Na
estreia de meu primeiro artigo sobre integração de dados abertos e
sua relação com a segurança de redes e sistemas, trago um termo
que está sendo cada vez mais usado nos meios tecnológicos, a
“Internet of things” ou simplesmente “Internet das coisas”.
Esse conceito surgiu a partir de protótipos de um laboratório do
MIT e logo conquistou o coração das empresas de Cloud e Big Data. A
Cisco é uma grande patrocinadora dessa nova visão tecnológica e
está investindo pesado em produtos para torná-la cada vez mais
acessível.
Basicamente,
a CoT (Cloud of Things, outro termo sinônimo a Internet das coisas)
utiliza tecnologias de identificação por radiofrequência (RFID) e
sensores sem fio para permitir uma comunicação mais natural entre
dispositivos do dia a dia.
Fonte:
Wikipedia
|
Deixe-me
exemplificar: hoje um usuário normalmente possui um notebook e um
smartphone conectado à Internet, e em alguns casos também um
tablet. Apesar de outros dispositivos residenciais, como Smart TVs,
também possuírem conexão com a rede eles não interagem muito bem
entre si. É aí que entrará o conceito de CoT ao permitir uma maior
integração entre esses equipamentos sem necessariamente depender da
integração do usuário.
Vamos supor que um usuário deseja assistir a um
filme e ao fim deste comer um sanduíche e tomar um café. Desde que
devidamente configurados, a TV poderia enviar uma mensagem à
cafeteira eletrônica para que ela prepare o café. Esta, assim que o
café estivesse quase pronto, poderia avisar ao microondas para
aquecer o lanche. Finalmente, o smartphone ou a smart TV do usuário
receberia a mensagem de que já pode desfrutar de seu aperitivo.
Parece
coisa de ficção científica, mas é uma tecnologia que já está se
tornando cada vez mais comum entre nós. Considerando que hoje temos
uma enorme gama de dispositivos domésticos que podem ser conectados
à Internet (além dos que citei anteriormente temos geladeiras,
rádios, portões eletrônicos, câmeras de monitoramento,
videogames, babás eletrônicas e muito mais) teremos uma demanda
cada vez mais crescente da implementação tecnologias de cloud, big
data e certificações digitais.
Entretanto,
toda essa facilidade trará consigo preocupações por parte de
empresas de órgãos governamentais. Com o conceito de BYOD cada vez
mais difundido (Bring Your own Device – traga seu próprio
dispositivo) os funcionários tem levado seus smartphones, laptops e
tablets para dentro das instituições. É de consenso geral pelos
especialistas de segurança que hoje os dispositivos clientes são um
ponto de ataque muito mais interessante para invasores pois estes são
mais vulneráveis e oferecem uma menor proteção do que os
equipamentos corporativos. Um exemplo simples é o caso do
smartphone, que pode ser facilmente “sequestrado” para uma rede
wireless “falsa” e ter seus dados capturados.
Um
ataque bem planejado poderia atingir um dos dispositivos CoT do
usuário (como a Smart TV ou o microondas) e usufruir da confiança
entre esse equipamento e o smartphone/notebook. Assim, poderia
infectar a ferramenta de trabalho que o funcionário leva para a
empresa criando literalmente uma bomba-relógio que iniciará um
ataque “de dentro” da instituição visando obter dados
administrativos e financeiros que poderiam causar estrago
considerável.
Pode
parecer um risco muito distante e específico, mas devemos lembrar
que cada vez mais estamos agregando o uso de novos dispositivos no
nosso dia a dia, e a computação vestível é um grande exemplo
disso. Gadgets como Smartwatchs (relógios inteligentes),
smartglasses (óculos capazes de servir como pequenos computadores -
vide o Google Glass) e outros fazem com que está aumentando o número
médio de dispositivos que são levados para dentro das instituições
pelos usuários. Cada um desses aparelhos pode representar um perigo
em potencial caso seja atingido por um ataque CoT, entre outros.
O
grande desafio então é compreender e implementar maneiras de
integrar estes recursos de forma segura e saber como mitigar ataques
caso algum seja tentado contra a instituição. Uma das soluções
propostas é o uso do Big Data para o desenvolvimento de um sistema
de detecção e mitigação de vulnerabilidades de forma mais ativa e
com menor retrabalho. Em meus próximos artigos falarei um pouco mais
sobre o tema.
Comentários
Postar um comentário