissionais esboçando etapas do ciberdesenvolvimento cognitivo para que os pais saibam quando e, mais importante, como os seus filhos devem interagir com tecnologia de forma segura.
Empresas & Negócios - Quais são os valores pessoais que não podem se perder a partir deste mundo cada vez mais conectado?
Mary - Preocupa que a internet corroeu alguns dos nossos valores e padrões; fez do mundo um lugar mais conectado, mas mais cruel e menos tolerante. Não podemos deixar que as novas tecnologias nos façam perder a nossa humanidade, bondade, consideração, compreensão e tolerância com o outro.
De onde vem os riscos de hoje e do futuro?
Drones - Geralmente usados por agências governamentais de inteligência, os ataques usando drones já são reais, apesar de ainda não muito comuns em função do alto custo. A maioria deles se baseia no roubo de informações. Drones sobrevoam o alvo e, como possuem um sinal forte de conexão, fazem com que o smartphone da residência se conecte a ele. O usuário pensa que está conectado na rede da sua operadora, mas na verdade está em uma falsa. O resultado disto é que as suas ligações e mensagens passam a ser capturadas. Para tentar evitar isso, uma saída seria a de não deixar habilitada a opção de o seu smartphone buscar automaticamente o sinal de internet disponível. Ainda assim, a pessoa continuaria correndo o risco de se logar a uma rede falsa sem perceber.
Carros conectados - A perspectiva é que passemos a ter ataques para hackear automóveis em grande escala. Isto pode incluir a detenção de carros para solicitar um pedido de resgate e vigilância não autorizada para coleta de informações.
Equipamentos médicos - As instituições de saúde muitas vezes são um alvo fácil, pois possuem equipamentos conectados em rede e trafegando dados privados, como os de ultrassonografia, mas que nem sempre costumam ser atualizados. Em alguns casos, essas máquinas são antigas e não possuem nem mesmo mais o suporte do fabricante. Além disso, os riscos aumentam com a integração de equipamentos médicos e presença de bases de dados de pacientes e dispositivos conectados, como pulseiras biométricas e dispensadores portáteis de doses medicinais.
IPV6 - O IPV6 é o protocolo de internet da próxima geração e que irá substituir o atual, o IPV4, que está se esgotando. Os endereços no IPV4 são representados internamente nos computadores com números de 32 bits. No IPV6, os endereços são representados por números de 128 bits, o que representa cerca de 79 trilhões de trilhões de vezes o espaço disponível no IPV4. Hoje em dia, não é mais possível colocar um IP único para todos os dispositivos conectados, como smartphones, tablets ou televisores, pois o IPV4 está lotado. Mas, com a chegada do novo protocolo, isso será possível, o que fará com que o potencial de ataques seja enorme. Imagina ter uma TV conectada diretamente, sem precisar passar por um modem?
Mobilidade - O primeiro vírus para celular surgiu em 2003, afetando o Symbian da Nokia. Depois disso, as ameaças seguiram aumentando exponencialmente. Entre os casos que estão mais comuns e perigosos hoje em dia está o uso de ransomwares, código malicioso que torna inacessíveis os dados armazenados em um equipamento e depois exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. Os smartphones e wearables vão evoluir para oferecer serviços mais pessoais e, assim, serão alvos mais comuns de ataques.
Nuvem - Com a migração crescente para serviços e armazenamento baseados na nuvem, essa infraestrutura está se tornando um alvo muito lucrativo para ataques. A nuvem não é protegida por firewalls ou medidas de segurança mais tradicionais, então, desenvolver sistemas sofisticados para defendê-la será crucial para as empresas.