A comodidade prometida pela chamada "internet das coisas" também abre as portas para a invasão dos hackers nas redes domésticas

Por Glenn Fleishman

Em inúmeras histórias de ficção científica, é corriqueira a revolta de eletrodomésticos comuns. Em um episódio da série de animação Futurama, torradeiras e robôs domésticos se rebelam contra seus opressores humanos. Duas tendências atuais começam a tornar esse cenário bem menos absurdo.
A primeira delas é a onda de aparelhos de internet das coisas — fartamente expostos na CES (Consumer Electronics Show, ou Feira de Eletroeletrônicos) no início de janeiro. A outra é o volume crescente de equipamentos de redes domésticas hackeados — foi o que se viu, por exemplo, na recente descoberta de uma horda de zumbis de roteadores de redes domésticas.

Várias empresas exibiram na CES aparelhos e eletrodomésticos conectados à internet, de lâmpadas inteligentes a máquinas de lavar controladas pelo smartphone. A Samsung chegou a prometer que todos os seus produtos estariam conectados à internet no ano 2020.
Enquanto isso, Brian Krebs, pesquisador da área de segurança e escritor, revelou na semana passada que hackers haviam construído uma rede, a Lizard Stressor, que outros poderiam usar para derrubar sites, criar transtornos ou para fins criminosos. Não há novidade alguma em redes de computadores pessoais ou servidores convertidos em "bots" (robôs).

O que Krebs descobriu, porém, é que a Lizard Stressor utiliza roteadores usados nas casas das pessoas e em redes comerciais. Aparelhos infectados ou comprometidos, quando conectados a uma rede doméstica, poderiam ser usados para fins abusivos. Eles poderiam ser o ponto de partida para a invasão de computadores ou ser usados para capturar dados que trafegam pelas redes domésticas, inclusive senhas ou detalhes do cartão de crédito.

A facilidade com que esses roteadores foram comprometidos talvez não surpreenda. Está bem documentado o fato de que a maior parte dos roteadores são equipados com softwares facilmente controláveis ou com um painel de controle administrativo com nome de usuário e senha predefinidos do tipo "admin".

Aparelhos inteligentes normalmente são equipados com recursos de rede semelhantes. Na medida em que um número maior de eletrodomésticos informatizados se conecta a internet, tornam-se possíveis alvos da atenção dos hackers.

Vários fatores contribuem para a insegurança dos equipamentos de rede doméstica. De modo geral, o consumidor não adquire aparelhos com base nos requisitos de segurança seguidos pelos profissionais de TI — garantia de atualização do sistema operacional durante um tempo predeterminado, entre outros. Pelo contrário, o hábito de compra é guiado pelos preços mais em conta dos produtos. Além disso, os recursos disponíveis são distribuídos de forma heterogênea nos hardwares mais baratos, inclusive por grandes fabricantes.

Existe também uma tensão entre mais segurança e comodidade para o usuário. Configurar um nome da conta e uma senha específica para cada roteador é algo relativamente trivial, assim como a exigência de um passo físico durante a autenticação, como a introdução de uma conexão USB. O problema é que essas medidas de segurança acabam frustrando muitos usuários. Eles ligam para o suporte ao consumidor e no fim devolvem o aparelho à loja.

Até mesmo quando o aparelho foi projetado para ser seguro, recursos como portas abertas, cujo propósito é permitir a comunicação com outros computadores, podem servir de meio para o acesso remoto não previsto, e o software pode estar desatualizado. Em setembro do ano passado, uma empresa disse que 1,2 milhão de roteadores dotados de protocolos comuns podiam ser facilmente devassados. Em dezembro, um bug que havia consertado em 2002 foi encontrado em 12 milhões de roteadores domésticos. Um método comum de acesso ao roteador doméstico pelos provedores de internet (ISP) pode ser também uma forma de invadir milhões de equipamentos.
Os aparelhos — inclusive os produzidos por grandes fabricantes — costumam não ser atualizados por três motivos: o fabricante interrompe o suporte para reduzir custos; o fabricante abre falência ou sai do negócio; o cliente talvez não esteja devidamente preparado para lidar com a operação técnica de atualização do firmware, o que pode exigir dele que faça o download de um patch e, posteriormente, seu upload através da interface administrativa de um navegador.

Há milhões de roteadores nos lares e em pequenas empresas no mundo inteiro. Estima-se que haja atualmente entre 4 e 5 bilhões de aparelhos operando no segmento de internet das coisas, e a expectativa é que esse número chegue a um total entre 25 e 50 bilhões nos próximos cinco anos. As deficiências desses aparelhos são parecidas com as encontradas nos equipamentos de redes domésticas, principalmente porque as empresas têm pressa em lançar novos produtos.

Alguns órgãos reguladores parecem estar cientes dessas ciladas, e demonstram estar dispostos a evitar as vulnerabilidades que caracterizaram as gerações anteriores de aparelhos integrados. Edith Ramirez, presidente da Comissão Federal do Comércio dos EUA (FTC), fez um discurso de oito páginas detalhando a preocupação de sua agência com a privacidade, coleta de dados e segurança, numa clara advertência aos fabricantes de internet das coisas. Talvez seja hora de eles ouvirem.