Tradução do artigo Security Economics of the Internet of Things, de Bruce Schneier, publicado no blog Schneier on Security.

*

Brian Krebs é um popular repórter que escreve sobre segurança cibernética. Ele expõe regularmente a identidade de criminosos do mundo virtual e as táticas por eles empregadas, e, por isso, frequentemente é alvo da sua ira. No mês passado, ele escreveu sobre um serviço online de contratação de ataques que terminou com a prisão dos dois responsáveis pelo serviço. Como resultado, o site dele foi derrubado por um ataque massivo de DDoS (NT: Distributed Denial-of-Service, Negação de Serviço Distribuído).

Sob vários pontos de vista, não há nenhuma novidade no episódio. Ataque de negação de serviço distribuído é um tipo de ataque que derruba websites e outros sistemas conectados à internet sobrecarregando-os com tráfego. O termo “distribuído” significa que outros computadores inseguros na internet – às vezes milhões deles – são recrutados para fazerem parte de uma botnet (NT: robot + network – rede de computadores que atuam sob um comando) e involuntariamente participarem do ataque. Esta tática é usada há décadas; ataques DDoS são perpetrados por hackers isolados tentando prejudicar alguém, criminosos tentanto extorquir dinheiro e governos testando as suas táticas. Há como se defender e diversas empresas oferecem serviços de mitigação de DDoS.

Basicamente, é um jogo de força. Se os atacantes conseguirem juntar uma avalanche de dados estilo mangueira de incêndio mais forte do que a capacidade do defensor, os atacantes ganham. Se os defensores conseguirem aumentar a sua capacidade durante o ataque, os defensores ganham.

As novidades no ataque a Kreb foram a escala massiva e as particularidades dos dispositivos recrutados pelos atacantes. Em vez de usar computadores tradicionais para montar a botnet, eles usaram câmeras de segurança, gravadores de vídeo digitais, roteadores domésticos e outros computadores embarcados conectados à Internet das Coisas (IoT – Internet of Things).

Muito tem sido escrito sobre a enorme insegurança da IoT. Realmente, o software usado para atacar Krebs era simples e amadorístico. Esse ataque demonstra que a atual estrutura econômica da IoT fará com que ela continue insegura a menos que o governo interfira para resolver o problema. Trata-se de uma falha de mercado que não pode ser corrigida por si só.

Os nossos computadores e smartphones são seguros porque há equipes de engenheiros de segurança trabalhando nos problemas. Companhias como Microsoft, Apple e Google dedicam bastante tempo testando o código antes de liberá-lo e rapidamente corrigem as vulnerabilidades quando elas são descobertas. Essas companhias podem sustentar essas equipes porque ganham muito dinheiro, direta ou indiretamente, com o seu software – e, de certa forma, elas competem em segurança. Isso não se aplica a sistemas embarcados como gravadores de vídeo digitais ou roteadores domésticos. Esses sistemas são vendidos com uma margem de lucro muito menor e frequentemente são construídos por empresas offshore terceirizadas. Essas companhias simplesmente não têm capacidade para construir produtos seguros.

Pior ainda, o software da maior parte desses dispositivos não tem como ser atualizado. Mesmo que o código-fonte do botnet que atacou Krebs tivesse sido tornado público, não teríamos como atualizar os dispositivos afetados. A Microsoft disponibiliza atualizações de segurança uma vez por mês. A Apple faz isso com regularidade, embora sem frequência definida.  Mas a única forma de você atualizar o firmware (NT: software de controle, monitoramento e manipulação de dados de um equipamento) do seu roteador doméstico é jogando fora e comprando um novo.

A segurança dos nossos computadores e telefones também vem do fato de que os substituímos regularmente. Compramos novos laptops a cada poucos anos. Compramos novos telefones mais frequentemente ainda. Isso não é válido para todos os sistemas embarcados da IoT. Eles duram anos, às vezes décadas. Talvez compremos um novo gravador de vídeo digital a cada cinco ou dez anos. Trocamos o nosso refrigerador a cada 25 anos. Quase nunca substituímos o nosso termostado. A indústria bancária já está lidando com problemas de segurança com Windows 95 embarcado em caixas eletrônicos. O mesmo problema ocorrerá em toda a Internet das Coisas.

O mercado não pode corrigir isso porque nem o comprador nem o vendedor se importam. Pense em todas as câmeras de segurança e gravadores de vídeo digital usados no ataque a Brian Krebs. Os donos daqueles dispositivos não se importam. Os aparelhos custaram pouco, ainda estão funcionando e eles sequer conhecem Brian. Os vendedores daqueles dispositivos não se importam: neste momento eles estão vendendo modelos mais novos e melhores, e os outros compradores só se preocupavam com preço e características. Não há solução de mercado porque a insegurança é o que os economistas chamam de externalidade: um efeito da decisão de compra que afeta outras pessoas. Pense nela como um tipo de poluição invisível.

Tudo isso significa que a IoT continuará insegura a menos que o governo interfira e corrija o problema. Quando temos falhas de mercado, o governo é a única solução. O governo poderia impôr regras de segurança para os fabricantes de IoT, forçando-os a tornar os seus dispositivos seguros mesmo que os seus clientes não se importem. O governo poderia impôr obrigações legais para os fabricantes, permitindo que pessoas como Brian Krebs os processasse. Qualquer uma dessas medidas aumentaria o custo da insegurança e daria às companhias incentivo para gastar dinheiro tornando os seus dispositivos seguros.

Esta seria, é claro, uma solução doméstica para um problema mundial. A internet é global e os atacantes podem facilmente montar uma botnet com dispositivos IoT da Ásia ou dos EUA. A longo prazo, precisamos construir uma internet que seja resiliente em relação a ataques como este. Mas isso está longe de acontecer. Enquanto isso, você pode esperar mais ataques usando dispositivos IoT inseguros.

Artigo originalmente publicado no Vice Motherboard.

***