Insights

Internet das Coisas e segurança de informação

Impacto da tecnologia sobre a privacidade

Por Paulo Pagliusi

A ascensão dos objetos conectados coloca um desafio para gestão da segurança da informação, que deve levar em conta as limitações de recursos da IoT.

A Internet das Coisas (Internet of Things; IoT na sigla em inglês) consiste em uma infraestrutura de rede dinâmica e global com capacidades de autoconfiguração, com base em protocolos de comunicação padronizados e interoperáveis, onde “coisas” físicas e virtuais têm identidades, atributos físicos e personalidades virtuais. Na IoT, as “coisas” (ou objetos) são participantes ativos nos processos de negócio, informacionais e sociais, capazes de interagir e comunicar entre si, trocar informações coletadas do ambiente e reagir autonomamente aos eventos do mundo físico real, bem como influenciar esse contexto. Esse novo paradigma implica uma comunicação não só entre seres humanos e coisas, mas também entre os próprios objetos, sem intervenção humana. A IoT traz enormes desafios para sua implementação no mundo real. Um desses desafios é a questão de segurança e privacidade.

Em primeiro lugar, para fazer frente a estes desafios é preciso constituir mecanismos de gerenciamento de confiança, que permitam que os nós estabeleçam conexões com um nível predefinido de confiança entre eles e, assim, contribuam para aumentar a segurança da IoT. De fato, a Internet das Coisas só vai decolar se os consumidores puderem confiar nela. Para que isso possa ocorrer, é preciso levar em conta as limitações de recursos da IoT, tais como capacidade de processamento, memória e energia, heterogeneidade de seus dispositivos e requisitos específicos, que impedem que seja possível implementar os mecanismos de confiança tradicionais de TI das redes existentes, sendo necessário inovar para o efetivo gerenciamento de confiança no contexto da Internet das Coisas.

"É preciso levar em conta as limitações de recursos da IoT, tais como capacidade de processamento, memória e energia, heterogeneidade de seus dispositivos e requisitos específicos."

O gerenciamento de confiança abrange os mecanismos para avaliar, estabelecer, manter e revogar a confiança entre dispositivos que formam parte de uma rede. O parâmetro de confiança pode ser usado para o controle de acesso, roteamento seguro e detecção de intrusos, entre outros. Geralmente, a noção de confiança está relacionada à reputação, sendo que a primeira é uma derivação da segunda. Reputação é a opinião de um nó da IoT sobre outro, e é formada com base no histórico de comportamento deste nó. A enorme heterogeneidade dos nós de uma rede IoT torna esse desafio bastante complexo.

Em seguida, é preciso levar em consideração que a comunicação necessária entre as “coisas” ou objetos, efetivamente realizadas por meio das interfaces de rede, abre possibilidades de ataques externos ou internos de segurança, que podem comprometer seriamente a privacidade dos usuários, tendo em vista que as “coisas” detectam e guardam inúmeras informações sobre seus hábitos, deslocamentos e ações ao longo do dia, agindo como pequenos “espiões”. Os atacantes buscam então explorar vulnerabilidades para poder influenciar o comportamento ou obter o controle do sistema IoT, passando a ter acesso a tais informações sensíveis. Em relação a ataques disparados por adversários externos, por exemplo, já existem propostas que atendem a IoT satisfatoriamente. Algumas delas são capazes de garantir propriedades como sigilo e autenticação de mensagens a um custo aceitável.

"Faz-se necessário conceber novas soluções de segurança de código específicas para IoT, capazes de defender seus sistemas contra ataques internos à rede."

Assim, ataques de espionagem, personificação (spoofing) e retransmissão (replay) podem ser eficientemente evitados. No entanto, para algumas questões de segurança, ainda não há no mercado propostas personalizadas para IoT. Um exemplo são alguns ataques disparados por adversários internos (insiders), ou seja, por aqueles cujas credenciais de acesso são válidas. As mensagens trocadas por esses adversários são legítimas na medida em que elas são autenticadas com sucesso pelos seus destinatários. Isso, contudo, não as torna menos maliciosas. Essas mensagens objetivam, por exemplo, explorar vulnerabilidades de sistemas para então obter o seu controle. Ou seja, elas são, no fundo, ações de exploração de vulnerabilidades de código ou exploits.

Por fim, destaca-se que, para essa classe de ataques (insiders), ainda não há soluções plenamente adequadas para o contexto de IoT, sendo necessário investir urgentemente em pesquisa, desenvolvimento e inovação. O estudo da questão de segurança de IoT e proposição de soluções inovadoras envolvem algoritmos, técnicas e mecanismos para proteção dos módulos de IoT contra exploits. Mais precisamente, faz-se necessário conceber novas soluções de segurança de código específicas para IoT, capazes de defender seus sistemas contra ataques internos à rede.

A IoT requer soluções de segurança feitas sob medida. Isso porque, ao contrário de um computador tradicional, os elementos de IoT usualmente: (i) são dotados de menor capacidade de processamento, memória e energia; (ii) realizam tarefas de forma colaborativa; e (iii) executam sistemas eminentemente desenvolvidos usando a linguagem C ou linguagens com base nela (TinyOS, ContikiOS e Linux embarcado, por exemplo). Como as propostas de segurança existentes para computadores que compõem a Internet tradicional não levam em conta tais características, elas nem sempre são adequadas para a IoT.

Autor: Paulo Pagliusi 

Paulo Pagliusi é diretor da área de Risk Advisory da Deloitte para a prática de Cyber Risk Services. Tem experiência de mais de 20 anos em gestão estratégica de riscos cibernéticos. Ph.D. em Information Security, pela Royal Holloway da Universidade de Londres, com mestrado em Ciência da Computação pela UNICAMP e extensão em Análise de Sistemas pela PUC-Rio. Vice-presidente da Cloud Security Aliance (CSA) – Brazil Chapter e vice-presidente do ISACA Rio Chapter, onde obteve a Certify in Info Security Management (CISM). Autor de livro, articulista ativo e conferencista atuante, é professor de pós-graduação em Segurança da Informação do IBMEC e membro externo de mais de uma dezena de bancas examinadoras de doutorado e mestrado em universidades como UFRJ, UERJ, UFSC e UCAM. Capitão-de-Mar-e-Guerra da reserva da Marinha, é um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos. Referência para o governo brasileiro como especialista no caso Snowden durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana.

Você achou útil?