Texto traduzido do site https://www.schneier.com/blog/archives/2016/10/security_econom_1.html
Por Afonso
Henrique Rodrigues Alves
Original de Bruce Schneier -
Brian Krebs é um
repórter popular no ramo da cibersegurança. Ele
expõe regularmente cibercriminosos e suas táticas, e, consequentemente é alvo da
ira dos cibercriminosos. No
mês passado, ele escreveu[1] sobre um
serviço ataque de aluguel on-line que resultou na prisão dos dois
proprietários. Na
sequência, seu site[2]
foi derrubado por um ataque massivo DDoS.
De muitas maneiras, isso não é novidade. DDoS são uma família de ataques que causam a derrubada de websites e outros sistemas conectados à Internet, sobrecarregando-os com o tráfego. A parte "distribuída" significa que outros computadores inseguros na Internet - às vezes milhoes - são recrutados por uma botnet para participar involuntariamente no ataque. As táticas são antigas; Os ataques DDoS são cometidos por hackers solitários que tentam ser irritantes, criminosos que tentam extorquir dinheiro e governos testando suas táticas. Há defesas, e há empresas que oferecem serviços de mitigação de DDoS para alugar.
De muitas maneiras, isso não é novidade. DDoS são uma família de ataques que causam a derrubada de websites e outros sistemas conectados à Internet, sobrecarregando-os com o tráfego. A parte "distribuída" significa que outros computadores inseguros na Internet - às vezes milhoes - são recrutados por uma botnet para participar involuntariamente no ataque. As táticas são antigas; Os ataques DDoS são cometidos por hackers solitários que tentam ser irritantes, criminosos que tentam extorquir dinheiro e governos testando suas táticas. Há defesas, e há empresas que oferecem serviços de mitigação de DDoS para alugar.
Basicamente, é um jogo de potência versus potência. Se os atacantes podem forjar uma mangueira de incêndio de dados maior do que a capacidade da defesa, eles ganham. Se os defensores podem aumentar a sua capacidade em face de ataque, eles ganham.
O que era novo sobre o ataque Krebs era tanto a escala e os dispositivos específicos que os atacantes recrutaram. Em vez de usar os computadores tradicionais para a sua botnet, eles usaram câmeras de CCTV, gravadores de vídeo digitais, roteadores domésticos, e outros computadores integrados à Internet como parte da Internet das coisas.
Muito
tem sido escrito sobre como a Internet das coisas é descontroladamente insegura.
Na
verdade, o software usado para atacar Krebs era simples e amador[3]. O
que este ataque demonstra é que o ambiente da Internet das coisas permanecerá
inseguro, a menos que o governo intervenha para corrigir o problema. Esta
é uma falha de mercado que não pode corrigida por conta própria.
Nossos computadores e smartphones são tão seguros como eles são, porque existem equipes de engenheiros de segurança que trabalham no problema. Empresas como Microsoft, Apple e Google gastar muito tempo testando seu código antes de ser lançado, e rapidamente corrigir as vulnerabilidades quando são descobertas. Essas empresas podem apoiar essas equipes por que essas empresas fazem uma enorme quantidade de dinheiro, direta ou indiretamente, de seu software e, em parte, envolvidos em sua segurança. Isso não é verdade sobre sistemas integrados, como gravadores de vídeo digitais ou roteadores domésticos. Esses sistemas são vendidos a uma margem muito menor, e são muitas vezes construídos por terceiros “offshore”. As empresas envolvidas simplesmente não têm os conhecimentos necessários para torná-los seguros.
Pior ainda, a maioria destes dispositivos não têm nenhuma maneira de ser corrigido. Mesmo que o código-fonte para o botnet que atacou Krebs foi tornado público, não podemos atualizar os dispositivos afetados.
Microsoft
oferece patches de segurança para o seu computador uma vez por mês. Apple faz
isso tão regularmente, mas não com um agendamento fixo. Mas
a única maneira de você para atualizar o firmware de seu roteador doméstico é
jogá-lo fora e comprar um novo.
A
segurança dos nossos computadores e telefones também vem do fato de que
substituí-los regularmente. Nós comprar novos laptops anualmente.
Nós obtemos novos
telefones ainda mais frequentemente. Isto não é verdade
para todos os sistemas de IoT. Eles duram por anos, até mesmo
décadas. Poderíamos
comprar um novo DVR a cada cinco ou dez anos. Nós substituímos nossa
geladeira a cada 25 anos. Nós substituimos o nosso
termostato raramente. Já
o setor bancário está lidando com os problemas de segurança do Windows 95
embutidos em caixas eletrônicos. Este
mesmo problema vai ocorrer em toda a Internet das Coisas.
O mercado não pode corrigir isso porque nem o comprador nem o vendedor se importam. Pense em todas as câmeras de CCTV e DVRs utilizados no ataque contra Brian Krebs. Os proprietários desses dispositivos não se importam. Seus dispositivos foram baratos para comprar, eles continuam a trabalhar, e eles nem sequer conhecem Brian. Os vendedores destes dispositivos não se importam: eles estão agora vendendo os modelos mais recentes e melhores, e os compradores originais só se preocupavam com preços e características. Não há solução de mercado, porque a insegurança é o que os economistas chamam de uma externalidade: é um efeito da decisão de compra que afeta outras pessoas. Pense nisso como se fosse uma poluição invisível.
O mercado não pode corrigir isso porque nem o comprador nem o vendedor se importam. Pense em todas as câmeras de CCTV e DVRs utilizados no ataque contra Brian Krebs. Os proprietários desses dispositivos não se importam. Seus dispositivos foram baratos para comprar, eles continuam a trabalhar, e eles nem sequer conhecem Brian. Os vendedores destes dispositivos não se importam: eles estão agora vendendo os modelos mais recentes e melhores, e os compradores originais só se preocupavam com preços e características. Não há solução de mercado, porque a insegurança é o que os economistas chamam de uma externalidade: é um efeito da decisão de compra que afeta outras pessoas. Pense nisso como se fosse uma poluição invisível.
O que
isso tudo significa é que a Internet das coisas permanecerá insegura a menos que
governos possam dar um passo a frente e corrijam o problema. Quando
temos falhas de mercado, o governo é a única solução. O
governo poderia impor regras de segurança para os fabricantes da Internet das
coisas, forçando-os a fazer os seus dispositivos seguros, mesmo que os seus
clientes não se importam. Eles
poderiam impor responsabilidades sobre os fabricantes, permitindo que pessoas
como Brian Krebs para processá-los. Qualquer
um destes aumentaria o custo de insegurança e daria às empresas incentivos para
gastar dinheiro fazendo seus dispositivos seguros.
Naturalmente, isto apenas seria uma solução doméstica para um problema internacional. A Internet é global, e os invasores podem facilmente construir uma botnet de dispositivos da Internet das coisas da Ásia para os Estados Unidos. A longo prazo, precisamos construir uma Internet que é resistente contra ataques como este. Mas isso é um tempo por vir. Enquanto isso, você pode esperar mais ataques que os influentes dispositivos inseguros da Internet das coisas criam.
Naturalmente, isto apenas seria uma solução doméstica para um problema internacional. A Internet é global, e os invasores podem facilmente construir uma botnet de dispositivos da Internet das coisas da Ásia para os Estados Unidos. A longo prazo, precisamos construir uma Internet que é resistente contra ataques como este. Mas isso é um tempo por vir. Enquanto isso, você pode esperar mais ataques que os influentes dispositivos inseguros da Internet das coisas criam.
No comments:
Post a Comment