.
Todos os anos, a cidade de Las Vegas recebe muitos dos maiores nomes da eletrônica de consumo na conferência anual CES (Consumer Electronics Show). Para muitas organizações, este é o evento onde lançam os seus novos produtos de vanguarda ou mostram a sua visão para o futuro.
Tempo estimado de leitura: 9 minutos
Este show cobre tudo, desde o que há de mais recente em torradeiras inteligentes até veículos elétricos conceituais movidos por IA. Em 2020, mais de 4.500 organizações participaram da feira, abrangendo mais de 2,9 milhões de pés quadrados em locais ao redor de Las Vegas.
Este é o paraíso para um geek como eu, e finalmente participei do show este ano. Além de apenas conhecer a nova tecnologia, meu objetivo era simples. Eu queria conversar com os fornecedores sobre a segurança de seus produtos, especialmente aqueles destinados ao uso doméstico.
Na era dos refrigeradores conectados à Internet e das câmeras de segurança doméstica baratas conectadas à nuvem, estamos conectando dispositivos da Internet das Coisas (IoT) à Internet em um ritmo fantástico. Estima-se que existam mais de 46 mil milhões de dispositivos conectados, uma média de 10 dispositivos por agregado familiar. Com todos esses dispositivos conectados instalados em nossas casas, eu esperava que a segurança fosse um foco significativo; Contudo, isso não aparenta ser o caso.
Por que a segurança é uma preocupação nesses produtos eletrônicos de consumo
Você pode se perguntar por que a segurança seria uma preocupação com esses dispositivos. Quero dizer, quem realmente se importa se uma geladeira tem uma vulnerabilidade de segurança? Qual é a pior coisa que pode acontecer se uma geladeira for atacada? Bem, infelizmente, muitas coisas podem acontecer, e poucas delas são boas. Aqui estão alguns cenários.
Imagine ir até a geladeira para pegar um copo de leite gelado e na tela há uma mensagem dizendo que se você não pagar algumas centenas de dólares a alguns cibercriminosos em breve, sua geladeira irá parar de funcionar. Isso é chamado de ransomware e, embora não seja uma ameaça séria aos seus eletrodomésticos típicos no momento, é apenas uma questão de tempo.
O ransomware se tornou uma das maiores ameaças às redes nas organizações nos tempos modernos, e há muito pouco que os impeça de atingir as residências. Com o custo dos frigoríficos a subir para vários milhares de dólares, quem não pagaria algumas centenas para evitar que se transformassem em lixo? Se você contar com uma garantia para consertar isso, provavelmente estará sem sorte, como se alguém invadisse sua casa e a destruísse.
Outro cenário é um cibercriminoso usando seu dispositivo e rede para atacar outras organizações. Um ataque de negação de serviço distribuído (DDoS) ocorre quando um malfeitor envia muito tráfego da Internet para um alvo, travando seu site ou até mesmo tornando sua rede tão lenta que não consegue funcionar.
Os cibercriminosos podem usar esses ataques para extorquir dinheiro das vítimas ou podem pagar por um serviço para paralisar o alvo. Estes ataques são muitas vezes possíveis através de botnets ou grandes grupos de dispositivos infectados com acesso à Internet controlados por agentes mal-intencionados, e a frequência dos ataques está a aumentar.
Houve um aumento de 173% nesses ataques apenas entre o terceiro e o quarto trimestre de 2021 (https://portswigger.net/daily-swig/report-ddos-attacks-increasing-year-on-year-as-cybercriminals-demand-extortionate -pagamentos). Sim, sua geladeira confiável pode ter um lado negro, atacando vítimas infelizes e ao mesmo tempo mantendo seus vegetais frescos, e talvez você nunca saiba disso.
Esses dispositivos também podem ser usados como uma forma de entrar na sua rede e ajudar os cibercriminosos a roubar informações suas ou a espalhar vírus na sua rede doméstica. Não apenas os refrigeradores são um alvo possível, mas qualquer dispositivo conectado à Internet pode ser usado para esses fins e muito mais.
Imagine cibercriminosos acessando feeds de vídeo ou áudio de câmeras de segurança ou de qualquer dispositivo em sua casa que tenha uma câmera ou microfone embutido. Isso aconteceu e continuará acontecendo novamente.
De forma alarmante, muitas pequenas empresas também utilizam estes dispositivos de consumo nas suas organizações, sem nunca considerarem os riscos que correm. Isso faz sentido do ponto de vista de custo, já que câmeras e dispositivos de nível empresarial podem custar o dobro ou mais e oferecer recursos que as pequenas empresas não precisam.
O que descobri na CES
Eu tinha esperança de que em algum lugar nos 2,9 milhões de pés quadrados de showroom de eletrônicos, encontraria pelo menos alguns fabricantes que elogiavam a forte segurança cibernética de seus produtos como um recurso crítico. Fiquei muito desapontado. Encontrei muitos olhares vazios e referências a outras pessoas que também não conseguiram responder a quaisquer perguntas significativas sobre a segurança de seus produtos.
Algumas das perguntas críticas que fiz a esses fornecedores estavam relacionadas a quanto tempo eles esperavam oferecer suporte a atualizações de segurança nos dispositivos que vendem, como lidam com alguém que relata um problema de segurança e como os patches de segurança foram instalados.
Ok, eu entendi; geralmente são vendedores ou profissionais de marketing, e não gurus de segurança. Eu não esperava que todos tivessem respostas para minhas perguntas imediatamente. No entanto, eu tinha esperança de que alguém no show pudesse responder a algumas perguntas básicas. Na maioria dos casos, eu estava enganado.
Nenhum fornecedor com quem conversei poderia me dizer por quanto tempo se comprometeria a fornecer patches de segurança para os produtos à venda. Embora isto possa não ser tão crítico numa webcam barata (ainda é um problema), onde era essencial, como veículos eléctricos conectados e carros fabricados por pequenas e grandes empresas, também não houve compromisso.
É essencial compreender que os fabricantes de automóveis estão cada vez mais a apostar em tecnologias como funcionalidades de condução autónoma, que utilizam aceleração, travagem e direção controladas por computador, entre outras coisas. Um grande grupo automóvel autodenomina-se uma “empresa de mobilidade tecnológica sustentável”, e não apenas um fabricante de automóveis. Quando perguntei sobre atualizações futuras para esses veículos, disseram-me que eles teriam suporte por “um bom tempo”.
Imagine que daqui a 12 anos, seja descoberto que um malfeitor poderia acessar seu veículo através do hotspot sem fio ou aplicativo de smartphone e assumir o controle da direção, do acelerador e da frenagem, tudo isso enquanto você dirige na estrada. Imagine se o fabricante de automóveis parasse de oferecer suporte a atualizações de segurança para aquele veículo.
Embora isto pareça algo assustador, digno do mais fino dos chapéus, se não fizermos as perguntas agora e conseguirmos algum compromisso dos fabricantes, poderemos considerar que isto é um problema real. Ainda em 2015, a Chrysler fez recall de 1,4 milhão de veículos depois que alguns hackers conseguiram desativar um veículo enquanto ele viajava na estrada a 70 milhas por hora. Às vezes, o papel alumínio não é um exagero.
Mesmo que os veículos não sejam controlados durante a condução na estrada, outros problemas ainda surgem. Acontece que tenho um carro no topo da lista dos roubados. Na verdade, meu Dodge Challenger tem quase três vezes e meia mais probabilidade de ser roubado do que a média nacional aqui na América.
Isto ocorre em parte porque eles são muito fáceis de roubar, simplesmente programando uma nova chave para o carro. Você nem precisa de outro presente crucial para fazer isso. Em menos de um minuto, os ladrões podem adicionar a chave e fugir através de uma falha no sistema de infoentretenimento.
A Dodge emitiu um recall de segurança para este problema, onde eles não permitem mais a adição de chaves adicionais ao carro depois de trancado; no entanto, embora amigos com carros de 2019 e 2020 tenham recebido notificações sobre a atualização, não recebi notificação para meu modelo de 2016. Até que isso aconteça, não dirigirei meu carro até o aeroporto, local privilegiado para ladrões desses carros.
Esta questão não se limita apenas à organização que fabrica o meu carro. Quanto mais computadores colocarmos nos carros, independentemente do fabricante, maior será a probabilidade de surgirem problemas como este. É por isso que precisamos de um compromisso para futuras correções de segurança.
Afastando-me dos veículos, também conversei com vários fabricantes de dispositivos domésticos inteligentes, incluindo aqueles que fabricavam fechaduras inteligentes. Nenhum deles foi capaz de confirmar o compromisso de apoio futuro.
Conclusão
Toda a caminhada, todas as perguntas e todas as pesquisas que fiz na CES (The Consumer Electronics Show) esclareceram algumas coisas. Primeiro, a segurança não é vital para a cultura destas organizações de produção. Se a segurança fosse uma parte crucial da cultura organizacional, eu teria recebido muito menos olhares vazios quando fizesse as perguntas de segurança mais básicas dos vendedores. Este é um efeito cascata em que uma cultura de segurança sólida e razoável nos níveis superiores de gestão acaba por influenciar toda a organização.
Em segundo lugar, as pessoas não perguntam sobre segurança ao fazer compras. Se fossem, os funcionários dos estandes estariam mais preparados para respondê-las. Este é um efeito cascata. Se as pessoas não se importarem em pedir mais segurança, os vendedores e as equipes de marketing não perderão tempo aprendendo sobre questões que não precisam responder. Por mais lamentável que seja, não posso culpá-los por isso.
Como consumidores, é hora de começarmos a fazer perguntas sobre a segurança dos nossos dispositivos, especialmente quando os conectamos às nossas redes domésticas. Estas são as mesmas redes domésticas onde fazemos nossos serviços bancários, declarações de impostos e outras coisas potencialmente sensíveis.
Além de perguntar sobre segurança, é hora de mostrarmos a esses fabricantes que esta é uma questão essencial, comprando itens que promovam a segurança em detrimento daqueles que não o fazem. Muitos desses dispositivos domésticos inteligentes são vendidos com base no preço mais baixo possível, sendo o vencedor; no entanto, como consumidores, seria muito benéfico para nós gastarmos um ou dois dólares extras em dispositivos que levam a segurança a sério.
Quando isso se tornar um diferencial para os compradores, os fabricantes acharão muito mais fácil investir tempo em pesquisas de segurança e talvez tenham muito mais probabilidade de oferecer suporte aos dispositivos por vários anos no futuro.
O que você acha da segurança dos produtos eletrônicos de consumo? Especialmente eletrônicos de consumo, como dispositivos IoT? Por favor, compartilhe suas idéias em qualquer uma das páginas de mídia social listadas abaixo. Você também pode comentar em nossa página MeWe ingressando na rede social MeWe. Não deixe de se inscrever no nosso canal RUMBLE também!
Erich Kron é defensor da conscientização sobre segurança na KnowBe4.
Em alguns de nossos artigos e especialmente em nossas análises, você encontrará Amazon ou outros links afiliados. Qualquer compra que você fizer por meio desses links geralmente resulta em uma pequena quantia ganha para o site e/ou nossos redatores. A Techaeris costuma cobrir comunicados de imprensa da marca. Fazer isso não constitui um endosso de qualquer produto ou serviço da Techaeris. Disponibilizamos as informações do press release para que nosso público se informe e tome sua própria decisão sobre a compra ou não. Somente nossas avaliações são um endosso ou a falta dele. Para obter mais informações, você pode ler nosso aviso completo.
.
