Segurança para a Internet das Coisas

*** Artigo publicado na RTI, edição de Março de 2015 ***

Estima-se que em 2020 haverá 50 bilhões de equipamentos conectados à Internet, entre equipamentos de saúde em hospitais e residências, equipamentos industriais e de distribuição de energia elétrica, sinais de transito e tudo que fizer sentido conectar, como automóveis. Mesmo em nossas residências é questão de tempo comprar equipamentos conectados como geladeiras. É só lembrar que até pouco tempo as TVs conectadas eram ainda uma novidade cara. Em algum tempo só haverá esses modelos, da mesmo forma que ocorreu com os telefones celulares. No entanto a população estimada para esse anos é de 7.7 bilhões. Serão sete dispositivos para cada pessoa.  Não é exagero dizer que a Internet das Coisas (IoT) irá revolucionar a maneira como vivemos.

Mas e a segurança dessa estrutura massiva de dispositivos, tráfego e dados? É viável adaptar nossos modelos de segurança atuais para proteger também essa nova Internet? Ou será necessário um novo modelo de segurança? Aliás, precisaremos mesmo de tantos cuidados, ou essa discussão é um exagero? Escrever sobre a segurança da Internet das Coisas é sempre um desafio, desde meu primeiro artigo sobre o assunto em 2010, aqui mesmo na RTI. Desafio porque é algo que está sempre construído agora, e falar sobre ela é igual a escrever sobre andares de um edifício que dependem de andares inferiores que ainda nem foram planejados. Assim posso escrever hoje algo que poderá ir para o caminho oposto em questão de meses. Mas alguns aspectos já estão planejados ou razoavelmente garantidos para o futuro. Vale a pena abordá-los.

Já está claro que a base tecnológica de muitos dos novos dispositivos representará um risco em potencial. Diferentemente dos dispositivos computacionais, e ai incluo os smartphones, não serão todos que poderão ser facilmente atualizados ou executar programas de segurança. Estou falando de alguns equipamentos que serão extremamente simples, como sensores de cidades inteligentes ou em fábricas, com recursos de CPU e memoria limitados, dificultando por exemplo o uso de criptografia e autenticação.

É fato também que a Internet das Coisas do futuro não é a simples expansão da conexão de dispositivos como conhecemos hoje, majoritariamente composta de dispositivos conectados em redes fechadas, com pouca interação com outras redes e dispositivos. Quando se fala de cidades inteligentes, fala-se por exemplo de carros trocando informações com sensores públicos instalados nas ruas, sinais de trânsito capazes de reagir de maneira autônoma a eventos como a passagem de uma ambulância, e tudo mais que fizer sentido. Esse interação, seja entre rede ou sensores, também representa um risco, e a questão está sendo trabalhada no âmbito do Internet of Things World Forum (iotwf), evento global cujo primeiro encontro ocorreu em 2013 em Barcelona. O evento em 2014 premiou pesquisas em criptografia, autenticação e privacidade.

Outra área sendo trabalhada é de um novo sistema de criptografia que consuma menos recursos ao usar chaves criptográficas mais simples sem no entanto reduzir o nível de encriptação, facilitando a adoção em equipamentos simples, como os sensores de que estamos falando. Esse novo sistema atende pelo nome de Elliptic Curve Cryptography (ECC).

Outro imenso desafio é a capacidade de analisar os imensos volumes de dados transmitidos na rede em busca de anomalias ou tráfego suspeito.  A resposta pode estar no Real-Time Analytics, o conjunto de tecnologias que permite a análise em tempo real de quantidades massivas de dados. Para as redes que suportarão o futuro da Internet das Coisas é esperado que essa capacidade esteja inserida nos próprios equipamentos de rede, que poderão assim detectar e responder a eventos ou anomalias antes mesmo que os operadores atuem com ações corretivas. Hoje já é possível que a própria rede atue como um grande sensor de segurança, obtendo dados em tempo real que são analisados por sistemas de análise comportamental e de detecção de anomalias.

Outra questão é a da segurança física. Muitos dos sensores inteligentes estará nas ruas e em locais públicos, assim como já ocorre hoje com os equipamentos dos hotspots. É de se esperar que os administradores não irão desejar que alguém tenha acesso físico a eles. Mas é possível que isso ocorra e por isso mecanismos tem que ser criados para evitar que alguém insira fisicamente dados falsificados, ou comprometa os dados captados por sensores inteligentes.

Por fim a privacidade. No fundo boa parte desses dispositivos e sensores estarão associados a pessoas, seja um sensor médico ou nosso celular ou carro, revelando onde estamos e para onde fomos anteriormente. A relação de privacidade não envolve apenas leis e regulações, pois as organizações que armazenam esses dados precisam garantir sua inviolabilidade, na aquisição, transporte, processamento e armazenagem. Não é muito diferente do que já ocorre em nossa vida digital, mas dessa vez com nossa vida real. Um bom exemplo do tamanho do desafio é o que já é feito hoje com os smartphones e os aplicativos de geolocalização. Nossos telefones hoje agem como sensores enviando informações a uma grande base de dados em nuvem. Está lá onde pesquisamos com o aplicativo de mapas e para onde ele nos guiou, onde estamos e onde estivemos, páginas acessadas e compras realizadas a partir daquele celular e muito mais. Até as fotos que usamos podem ser automaticamente enviadas à nuvem para ficar a disposição de amigos e ás vezes desconhecidos, amigos dos amigos dos amigos. Nos metadados dessas fotos estão também o local, dia e hora.

É fácil notar que ao falar de IoT fala-se bastante da nuvem. Sim, a IoT está e estará muito conectada à computação em nuvem. Esse volume extraordinário de dados necessita ser processado em sistemas altamente escaláveis, sem as amarras existente nos modelos atuais. Mas mesmo a própria rede será diferente do que conhecemos hoje. Os cérebros e empresas que estão construindo essa nova rede estão investindo em novos protocolos. A transição por certo será lenta, e na verdade já começou, mas Internet definitivamente não será como a conhecemos hoje.