.
Todos os anos, a cidade de Las Vegas recebe muitos dos maiores nomes da eletrônica de consumo na conferência anual CES (Consumer Electronics Show). Para muitas organizações, este é o show onde eles lançam seus novos produtos de ponta ou mostram sua visão para o futuro.
Tempo estimado de leitura: 9 minutos
Este show cobre tudo, desde o que há de mais recente em torradeiras inteligentes até veículos elétricos com inteligência artificial. Em 2020, mais de 4.500 organizações participaram do show, abrangendo mais de 2,9 milhões de pés quadrados em locais ao redor da Las Vegas Strip.
Este é o paraíso para um nerd como eu, e finalmente participei do show este ano. Além de apenas explorar a nova tecnologia, meu objetivo era simples. Eu queria conversar com fornecedores sobre a segurança de seus produtos, especialmente aqueles que estão sendo direcionados para uso doméstico.
Na era das geladeiras conectadas à Internet e câmeras de segurança domésticas baratas conectadas à nuvem, estamos conectando dispositivos da Internet das Coisas (IoT) à Internet em um ritmo fantástico. Estima-se que existam mais de 46 bilhões de dispositivos conectados por aí, uma média de 10 dispositivos por residência. Com todos esses dispositivos conectados sendo instalados em nossas casas, eu esperava que a segurança fosse um foco significativo; Contudo, isso não aparenta ser o caso.
Por que a segurança é uma preocupação nesses eletrônicos de consumo
Você pode se perguntar por que a segurança seria uma preocupação com esses dispositivos. Quero dizer, quem realmente se importa se uma geladeira tem uma vulnerabilidade de segurança? Qual é a pior coisa que pode acontecer se uma geladeira for atacada? Bem, infelizmente, muitas coisas podem acontecer, e poucas delas são boas. Aqui estão alguns cenários.
Imagine ir até a geladeira para pegar um copo de leite frio e na tela aparece uma mensagem dizendo que se você não pagar algumas centenas de dólares a alguns cibercriminosos em breve, sua geladeira vai parar de funcionar. Isso é chamado de ransomware e, embora não seja uma ameaça séria para seus eletrodomésticos típicos no momento, é apenas uma questão de tempo.
O ransomware se tornou uma das maiores ameaças às redes nas organizações nos tempos modernos, e há muito pouco que os impeça de atingir residências. Com o custo dos refrigeradores subindo para vários milhares de dólares, quem não pagaria algumas centenas para evitar que se transformem em lixo? Se você depende de uma garantia para consertar isso, provavelmente está sem sorte, como se alguém invadisse sua casa e a destruísse.
Outro cenário é um cibercriminoso usando seu dispositivo e rede para atacar outras organizações. Um ataque distribuído de negação de serviço (DDoS) é quando um agente mal-intencionado envia muito tráfego da Internet para um alvo, travando seu site ou até mesmo tornando sua rede tão lenta que não consegue funcionar.
Os cibercriminosos podem usar esses ataques para extorquir dinheiro das vítimas ou podem pagar por um serviço para prejudicar o alvo. Esses ataques geralmente são possíveis por meio de botnets ou grandes grupos de dispositivos infectados com acesso à Internet controlados por agentes mal-intencionados, e a frequência dos ataques aumenta.
Houve um aumento de 173% nesses ataques apenas entre o terceiro e o quarto trimestre de 2021 (https://portswigger.net/daily-swig/report-ddos-attacks-increasing-year-on-year-as-cybercriminals-demand-extortionate -pagamentos). Sim, sua fiel geladeira pode ter um lado negro, atacando vítimas infelizes enquanto mantém seus vegetais frescos, e você pode nunca saber disso.
Esses dispositivos também podem ser usados como uma forma de entrar em sua rede e ajudar os cibercriminosos a roubar informações suas ou a espalhar vírus em sua rede doméstica. Os refrigeradores não são apenas um alvo possível, mas qualquer dispositivo conectado à Internet pode ser usado para esses fins e muito mais.
Imagine cibercriminosos acessando feeds de vídeo ou áudio de câmeras de segurança ou qualquer dispositivo em sua casa que tenha uma câmera ou microfone integrado. Isso aconteceu e continuará a acontecer novamente.
De forma alarmante, muitas pequenas empresas também usam esses dispositivos de nível de consumidor dentro de suas organizações, nunca considerando os riscos que estão assumindo. Isso faz sentido do ponto de vista de custo, pois câmeras e dispositivos de nível empresarial podem custar o dobro ou mais e oferecem recursos de que as pequenas empresas não precisam.
O que descobri no CES
Eu tinha esperança de que em algum lugar no showroom de eletrônicos de 2,9 milhões de pés quadrados, encontraria pelo menos alguns fabricantes que divulgavam a forte segurança cibernética de seus produtos como um recurso crítico. Fiquei muito desapontado. Encontrei muitos olhares em branco e referências a outras pessoas que também não conseguiram responder a nenhuma pergunta significativa sobre a segurança de seus produtos.
Algumas das perguntas críticas que fiz a esses fornecedores estavam relacionadas a quanto tempo eles esperavam oferecer suporte às atualizações de segurança nos dispositivos que estão vendendo, como eles lidavam com alguém que relatava um problema de segurança para eles e como os patches de segurança eram instalados.
Ok, eu entendi; geralmente são vendedores ou profissionais de marketing, não gurus da segurança. Eu não esperava que todos eles tivessem respostas para minhas perguntas imediatamente. No entanto, eu esperava que alguém no show pudesse responder a algumas perguntas básicas. Na maioria dos casos, eu estava enganado.
Nenhum fornecedor com quem falei poderia me dizer quanto tempo eles se comprometeriam a fornecer patches de segurança para os produtos à venda. Embora isso possa não ser tão crítico em uma webcam barata (ainda é um problema), onde era essencial, como veículos elétricos conectados e carros fabricados por pequenas e grandes empresas, também não havia compromisso.
É essencial entender que os fabricantes de automóveis estão cada vez mais se apoiando em tecnologias como recursos de direção autônoma, que usam aceleração, frenagem e direção controladas por computador, entre outras coisas. Um grande grupo automotivo se autodenomina uma “empresa de mobilidade tecnológica sustentável”, não apenas um fabricante de automóveis. Quando perguntei sobre atualizações futuras para esses veículos, disseram-me que eles seriam suportados por “bastante tempo”.
Imagine que, daqui a 12 anos, seja descoberto que um malfeitor pode acessar seu veículo por meio do ponto de acesso sem fio ou aplicativo de smartphone e controlar sua direção, pedal do acelerador e frenagem, enquanto você dirige na estrada. Imagine se o fabricante do automóvel parou de oferecer suporte a atualizações de segurança para esse veículo.
Embora isso pareça uma coisa assustadora digna do papel de alumínio, se não fizermos as perguntas agora e obtermos algum compromisso dos fabricantes, podemos achar que é um problema real. Em 2015, a Chrysler fez o recall de 1,4 milhão de veículos depois que alguns hackers conseguiram desativar um veículo enquanto ele viajava na estrada a 110 quilômetros por hora. Às vezes, o papel alumínio não é um exagero.
Mesmo que os veículos não sejam controlados enquanto dirigem na estrada, outros problemas ainda surgem. Acontece que tenho um carro no topo da lista dos roubados. Na verdade, meu Dodge Challenger tem quase três vezes e meia mais chances de ser roubado do que a média nacional aqui na América.
Isso ocorre em parte porque eles são muito fáceis de roubar simplesmente programando uma nova chave para o carro. Você nem precisa ter outro presente crucial para fazer isso. Em menos de um minuto, os ladrões podem adicionar sua chave e fugir por meio de uma falha no sistema de infoentretenimento.
A Dodge emitiu um recall de segurança para este problema, onde eles não permitem mais que chaves adicionais sejam adicionadas ao carro depois de bloqueado; no entanto, embora amigos com carros de 2019 e 2020 tenham recebido notificações sobre a atualização, não recebi notificação para meu modelo de 2016. Até que o faça, não vou dirigir meu carro até o aeroporto, um local privilegiado para ladrões desses carros.
Esse problema não se limita apenas à organização que fabrica meu carro. Quanto mais computadores colocarmos nos carros, independentemente do fabricante, mais problemas como esse surgirão. É por isso que precisamos de um compromisso para futuras correções de segurança.
Afastando-me dos veículos, também conversei com vários fabricantes de dispositivos domésticos inteligentes, incluindo aqueles que fabricam fechaduras inteligentes. Nenhum deles foi capaz de confirmar um compromisso de apoio futuro.
Conclusão
Todas as caminhadas, todas as perguntas e todas as pesquisas que fiz na CES (The Consumer Electronics Show) iluminaram algumas coisas. Primeiro, a segurança não é vital para a cultura dessas organizações de manufatura. Se a segurança fosse uma parte crucial da cultura organizacional, eu teria recebido muito menos olhares vazios ao fazer as perguntas de segurança mais básicas dos vendedores. Esse é um efeito cascata em que uma cultura de segurança sólida e razoável nos níveis mais altos de gerenciamento acaba influenciando toda a organização.
Em segundo lugar, as pessoas não estão perguntando sobre segurança ao fazer compras. Se fossem, os funcionários dos estandes estariam mais preparados para atendê-los. Este é um efeito trickle-up. Se as pessoas não se importarem em pedir segurança aprimorada, os vendedores e as equipes de marketing não perderão tempo aprendendo sobre perguntas que não precisam responder. Por mais lamentável que seja, não posso culpá-los por isso.
Como consumidores, é hora de começarmos a fazer perguntas sobre a segurança de nossos dispositivos, especialmente quando os conectamos às nossas redes domésticas. Essas são as mesmas redes domésticas onde fazemos transações bancárias, declaração de impostos e outras coisas potencialmente confidenciais.
Além de perguntar sobre segurança, é hora de mostrarmos a esses fabricantes que é uma questão essencial, comprando itens que promovem segurança em detrimento daqueles que não o fazem. Muitos desses dispositivos domésticos inteligentes são vendidos com base no preço mais baixo possível, sendo o vencedor; no entanto, como consumidores, seria muito benéfico para nós gastar um ou dois dólares a mais em dispositivos que levam a sério a segurança.
Uma vez que isso se torne um diferencial para os compradores, os fabricantes acharão muito mais fácil investir tempo em pesquisas de segurança e talvez muito mais propensos a dar suporte aos dispositivos por vários anos no futuro.
O que você pensa sobre a segurança dos eletrônicos de consumo? Especialmente eletrônicos de consumo, como dispositivos IoT? Por favor, compartilhe seus pensamentos em qualquer uma das páginas de mídia social listadas abaixo. Você também pode comentar em nossa página MeWe, juntando-se à rede social MeWe. Certifique-se de se inscrever em nosso canal RUMBLE também!
Erich Kron é um defensor da conscientização de segurança na KnowBe4.
Última atualização em 31 de dezembro de 2022.
.
