2014/01/07
O grande risco da Internet of Things: as vulnerabilidades e falta de actualizações
É raro o dia em que ao pegarmos no nosso smartphone não sejamos recebidos com uma mensagem de que várias apps foram actualizadas durante a noite. Embora nalgumas delas isso seja sinónimo de novas funcionalidades, na grande maioria dos casos a descrição é sempre a mesma: correcções de bugs. Agora... basta extrapolar isto para um sistema onde não estejam disponíveis actualizações... e facilmente se pode imaginar o resultado.
Os smartphones são equipamentos que temos regularmente (ou permanentemente) ligados à internet, e esta questão das actualizações já demonstra como as coisas são: se as apps são actualizadas com bastante frequência, no caso do próprio sistema essas actualizações são bem menos frequentes... ou até inexistente em muitos casos.
Agora, passemos para outros equipamentos: quando foi a última vez que actualizarem o firmware do vosso router, do vosso computador, do vosso televisor? Provavelmente nunca... e no entanto, são equipamentos que também têm quase seguramente vulnerabilidades (de particular gravidade no caso dos routers, que muitas vezes servem de porta de entrada para que um atacante externo possa chegar à nossa rede interna).
E agora, estamos numa altura em que se promove o uso de cada vez mais equipamentos electrónicos: quer sejam smartwatches, óculos digitais, sensores de actividade e movimento; e temos a "Internet of Things" que diz que não falta muito para que tudo, dos automóveis às lâmpadas, passando por electrodomésticos e até roupa inteligente, estar ligado à internet.
Se hoje em dia temos fabricantes que nem são capazes de manter actualizados smartphones com pouco mais de um ano de existência, o que poderemos esperar se em vez de umas dúzias de modelos de smartphones estivermos a lidar com milhares ou centenas de milhar de produtos diferentes, todos eles com os seus pequenos cérebros e programas electrónicos, todos eles com potenciais vulnerabilidades de segurança?
Será credível esperar que todo e cada fabricante mantenha os seus produtos actualizados continuamente e indefinidamente? Será necessário especificar um período mínimo de "validade" que dê alguma garantia aos utilizadores de que esses produtos serão actualizados contra potenciais riscos de segurança? E o que fazer naqueles casos de equipamentos que integram múltiplos sistemas de diferentes fabricantes, onde as actualizações poderão nem sequer estar a cargo do integrador que os "combina"?
Não estou a ver soluções fáceis para o problema, mas é sem dúvida uma questão que deverá ser abordada quanto antes... sob pena de - daqui por alguns anos, não muitos - estarmos a usar fechaduras digitais nas nossas portas que poderão ser abertas por qualquer pessoa que descarregue uma app da internet; carros inteligentes que um qualquer hacker poderá controlar remotamente; frigoríficos digitais que um vizinho que não gosta de vocês poderá programar para descongelar a meio da noite; e câmaras de vigilância que os próprios ladrões poderão usar para avaliar a melhor altura para roubar uma loja ou residência.
Hoje em dia temos visto com bastante frequência empresas terem os seus/nossos dados roubados por hackers, sem qualquer tipo de responsabilização - o que sucederá quando em vez de os nossos dados digitais os ataques se começarem a centrar em coisas com impacto bem real e físico nas nossas vidas?
Subscrever:
Enviar feedback (Atom)
Esta questão tem essencialmente haver com os ciclos de vida do produto, suporte centrado em marcas ou disperso por linhas brancas e a atenção dada ao suporte e segurança. Passo a explicar:
ResponderEliminarCiclos de vida curtos não compensam o investimento feito em recursos humanos para darem suporte aos produtos. Por um produto ter a possibilidade de ser actualizado, não quer dizer que o venha a ser de facto, pois há fabricantes cujo interesse é o lucro imediato. Os produtos chineses são o melhor exemplo.
Suporte centrado em marcas ou não. Há pouco tempo foi explicada aqui a dedicação da apple da ao suporte dos seus iphones vs o mundo android. Os androids têm um ciclo de actualização muito lento e no caso das marcas brancas, praticamente inexistente. Os iphones estão sempre próximo da ultima versão do ios, desde que o hardware o permita. Os routers, por acaso, são também um bom exemplo. Se nas marcas baratas a actualizações ficam engavetadas na fabrica, o líder de mercado (cisco) e seguidores próximos (hp et al) não pensam assim e suportam os seus produtos com muita documentação e firmware durante largos períodos de tempo. Alias, a linkys é da Cisco e as politicas de suporte são completamente diferentes.
A atenção dada ao suporte e segurança melhorou nos últimos anos mas mesmo em marcas do segmento empresarial, é por vezes, péssima. Tenho uma ups de marca italiana no trabalho enviada de fabrica com firmware cheio de bugs, alguns fraco trabalho de programação de interface web, que só pode ser actualizada por técnicos da marca com um contrato de suporte, coisa que qualquer pessoa faz com 2 cliques de rato.
Para adicionar mais confusão, há muitos standards em competição na web das coisas pelo que enquanto o mercado não estabilizar, os consumidores continuaram a pagar o pato.