Monday, October 10, 2016

Economia de Segurança da Internet das Coisas - IoT

Por Afonso Henrique Rodrigues Alves

Original de Bruce Schneier  - Security Economics of the Internet of Things


Brian Krebs é um repórter popular no ramo da cibersegurança. Ele expõe regularmente cibercriminosos e suas táticas, e, consequentemente é alvo da ira dos cibercriminosos. No mês passado, ele escreveu[1] sobre um serviço ataque de aluguel on-line que resultou na prisão dos dois proprietários. Na sequência, seu site[2] foi derrubado por um ataque massivo DDoS.
De muitas maneiras, isso não é novidade. DDoS são uma família de ataques que causam a derrubada de websites e outros sistemas conectados à Internet, sobrecarregando-os com o tráfego. A parte "distribuída" significa que outros computadores inseguros na Internet - às vezes milhoes  - são recrutados por uma botnet para participar involuntariamente no ataque. As táticas são antigas; Os ataques DDoS são cometidos por hackers solitários que tentam ser irritantes, criminosos que tentam extorquir dinheiro e governos testando suas táticas. Há defesas, e há empresas que oferecem serviços de mitigação de DDoS para alugar.

Basicamente, é um jogo de potência versus potência. Se os atacantes podem forjar uma mangueira de incêndio de dados maior do que a capacidade da defesa, eles ganham. Se os defensores podem aumentar a sua capacidade em face de ataque, eles ganham.

O que era novo sobre o ataque Krebs era tanto a escala e os dispositivos específicos que os atacantes recrutaram. Em vez de usar os computadores tradicionais para a sua botnet, eles usaram câmeras de CCTV, gravadores de vídeo digitais, roteadores domésticos, e outros computadores integrados à Internet como parte da Internet das coisas.
Muito tem sido escrito sobre como a Internet das coisas é descontroladamente insegura. Na verdade, o software usado para atacar Krebs era simples e amador[3]. O que este ataque demonstra é que o ambiente da Internet das coisas permanecerá inseguro, a menos que o governo intervenha para corrigir o problema. Esta é uma falha de mercado que não pode corrigida por conta própria.

Nossos computadores e smartphones são tão seguros como eles são, porque existem equipes de engenheiros de segurança que trabalham no problema. Empresas como Microsoft, Apple e Google gastar muito tempo testando seu código antes de ser lançado, e rapidamente corrigir as vulnerabilidades quando são descobertas. Essas empresas podem apoiar essas equipes por que essas empresas fazem uma enorme quantidade de dinheiro, direta ou indiretamente, de seu software e, em parte, envolvidos em sua segurança. Isso não é verdade sobre sistemas integrados, como gravadores de vídeo digitais ou roteadores domésticos. Esses sistemas são vendidos a uma margem muito menor, e são muitas vezes construídos por terceiros “offshore”. As empresas envolvidas simplesmente não têm os conhecimentos necessários para torná-los seguros.
Pior ainda, a maioria destes dispositivos não têm nenhuma maneira de ser corrigido. Mesmo que o código-fonte para o botnet que atacou Krebs foi tornado público, não podemos atualizar os dispositivos afetados.
Microsoft oferece patches de segurança para o seu computador uma vez por mês. Apple faz isso tão regularmente, mas não com um agendamento fixo. Mas a única maneira de você para atualizar o firmware de seu roteador doméstico é jogá-lo fora e comprar um novo.
A segurança dos nossos computadores e telefones também vem do fato de que substituí-los regularmente. Nós comprar novos laptops anualmente. Nós obtemos novos telefones ainda mais frequentemente. Isto não é verdade para todos os sistemas de IoT. Eles duram por anos, até mesmo décadas. Poderíamos comprar um novo DVR a cada cinco ou dez anos. Nós substituímos nossa geladeira a cada 25 anos. Nós substituimos o nosso termostato raramente. Já o setor bancário está lidando com os problemas de segurança do Windows 95 embutidos em caixas eletrônicos. Este mesmo problema vai ocorrer em toda a Internet das Coisas.
O mercado não pode corrigir isso porque nem o comprador nem o vendedor se importam. Pense em todas as câmeras de CCTV e DVRs utilizados no ataque contra Brian Krebs. Os proprietários desses dispositivos não se importam. Seus dispositivos foram baratos para comprar, eles continuam a trabalhar, e eles nem sequer conhecem Brian. Os vendedores destes dispositivos não se importam: eles estão agora vendendo os modelos mais recentes e melhores, e os compradores originais só se preocupavam com preços e características. Não há solução de mercado, porque a insegurança é o que os economistas chamam de uma externalidade: é um efeito da decisão de compra que afeta outras pessoas. Pense nisso como se fosse uma poluição invisível.
O que isso tudo significa é que a Internet das coisas permanecerá insegura a menos que governos possam dar um passo a frente e corrijam o problema. Quando temos falhas de mercado, o governo é a única solução. O governo poderia impor regras de segurança para os fabricantes da Internet das coisas, forçando-os a fazer os seus dispositivos seguros, mesmo que os seus clientes não se importam. Eles poderiam impor responsabilidades sobre os fabricantes, permitindo que pessoas como Brian Krebs para processá-los. Qualquer um destes aumentaria o custo de insegurança e daria às empresas incentivos para gastar dinheiro fazendo seus dispositivos seguros.
Naturalmente, isto apenas seria uma solução doméstica para um problema internacional. A Internet é global, e os invasores podem facilmente construir uma botnet de dispositivos da Internet das coisas da Ásia para os Estados Unidos. A longo prazo, precisamos construir uma Internet que é resistente contra ataques como este. Mas isso é um tempo por vir. Enquanto isso, você pode esperar mais ataques que os influentes dispositivos inseguros da Internet das coisas criam.



APIs - REST API