Incidentes em redes ligadas à internet aumentam no país
Valor - 29/11/2017 - [gif]
Autor: Carmen Nery
Assunto: Segurança na Internet
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) registrou um aumento de 138% nos ataques de negação de serviço (DoS) em 2016. O CERT.br recebeu 647.112 notificações de incidentes de segurança, envolvendo redes conectadas à internet no país. A maior parte dessas notificações corresponde a ataques originados por equipamentos de IoT (internet das coisas) infectados e que fazem parte de botnets (redes de computadores infectados por conjuntos de programas, ou bots, semelhantes).
Cristine Hoepers, gerente do CERT.br, informa que se observou, também, uma sensível queda no número de notificações de DoS envolvendo protocolos de rede que podem ser utilizados como amplificadores, devido, em parte, justamente à popularização dos ataques DDoS originados por dispositivos IoT. Ela alerta que, apesar da redução nos ataques envolvendo protocolos de rede, ainda existem muitos serviços mal configurados que permitem abuso para ataques de amplificação.
"Para reduzir os ataques DDoS, é muito importante que todos adotem boas práticas, como a configuração correta dos serviços de rede, e que a instalação de dispositivos IoT leve em consideração a sua proteção contra infecções por botnets", recomenda Cristine.
Em apresentação durante o Internet Fórum, realizado no Rio de Janeiro, ela apresentou dados demonstrando que, atualmente, os sistemas estão vulneráveis. Há no Brasil 6 mil sistemas autônomos, e um terço está mal codificado. Cristine afirmou que os ataques e abusos são possíveis porque os roteadores de banda larga contêm falhas de segurança, assim como as câmeras de segurança, muitas com senha padrão e backdoor de fabricantes, por onde é possível haver invasões; além de equipamentos médicos sem criptografia.
lávia Lefèvre, presidente do Proteste e representante do terceiro setor no Comitê Gestor da Internet (CGI), reclama que o CGI não foi ouvido no Plano Nacional de Internet das Coisas. Ela alerta que o relatório do plano não previu nenhum tipo de regulação em relação à interoperabilidade e à segurança para os dispositivos IoT.
"Tivemos um Plano Nacional de Internet das Coisas, que não teve uma participação institucional do Comitê Gestor da Internet, apenas alguns membros foram convidados pontualmente para algumas reuniões", diz Flávia.
Ela defende que deveriam ter sido definidas diretrizes para obrigar algum nível de interoperabilidade e segurança entre os sistemas de marcas diferentes. Além disso, alerta para o fato de que a maior parte dos aparelhos vêm com backdoors que permitem invasão.
"O que nos foi dito pelo representante do plano é que era melhor não regular antecipadamente e fazer uma regulação posterior. Como representante de uma entidade de defesa do consumidor, isso me preocupa, pois corremos o risco de ficar escravos de marcas e, como cidadã, preocupa o fato ficarmos à mercê do backdoor", diz Flávia.
Para Thiago Tavares Nunes de Oliveira, conselheiro do CGI, o governo falhou em não apontar uma direção. Ele reconhece que há uma grande preocupação em se preservar a inovação e, se o país não conseguir construir uma boa regulação, isso pode vir a representar uma barreira de entrada. Mas ressalta que a não regulação é um tipo de regulação, pois quando não se regula, o mercado vai tentar impor as suas condições.
"Embora os dois pilares do plano sejam a interoperabilidade e a segurança, não houve uma sinalização clara pelo menos em relação às boas práticas de segurança. Vale dizer que esses dispositivos de IoT estão coletando dados pessoais muito sensíveis, inclusive de crianças e populações extremamente vulneráveis. Não dá para atribuir ao próprio mercado a condição de definir uma autorregulação", defendeu Oliveira.
Ele apresentou casos que demonstram porque a IoT vem sendo considerada por muitos como "Internet of Threat" (internet das ameaças) e cita a proibição, por parte do governo alemão, da boneca Cayla, cujo fabricante usava conversas das crianças com fins de marketing. E também os vazamentos, em dezembro, de dados de 6,4 milhões de crianças usuárias de brinquedos da Vtech, empresa de Hong-Kong que desenvolve brinquedos eletrônicos conectados pela internet.
Outro vazamento colocou em risco a privacidade de 800 mil pessoas, entre adultos e crianças usuárias de produtos Cloudpet, bichinhos de pelúcia da companhia americana Spiral Toys. "Inteligentes", os brinquedos permitem que os pais conversem com os filhos remotamente, armazenando mensagens em um servidor que se mostrou pouco confiável. Com senhas facilmente decifráveis, os dados acabaram hackeados.
