Internet das Coisas Inseguras

28/06/2018

Internet das Coisas Inseguras

Com este título surpreendeu Bob Hinden no LACNIC 29. É que, para esse especialista, a maioria dos milhares de dispositivos da chamada “Internet das Coisas” não são seguros e podem ser controlados simplesmente se um invasor iniciar uma sessão com uma senha predeterminada.

O especialista alertou que nem as pessoas nem as organizações pensam na segurança na Internet, nem os executivos investem adequadamente em tecnologia para evitar o trabalho dos agressores.

Em uma extensa conversa com LACNIC News, Hinden abordou os principais obstáculos que ele observa para a implementação do IPv6, e mais especificamente se referiu aos problemas de segurança com a Internet das Coisas.

Em sua apresentação no LACNIC29 você falou sobre o histórico do IPv6 e sobre todas as considerações que tiveram que levar em conta para desenvolver a nova versão do IP. Quais são as perguntas e comentários que mais frequentemente recebe sobre as características do IPv6?

Antes, costumavam perguntar por que era necessário implementar o IPv6. Agora que os Registros Regionais da Internet ficaram sem endereços IPv4 e a implementação do IPv6 cresceu, esse tipo de pergunta desapareceu. Agora a pergunta é: como eu posso fazer para implementar ¨Pv6?

O IPv4 e o IPv6 não são compatíveis. Você acredita que, para aqueles que devem implementar o IPv6, essa incompatibilidade é uma das maiores preocupações? Você acha que a incompatibilidade das versões influenciou na velocidade de implementação do IPv6?

O problema foi que o IPv4 não estava desenhado para ser compatível com versões futuras. Não tinha capacidade de mudança, por exemplo, para suportar endereços mais longos. A única característica do IPv4 com compatibilidade futura era o número da versão de quatro bits. Isso sim usamos (é daí que vem o “6” do IPv6). Isso permite que o IPv6 seja executado em paralelo com o IPv4. Está funcionando muito bem e é a principal estratégia de transição usada hoje. Esta é a abordagem que suportava o IPv4 e tem funcionado bem na prática.

O principal obstáculo para a implementação do IPv6 tem sido a mudança modelos de negócios na Internet. Hoje em dia, é difícil implementar alguma coisa que não tenha um benefício de curto prazo e é muito mais difícil ainda implementar alguma coisa que não terá benefícios antes de atingir um nível de implantação em massa.

Qual a sua visão sobre a evolução do IPv6 no mundo e, principalmente, na nossa região?

Eu acho que está indo muito bem. Dada a ampla implementação nos sistemas operacionais dos hosts, é comum ver um grande crescimento do uso cada vez que um novo ISP implementa o IPv6. Nos Estados Unidos existem alguns grandes operadores (fixos e móveis) que possuem a maior parte do seu tráfego no IPv6. Da mesma forma, grandes provedores de conteúdo, como o Facebook e o Google, veem que uma grande parte de seu tráfego é o tráfego IPv6.

Acredito que o IPv6 é muito importante na região de LACNIC. Vocês têm a oportunidade de superar as outras regiões. Seria uma grande vantagem não ter que enfrentar o obstáculo do alto custo de obter endereços IPv4, o que se deve tanto ao custo de aquisição dos endereços quanto às limitações impostas por um pequeno espaço de endereçamento. O IPv6 permite projetar diferentes tipos de redes, redes mais eficientes que evitam as dificuldades impostas pelo limitado espaço de endereços IPv4 e a necessidade de lidar com uma combinação de endereços IPv4 públicos e privados.

Você acha que os desafios colocados ao desenvolver o IPv6 foram alcançados?

Sim, embora ainda haja muito a fazer. O nível atual de implementação significa que os obstáculos técnicos foram superados e que as implementações estão maduras. Se não fosse assim, não veríamos esse nível de uso. É uma questão de vontade, não de problemas tecnológicos.

Qual é o tópico de maior preocupação com relação à segurança da Internet?

As pessoas. As pessoas que não pensam na segurança, que usam sistemas antigos; organizações que não protegem seus dados internamente e quando estão em trânsito; as pessoas que acreditam que os problemas de segurança afetam apenas os outros; e os executivos que não investem adequadamente em tecnologia de segurança. Também as pessoas que atacam as redes. Obviamente, sabemos que muitas pessoas trabalham criando ferramentas para atacar dispositivos de rede e muitas outras oferecem serviços para facilitar o trabalho dos atacantes.

A corrida armamentista entre atacantes e defensores continuará, mas sempre será um problema relacionado às pessoas. Temos de encontrar maneiras de levar os atacantes à justiça e desencorajar outras pessoas a se tornarem atacantes. Neste momento, não há muitas consequências para os responsáveis por um ataque.

Precisamos educar as pessoas sobre a necessidade de dispor de tecnologia de segurança adequada e considerar a segurança ao pensar sobre como os dados são armazenados e transmitidos.

Que quer dizer quando fala da “Internet das coisas insegura”? Que exemplos você poderia nos dar?

Quero dizer que a maioria dos dispositivos na Internet das coisas não é segura. Daí o termo “a Internet das coisas inseguras”. Em muitos dispositivos, os problemas são tão graves que, para controlar o dispositivo, basta que um atacante efetue login usando a senha predeterminada. No ano passado eu escrevi um artigo sobre esta questão para o Internet Protocol Journal (IPJ). Confira o artigo clicando aqui:

http://ipj.dreamhosters.com/wp-content/uploads/issues/2017/ipj20-1.pdf

Assista a apresentação completa de Bob Hinden durante o LACNIC 29 clicando aqui.