BLOG

Segurança de IoT: Não ignore o básico

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 07 de março de 2016
ursinho_de_pelucia_241113

A Internet das Coisas (IoT) é certamente um tópico de muita discussão, embora para muitos continue sendo uma moda passageira voltada ao consumidor que ainda não causou um impacto real nas empresas.

A menos, é claro, que você seja uma empresa que esteja aproveitando as coisas como parte de sua estratégia de negócios.

Às vezes esquecemos que além dos gadgets de consumo que fazem manchetes, existe um mundo inteiro de sensores, aparelhos, sistemas de controle e até brinquedos que já fazem parte da Internet das Coisas.

E isso significa que já existem problemas com segurança.

Um problema recente envolve um ursinho de pelúcia conectado à Internet da Fisher Price. A questão da segurança? Um aplicativo da web com o qual o ursinho de pelúcia se comunicava aparentemente continha uma vulnerabilidade que deixava as identidades das crianças expostas.  Isso aconteceu logo após a descoberta de diversas falhas que permitiram que a boneca Hello Barbie conectada à internet fosse potencialmente transformada em um dispositivo de vigilância .

Não tem filhos? Experimente ler os testes de segurança de Princeton para o Belkin WeMo Switch, o Nest Thermostat, um alto-falante inteligente Ubi, uma câmera de segurança Sharx, um porta-retratos digital PixStar e um hub SmartThings. De acordo com o relatório, “a Ubi usou métodos de comunicação não criptografados que revelavam informações confidenciais, como se o usuário estava em casa ou se havia algum movimento dentro da casa”. Tanto a Sharx quanto a PixStar transferiram dados não criptografados .

isso é boa

Agora, talvez estejamos nos concentrando um pouco demais no lado da "coisa" porque é novo e cada coisa nova que se conecta a uma rede acaba com uma riqueza de novos riscos de segurança que devem ser abordados e, bem, nossa, é novo e empolgante. Mas a realidade é que, à medida que você busca incorporar “coisas” ao seu modelo de negócios – seja para eficiência operacional ou para abrir novos mercados – cabe a nós voltar ao básico e garantir que esse lado da equação também esteja coberto.

É algo simples criptografar o tráfego. A Internet tem mais de 15 anos de lições, às vezes aprendidas com muito esforço, sobre a importância do gerenciamento adequado de chaves e certificados. E ainda assim milhões de dispositivos estão reutilizando certificados e compartilhando chaves . E proteger aplicativos web? Temos insistido nisso desde que o comércio eletrônico ganhou seu "e" e se tornou algo a ser explorado.

As coisas estão chegando, não tenha dúvidas sobre isso. Muitos já estão aqui, e alguns deles parecem, como Douglas Adams poderia dizer, “praticamente inofensivos”. Mas não se trata apenas das coisas. Também se trata dos aplicativos e sistemas com os quais essas coisas quase sempre se comunicam, seja para registrar, ativar, obter novos conteúdos, compartilhar dados ou para serem gerenciados.

Mesmo que o aplicativo que fornece funções de backend para o seu produto não seja promovido como acessível publicamente, ele deve ser, por definição, acessível publicamente para que as coisas lá fora possam acessá-lo pela Internet. Isso significa que você deve insistir em testes de segurança para cada aplicativo que será acessado pelo que você criou. Seja na nuvem ou no data center, ele precisa ser testado e protegido. 

A Internet das Coisas é o Negócio das Aplicações . E isso significa que a segurança da Internet das Coisas tem tanto a ver com proteger as coisas quanto com proteger o ecossistema de aplicativos que as suporta.