Era uma vez uma vez um jovem chamado Enzo (um nome que “está saindo bastante” nos dias de hoje, para indicar que isso se passa em um futuro breve).

Enzo cresceu brincando, aprendendo e fuçando em dispositivos móveis. Ele sequer conheceu um computador de mesa (que tinha uma torre de computação e ainda um monitor externo). Seu lance já foi sair direto com Notebooks (um termo engraçado, já que em inglês significa livro de notas – quem aqui vos fala já se constrangeu nos EUA por conta disso), Smartphones, Tablets e diversos outros “gadgets” interessantes como um relógio conectado à Internet, um Fone de Ouvido wireless mas que também tem conexão com a nuvem para baixar músicas e ainda uma casa “100%” conectada, em que a cafeteira sabe que 07:30 é hora de começar a preparar o café e já informar sua amiga torradeira, através de troca de pacotes IPv6, que o pão deve estar pronto às 7:05.

Enzo come frutas que vêm de uma fazenda com sensores espalhados por toda a plantação e que sabe a temperatura, umidade e tudo o mais que se deve saber para que a fruta cresça a mais saborosa possível. Enzo dirige um carro que vem de uma montadora em que todas as etapas ocorrem sem qualquer intervenção de humanos e com um aprendizado do tipo “Machine Learning” em que a própria infraestrutura melhora sozinha a produtividade.

Enzo vive em um mundo IOT

Ele vive de mãos dadas com a “Internet das Coisas”. Um mundo em que tudo está conectado, tudo é (ainda) mais rápido e em que homem e máquina tornam-se uma entidade única.

Será que precisamos avançar muito no tempo para que tudo isso seja verdade?

Não, IOT está acontecendo agora. Até 2020 teremos mais de 50 bilhões de dispositivos conectados e, após, deve seguir o crescimento em uma curva exponencial.

E IOT é uma coisa boa?

Claro, é uma coisa fantástica! IOT tem o potencial de transformar a tecnologia e, consequentemente, nossas vidas de uma forma jamais vista. Imagine uma cidade em que o semáforo entende que não há carros naquele momento atravessando, logo, pode mudar de verde para vermelho segundos antes e já sincronizar com os demais semáforos para otimizar a rota (principalmente para uma ambulância ou polícia).

Ou imagine todas as vagas de estacionamento da cidade com sensores que alimentam um APP, direto no painel do carro IOT, que já encontra a vaga e faz uma pré-reserva. IOT é uma linda (ou um lindo) que vem para fundamentalmente mudar a forma como vivemos, trabalhamos, curtimos e amamos.

E onde Segurança entra no meio de tudo isso?

IOT é uma coisa linda... mas não para Segurança da Informação.

Os desafios são gigantescos. O mundo comete com IOT o mesmo erro que cometeu com Redes há anos atrás: quando inventamos Switches e Roteadores, o foco era aumentar agilidade, rapidez, com mais pacotes por segundo, mais frames por segundo, portas com mais MB, GB, TB... faster, faster, faster. Depois, percebendo que faltou segurança, começamos a colocar outras peças no quebra-cabeça (tapa-buracos): firewalls, IPS, ACL... tudo para endereçar aspectos de segurança (com o custo de reduzir produtividade).

Com IOT o mesmo está acontecendo. Cada vez mais dispositivos entram nessa onda e se conectam à Internet para serem gerenciadas por Aplicativos direto de nossos Smartphones. Já tenho amigos que conseguem controlar câmeras de vigilância, luz e garagem de suas casas por APPs nos seus telefones.

Como consultor, comumente pergunto:

O que vai acontecer quando o próprio fogão for IOT?

Quando quisermos um equipamento que é puro fogo e combustível conectado à rede pelo simples conforto de ligá-lo 30 minutos antes de chegarmos em casa para desfrutar de uma esplêndida pizza 5 queijos assim que entrarmos pela porta. E quando nosso carro for inteiro IOT? Qual seria o impacto de uma invasão (hack) que controlasse nosso veículo levando-nos desfiladeiro abaixo a 200km/h? Ou ainda quando o hospital for 100% IOT e alguém desligar equipamentos deliberadamente depois de invadir o sistema do hospital?

São situações assim que assustam quando pensamos em IOT.



Então, como se deixa IOT seguro?

Do ponto de vista de Desenvolvimento (afinal, por trás de cada IOT sempre há uma equipe de Dev), devemos ver cada vez mais mudanças no ciclo de desenvolvimento, desde os clássicos Waterfall hierárquicos até os magníficos modelos Agile. Todo e qualquer modelo vai ter como parte do processo de Release uma equipe de testes de código. Testes caixa-branca, caixa-azul, caixa-preta, metodologicamente desenhados e implantados. O objetivo, claro, é diminuir a superfície de ataques, reduzindo a quantidade de vulnerabilidades.

Note-se, por exemplo que um Lead Software Security Engineer hoje chega a ganhar uma média de 230.000 Dólares"

Mudando o foco para SI tradicional, a preocupação com CIA (Confidencialidade, Integridade e Disponibilidade) vai ser ainda maior. Costumeiramente brinco dizendo que dos 3 pilares de SI, IOT vai mudar mais com o 2º (Integridade) afinal de contas não estaremos apenas preocupados com os Hashes MD5 e SHA da informação. Estaremos falando, literalmente, da nossa integridade física (fogão explodindo casa, carro montanha abaixo). Como IOT é algo que estende o perímetro corporativo, a conscientização de Segurança não vai ser apenas algo da firma em que se trabalha. Vai ser algo social, uma preocupação dos governos, para que seu povo faça uso apropriado das tecnologias. Isso vai levar à maior preocupação com criação de senhas mais seguras, políticas de trocas de senhas (pense naquelas câmeras de vigilância IOT com usuário admin e senha default) recorrentes e cultura de segurança em geral.

Quanto a soluções de Segurança que ajudam a proteger IOT, o que já se vê (e se verá ainda mais) vai ser a

fuga de soluções de endpoint e maior foco na rede.

Por que? Pelo fato de que não será possível instalar Antivírus e outras soluções diretamente nos dispositivos. Em um caso recente, observamos em um cliente máquinas de refrigerante IOT que deixaram de ser sequestradas (encriptadas) em um ataque de Ransomware devido ao fato de que uma solução de proteção de DNS fez o bloqueio na resolução que levaria o Malware até o seu “chefe” para buscar a chave usada no sequestro (a chave pública que faria a encriptação).

Veremos soluções de Segurança de Redes tradicionais (como Firewall e IPS) ganhando força, ao mesmo tempo em que novas tecnologias vão ganhar espaço, como proteção de DNS, NBA (Network Behavior Analysis – baseada no comportamento da rede), CASB e SIEM.

Não me entenda mal: não estou dizendo que soluções de endpoint vão perder espaço. Apenas estou dizendo que, com a prevalência de dispositivos IOT, nos quais não temos permissão/privilégio para instalar agentes de segurança,

devemos regressar sempre à arquitetura de segurança em camadas e deixar que a rede inteira participe do processo de proteção e redução de risco.

Muita água ainda vai rolar. Enquanto você lê esse Post, milhares de Startups trabalham em projetos de IOT que vão facilitar nossas vidas de uma forma ou outra.

E como isso te afeta?

Bem, tirando o fato de que não queremos que a casa de ninguém exploda devido a um hack no fogão, fundamentalmente acreditamos que os profissionais de TI que estejam qualificados para entender Segurança da Informação e Redes de Computadores terão seu lugar garantido e grandes avenidas de crescimento por meritocracia e destaque.

E é isso que nos move na SegInfoBrasil. Enxergar um problema e ajudar a preparar os profissionais do futuro que vão ajudar todos a resolvê-los (e receber uma generosa contrapartida por siso).

Criamos uma metologia de ensino simples para que você acelere seu crescimento, de destaque e atinja seus objetivos.

E você, está pronto?

-----

Marcos Cavinato é Engenheiro Consultor de Segurança da Informação em uma das maiores multinacionais do ramo. É certificado CISSP #604399, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.

#IOT #internetofthings #internetdascoisas #segurança #segurançadainformação #cursodesegurançaemredesdecomputadores