Análise: Cuidado com o ataque de drones cibernéticos

Torradeiras e frigideiras ao ataque. Esta é a manchete apocalíptica que poderíamos ler algum dia, graças à aparentemente incontestável tendência a conectar itens mundanos à internet. Não pense que ela é exagerada demais.

Projeta-se que mais de US$ 970 bilhões serão gastos em aparelhos da internet das coisas no próximo ano, de acordo com dados da Bloomberg Intelligence e da IDC. Não é à toa que "coisas" tenha sido o substantivo escolhido para descrever todo e qualquer aparelho que pode ser conectado à internet. Poucas outras palavras abarcam essa imensidão, e "troço" simplesmente não é elegante.

Como vimos na semana passada, no entanto, conectar coisas à internet também abre a possibilidade para que enormes redes de robôs, também conhecidos como botnets, sejam transformados em exércitos de drones por qualquer pessoa com as ferramentas de software para dominar aparelhos suficientes.

Uma dessas ferramentas se chama Mirai, uma espécie de software malicioso (malware) que, além de ter sido implementado com destreza e eficiência no mês passado para derrubar o site do jornalista Brian Krebs, famoso investigador sobre segurança, foi liberado para que qualquer um possa copiar e adaptar para uso próprio. E foi exatamente isso o que aconteceu no ataque de sexta-feira (21).

Jeff Jarmoc, consultor de segurança, publicou no Twitter: "Em um período relativamente curto, dominamos um sistema elaborado para resistir à destruição com armas nucleares e o deixamos vulnerável a torradeiras".

Embora a prevalência de drones voadores tenha gerado o medo de que brinquedos aéreos possam ser transformados em armas, a simples quantidade de aparelhos conectados à internet e a falta de segurança integrada a eles mostra que a maior ameaça é que praticamente qualquer objeto pode ser transformado em um drone cibernético.

De acordo com Krebs e com a empresa de segurança Flashpoint, é possível atribuir a origem da maioria dos ataques mais recentes a componentes para gravação de vídeo digital e câmeras conectadas à internet fabricados pela empresa chinesa XiongMai Technology.

Eu não posso afirmar que a XiongMai de fato seja a fonte dessa vulnerabilidade, mas o fato de que pesquisadores tenham conseguido seguir o rastro de componentes infectados até uma fornecedora de hardware é uma característica da epidemiologia cibernética que apresenta um interessante dilema moral e jurídico: os fabricantes têm a responsabilidade de proteger seus aparelhos?

Um caso pouco conhecido que ocorreu no começo deste ano nos EUA ajuda a responder a essa pergunta. A Comissão Federal do Comércio dos Estados Unidos processou a taiwanesa Asustek por deixar roteadores e serviços em nuvem vulneráveis. Por causa dessa segurança insuficiente, hackers podiam (e puderam) controlar o tráfego web dos usuários.

Eu sei disso porque fui uma das vítimas. A Asustek acabou resolvendo o caso e concordou em aumentar a segurança e submeter-se a auditorias durante 20 anos.

Processar empresas individualmente por deficiências específicas parece combater um incêndio florestal com uma pistola de água, mas é melhor do que nada e, pelo menos, faz com que fabricantes de aparelhos se conscientizem de sua responsabilidade moral.

Seria melhor implementar padrões internacionais de segurança para a internet das coisas, do mesmo modo em que especificações tecnológicas estão em vigor para aparelhos com bluetooth e wi-fi. Isso ajudaria a lidar com o problema dos diversos tipos de aparelhos e sistemas diferentes que entram na categoria da internet das coisas.

A União Europeia já começou a trabalhar nessa questão, porque esboçou regras para classificações e normas de defesa contra hackeamento para a internet das coisas, com base no modo que os eletrodomésticos são classificados segundo a eficiência energética.

Padrões melhores precisam surgir o mais rápido possível. Embora hackers possam transformar aparelhos como câmeras, geladeiras e torradeiras em drones cibernéticos, não se esqueça de que muitos drones aéreos também são uma forma de internet das coisas. Agora imagine se eles forem hackeados, em massa.