Uma das minhas tradições bregas preferidas na indústria de conferências é o bingo da palavra-chiclete. Que palavras ou frases serão ouvidas em praticamente cada estande, palestra e reunião? Nunca temos de esperar muito para descobrir, este ano a Black Hat não decepcionou e a vencedora foi cidades inteligentes (smart cities).
Veja bem, o termo não é novo e o conceito na verdade é bem convincente. Uma cidade inteligente se vale da tecnologia como forma de auxiliar seus residentes a viverem felizes por meio da prevenção de enchentes, redução de trânsito, automação de coleta de lixo, entre outros. Parece ótimo, não é mesmo?
Agora, pensemos nos dispositivos e sistemas inteligentes que permitem que as tecnologias da smart city se conectem à internet – eles possuem vulnerabilidades capazes de levar a problemas concretos.
Muitas vezes, as pessoas fazem vista grossa para as vulnerabilidades das IoTs, riem de fabricantes por deixarem que terceiros espiem por meio de babás eletrônicas ou mudem a temperatura do termostato conectado de alguém. Entretanto, quando você considera que esses dispositivos podem controlar o nível de água em barragens ou alertar residentes de um episódio de cheia – ou ainda, níveis de radiação em locais próximos a uma usina nuclear – o buraco é mais embaixo: envolve pânico da população residente.
Durante o segundo dia da conferência, pesquisadores da Threatcare e IBM X-Force Red compartilharam os resultados de uma pesquisa conjunta que descrevia vulnerabilidades de dia zero encontradas dentro de quatro exemplares de tecnologias de cidades inteligentes.
Por meio dos buscadores de IoTs Shodan e Censys, os pesquisadores descobriram diversos dispositivos inteligentes já em utilização nos Estados Unidos, Europa, e entre outros locais. No total, foram encontradas 17 vulnerabilidades, mais da metade das quais podem ser consideradas críticas.
A pesquisa revelou informações ainda mais alarmantes, como por exemplo um país europeu que utilizava um dispositivo vulnerável para detectar radiação e outro nos EUA para controle de trânsito. (Os autores alertaram as autoridades ou agências acerca das vulnerabilidades.)
A questão é que as vulnerabilidades não eram complicadas. Os pesquisadores disseram tê-las encontrado bem rápido e que os fabricantes conseguiram corrigi-las por meio de medidas básicas.
Está claro, as ameaças são reais. Sendo justo, o fabricante foi bastante solícito com os pesquisadores e tomou as medidas de correção necessárias. Se as cidades em questão aplicaram as patches rapidamente, bem, isso não podemos afirmar.
No esforço de dar ênfase aos piores cenários possíveis, os pesquisadores construíram um modelo baseado em uma barragem equipada com um dos dispositivos avaliados nos estudos. Tratava-se de sensores inteligentes capazes de controlar o nível da água do reservatório. Com um ataque executado em menos de um minuto, o time drenou a água da barragem fictícia e inundou o vale o rio abaixo cobrindo as vias paralelas em ambas as margens.
Repetimos: o equipamento não é um dispositivo IoT qualquer – trata-se de uma tecnologia real utilizada em cidades de verdade. Governos e municípios dependem desses dispositivos para tarefas diárias. Se pesquisadores de segurança conseguiram encontrar vulnerabilidades com pouco esforço, é questão de tempo até cibercriminosos fazerem o mesmo ou encontrar algo pior.
Podemos achar exagerado e até mesmo rir do medo, mas cidades e suas administrações seriam sábias em aceitar o conselho desses pesquisadores; cidades inteligentes representam uma indústria em expansão, com expectativa de crescimento da ordem de U$ 135 bilhões nos próximos três anos. Diferente da maioria dos IoTs, esses dispositivos protegem muita mais que uma tecnologia capaz de pedir uma pizza ou encher a máquina de sabão – protegem o que interessa nas cidades: as pessoas.