Segurança da Informação

Impactos da IoT nas questões de segurança e privacidade (Paulo Pagliusi)

Publicado por Paulo Pagliusi

A Internet das Coisas (IoT – Internet of Things) consiste em uma infraestrutura de rede dinâmica e global com capacidades de autoconfiguração, baseada em protocolos de comunicação padronizados e interoperáveis, onde “coisas” físicas e virtuais têm identidades, atributos físicos e personalidades virtuais. Na IoT, as “coisas” (ou objetos) são participantes ativos nos processos de negócio, informacionais e sociais, capazes de interagir e comunicar entre si, trocar informações coletadas do ambiente, reagindo autonomamente aos eventos do mundo físico real, bem como influenciar esse contexto. Este novo paradigma implica uma comunicação não só entre seres humanos e coisas, mas também entre os próprios objetos, sem intervenção humana. A IoT traz enormes desafios para sua implementação no mundo real. Um desses desafios é a segurança e privacidade.

Em primeiro lugar, para fazer frente a estes desafios é preciso constituir mecanismos de gerenciamento de confiança, que permitam que os nós estabeleçam conexões com um nível predefinido de confiança entre eles e, assim, contribuam para aumentar a segurança da IoT. De fato, a Internet das Coisas só vai decolar se os consumidores puderem confiar nela. Para que isto possa ocorrer, é preciso levar em conta as limitações de recursos da IoT, tais como capacidade de processamento, memória e energia, heterogeneidade dos dispositivos e requisitos específicos da IoT, que impedem que seja possível implementar os mecanismos de confiança tradicionais de TI das redes existentes, sendo necessário inovar para o efetivo gerenciamento de confiança no contexto da Internet das Coisas. Gerenciamento de confiança abrangem os mecanismos para avaliar, estabelecer, manter e revogar a confiança entre dispositivos que formam parte de uma rede. O parâmetro de confiança pode ser usado para o controle de acesso, roteamento seguro, detecção de intrusos, entre outros. Geralmente a noção de confiança está relacionada à reputação, sendo que a primeira (confiança) é uma derivação da segunda (reputação). Reputação é a opinião de um nó da IoT sobre outro, e é formada baseada no histórico de comportamento deste nó. A enorme heterogeneidade dos nós de uma rede IoT torna este desafio bastante complexo.

Em seguida, é preciso levar em consideração que a comunicação necessária entre as “coisas” ou objetos, efetivamente realizadas através das interfaces de rede, abre possibilidades de ataques externos ou internos de segurança, que podem comprometer seriamente a privacidade dos usuários, tendo em vista que as “coisas” detectam e guardam inúmeras informações sobre seus hábitos, deslocamentos e ações ao longo do dia, agindo como pequenos “espiões”. Os atacantes buscam então explorar vulnerabilidades para poder influenciar o comportamento ou obter o controle do sistema IoT, passando a ter acesso a tais informações sensíveis. Em relação a ataques disparados por adversários externos, por exemplo, já existem propostas que atendem a IoT satisfatoriamente. Algumas delas são capazes de garantir propriedades como sigilo e autenticação de mensagens a um custo aceitável, mesmo para a IoT.

Assim, ataques de espionagem, personificação (spoofing) e retransmissão (replay) podem ser eficientemente evitados. No entanto, para algumas questões de segurança, ainda não há no mercado propostas personalizadas para IoT. Um exemplo são alguns ataques disparados por adversários internos (insiders), ou seja, por aqueles cujas credenciais de acesso são válidas. As mensagens trocadas por esses adversários são legítimas na medida em que elas são autenticadas com sucesso pelos seus destinatários. Isso, contudo, não as torna menos maliciosas. Essas mensagens objetivam, por exemplo, explorar vulnerabilidades de sistemas para então obter o seu controle. Ou seja, elas são, no fundo, ações de exploração de vulnerabilidades de código ou exploits.

Por fim, destaca-se que, para essa classe de ataques (insiders), ainda não há soluções plenamente adequadas para o contexto de IoT, sendo necessário investir urgentemente em pesquisa, desenvolvimento e inovação. O estudo da questão de segurança de IoT e proposição de soluções inovadoras envolvem algoritmos, técnicas e mecanismos para proteção dos módulos de IoT contra exploits. Mais precisamente, faz-se necessário conceber novas soluções de segurança de código específicas para IoT, capazes de defender seus sistemas contra ataques internos à rede. A IoT requer soluções de segurança feitas sob medida. Isso porque, ao contrário de um computador tradicional, os elementos de IoT usualmente: (i) são dotados de menor capacidade de processamento, memória e energia; (ii) realizam tarefas de forma colaborativa; e (iii) executam sistemas eminentemente desenvolvidos usando a linguagem C ou linguagens nela baseadas (TinyOS, ContikiOS e Linux embarcado, por exemplo). Como as propostas de segurança existentes para computadores que compõem a Internet tradicional não levam em conta tais características, elas nem sempre são adequadas para a IoT.

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.