segunda-feira, 4 de agosto de 2014

Internet das coisas - Um desafio para a segurança e integração à Cloud

Na estreia de meu primeiro artigo sobre integração de dados abertos e sua relação com a segurança de redes e sistemas, trago um termo que está sendo cada vez mais usado nos meios tecnológicos, a “Internet of things” ou simplesmente “Internet das coisas”. Esse conceito surgiu a partir de protótipos de um laboratório do MIT e logo conquistou o coração das empresas de Cloud e Big Data. A Cisco é uma grande patrocinadora dessa nova visão tecnológica e está investindo pesado em produtos para torná-la cada vez mais acessível.
Basicamente, a CoT (Cloud of Things, outro termo sinônimo a Internet das coisas) utiliza tecnologias de identificação por radiofrequência (RFID) e sensores sem fio para permitir uma comunicação mais natural entre dispositivos do dia a dia.


Fonte: Wikipedia

Deixe-me exemplificar: hoje um usuário normalmente possui um notebook e um smartphone conectado à Internet, e em alguns casos também um tablet. Apesar de outros dispositivos residenciais, como Smart TVs, também possuírem conexão com a rede eles não interagem muito bem entre si. É aí que entrará o conceito de CoT ao permitir uma maior integração entre esses equipamentos sem necessariamente depender da integração do usuário.
Vamos supor que um usuário deseja assistir a um filme e ao fim deste comer um sanduíche e tomar um café. Desde que devidamente configurados, a TV poderia enviar uma mensagem à cafeteira eletrônica para que ela prepare o café. Esta, assim que o café estivesse quase pronto, poderia avisar ao microondas para aquecer o lanche. Finalmente, o smartphone ou a smart TV do usuário receberia a mensagem de que já pode desfrutar de seu aperitivo.
 
Parece coisa de ficção científica, mas é uma tecnologia que já está se tornando cada vez mais comum entre nós. Considerando que hoje temos uma enorme gama de dispositivos domésticos que podem ser conectados à Internet (além dos que citei anteriormente temos geladeiras, rádios, portões eletrônicos, câmeras de monitoramento, videogames, babás eletrônicas e muito mais) teremos uma demanda cada vez mais crescente da implementação tecnologias de cloud, big data e certificações digitais.
Entretanto, toda essa facilidade trará consigo preocupações por parte de empresas de órgãos governamentais. Com o conceito de BYOD cada vez mais difundido (Bring Your own Device – traga seu próprio dispositivo) os funcionários tem levado seus smartphones, laptops e tablets para dentro das instituições. É de consenso geral pelos especialistas de segurança que hoje os dispositivos clientes são um ponto de ataque muito mais interessante para invasores pois estes são mais vulneráveis e oferecem uma menor proteção do que os equipamentos corporativos. Um exemplo simples é o caso do smartphone, que pode ser facilmente “sequestrado” para uma rede wireless “falsa” e ter seus dados capturados.
Um ataque bem planejado poderia atingir um dos dispositivos CoT do usuário (como a Smart TV ou o microondas) e usufruir da confiança entre esse equipamento e o smartphone/notebook. Assim, poderia infectar a ferramenta de trabalho que o funcionário leva para a empresa criando literalmente uma bomba-relógio que iniciará um ataque “de dentro” da instituição visando obter dados administrativos e financeiros que poderiam causar estrago considerável.
Pode parecer um risco muito distante e específico, mas devemos lembrar que cada vez mais estamos agregando o uso de novos dispositivos no nosso dia a dia, e a computação vestível é um grande exemplo disso. Gadgets como Smartwatchs (relógios inteligentes), smartglasses (óculos capazes de servir como pequenos computadores - vide o Google Glass) e outros fazem com que está aumentando o número médio de dispositivos que são levados para dentro das instituições pelos usuários. Cada um desses aparelhos pode representar um perigo em potencial caso seja atingido por um ataque CoT, entre outros.
O grande desafio então é compreender e implementar maneiras de integrar estes recursos de forma segura e saber como mitigar ataques caso algum seja tentado contra a instituição. Uma das soluções propostas é o uso do Big Data para o desenvolvimento de um sistema de detecção e mitigação de vulnerabilidades de forma mais ativa e com menor retrabalho. Em meus próximos artigos falarei um pouco mais sobre o tema.


Nenhum comentário :

Postar um comentário