Por: Gustavo Homem (*)

 

Os próximos 10 anos de Internet vão ser férteis em ataques, leaks, espionagem e invasões de privacidade de todos os tipos. Vai haver SPAM, roubos, gente nua para todos os gostos, denials of service, falhas de energia globais e provavelmente umas quantas colisões de veículos.

Se acham que os últimos 10 anos em que botnets de computadores Windows infectados fizeram 30 por uma linha às ordens de grupos de hackers do outro lado do mundo, se acham que o escândalo das celebridades nuas do iCloud foi mau, se acham que o Heartbleed foi um problema grave... preparem-se para a bomba relógio que está prestes a rebentar.

Esta bomba vai explodir com base em razões simples: o entusiasmo colectivo das massas em torno de tudo o que é visto como inovação (boa ou má inovação), da resposta comercial a esse entusiasmo por parte de empresas sem competências suficientes para gerir o que colocam no mercado e, cerveja no topo do bolo, da falta de exigência do consumidor-entusiasta em relação  à segurança dos produtos que adquire (“olha agora posso controlar o fogão remotamente através da aplicação StoveLove disponível para telemóvel que também partilha automaticamente nas redes sociais a comida que pus ao lume”).

As inovações tecnológicas chegam-nos em ondas: foram os netbooks, os smartphones geração rasca (com “jogos em Java” e toques polifónicos), o iPhone (o primeiro telefone em bom), o iPad, Androids com fartura, Smart TVs, o BYOD, a cloud, o Apple Watch e seus clones (?!) e agora frigoríficos, torradeiras, aspiradores, carros, aparelhos de climatização, controladores de iluminação e sabe-se lá que mais quinquilharia-interligada a que em bloco nos referimos pela moderníssima expressão Internet of Things (aka IoT). Os artigos de glorificação de cada uma destas coisas, algumas delas boas é um facto, vendem como pãezinhos quentes... mas não vejo ninguém preocupado com a segurança.

Imaginem uma botnet de controladores de iluminação e as consequências para as redes de distribuição de energia que um interruptor on-off geral controlado remotamente por hackers pode ter. Ainda que um apagão global de luzes pudesse ser considerado uma medida pró-natalidade, não creio que seja razoável deixá-la em mãos terceiras.

Se a mentalidade não muda, a Internet of Things vai tornar-se na Internet of Tricks em que milhões de consumidores ingénuos ficarão à mercê de um pequeno número de grupos de hackers. Numa escala maior pode mesmo haver questões de segurança nacional a somar às que hoje em dia já nos deviam preocupar. Parece que não aprendemos nada com as fechaduras dos automóveis de geração actual (pateticamente hackáveis por dispositivos simples) nem com o pacemaker wifi que tinha uma password hardcoded, descoberto há uns anos atrás (por acaso niguém se lembrou de chamar a isso Heartblitz).

Em teoria, a conectividade “das coisas” seria uma ideia boa mas o problema é que não há no mundo todo um número suficiente de pessoas com o mindset necessário à gestão dos ciclos de segurança de todos estes equipamentos. Os engenheiros da indústria “automotiva”, mecânica e eletrónica nem sempre têm a sensibilidade necessária para desenhar a segurança de produtos; os engenheiros informáticos não têm todos experiência nesta área e, para piorar a coisa, os gestores de produto, gestores de marketing, line managers e outros espécimes de ideias difusas que decidem as coisas nas grandes empresas estão habitualmente preocupados com listas de features, variedade da oferta e vendas a curto prazo, não com a manutenção futura dos produtos. São pessoas que muitas vezes vêem um produto como uma caixa definitiva, não como um sistema dinâmico que pede atenção contínua em todo o seu ciclo de vida.

No contexto tecnológico actual pode há certos produtos que logo à partida se podem considerar inseguros mas nenhum produto se pode qualificar definitivamente como seguro - mesmo quando um produto está bem desenhado a segurança é um processo que tem que ser mantido continuamente. E, como vimos, não pode ser mantido por qualquer um.

Esta manutenção implica 3 tarefas, todas elas muito exigentes: 1) design defensivo, 2) correcção de vulnerabilidades descobertas ao longo do tempo e 3) publicação de actualizações. Tipicamente 1 e 2 cabem a quem desenvolve e 3 cabe a quem distribui.

Para que tudo funcione estas tarefas têm que ser desempenhadas com um rigor fanático e uma imperturbável disponibilidade para atenção ao pormenor, essas mesmas qualidades com que os hackers levam a cabo os seus ataques, essas mesmas que nem todas as empresas têm disponíveis nos seus quadros.

Vejamos alguns exemplos:

  • No sistema operativo Windows a Microsoft é responsável por 1,2 e 3

  • Nos sistemas MacOS e IOS a Apple é responsável por 1,2 e 3

  • Nos sistemas operativos Linux de uso generalista cada projecto Open Source é responsável por 1 e 2, cada distribuição de Linux é responsável por 3

  • Nos dispositivos Android a Google é responsável por 1 e 2, o fornecedor do equipamento é responsável por 3)

  

Os casos Microsoft e Apple são o cenário all-in-one em que uma única empresa controla todo o processo e tem, pelo menos em teoria, maior facilidade em garantir qualidade e rapidez nos updates. Não é que o processo não tenha alguns senãos da prática mas, melhor ou pior, a cadeia 1-3 existe e funciona.

O caso das distribuições Linux é paradigmático na necessidade de articulação rápida: os projectos Open Source são chamados a reagir quando uma vulnerabilidade é descoberta (ponto 2) e as distribuições são chamadas a analisar, integrar, testar e publicar as actualizações (ponto 3). Isto aplica-se desde a componentes como o OpenSSL (projecto que esteve no centro do caso Heartbleed) até ao Firefox (Mozilla Foundation) ou Flashplayer (Adobe) que sofrem dezenas de actualizações por ano.

Projectos como Debian, Ubuntu e Centos têm sido exemplares a implementar o ponto 3 com ciclos de build, quality assurance e sincronização de uma rede de mirrors. Empresas como a Red Hat vendem serviços de subscrição que permitem um acesso mais rápido a updates de segurança com garantias contratuais, servidores próprios e apoio técnico. Quem conhece o yum e o apt sabe como são eficientes, à custa de um enorme trabalho que é feito a montante.

Infelizmente, para os equipamentos baseados em Linux “custom”, como os mil e um routers domésticos à venda no retalho ou fornecidos por operadores de telecomunicações o processo 3 nem sempre está bem afinado e sucedem-se as notícias de redes domésticas expostas devido a vulnerabilidades e backdoors. O caso típico é os fabricantes quererem usar Linux como sistema base dos seus dispositivos mas não terem o profissionalismo de uma distribuição a sério (Debian, Ubuntu, Centos, Red Hat,...) na gestão dos updates.

Mais grave ainda é porventura a situação do Android, que tendo tido a grande virtude de comoditizar o conceito de smartphone, tem vindo a tornar-se o caso mais evidente de Open Source nas mão erradas.

Isto é um problema à escala global a que nenhum país escapa. Um exemplo concreto em Portugal são os equipamentos Vodafone Smart que, sendo fornecidos pela Vodafone Portugal com branding inequívoco (site, packaging, boot screen, Model Number, outdoors, etc), se tornam imediatamente filhos orfãos quando é necessário o fornecimento de actualizações de segurança.

Basta fazer-se a pergunta e nesse preciso momento, o fornecedor de equipamentos Vodafone Portugal deixa de o ser, desculpando-se com a Google, com a Alcatel, com a Huawei, com a crise e com o mau tempo em Gibraltar para (não) explicar porque razão não há actualizações de segurança; e ainda tem a distinta ironia de recomendar genericamente “um antivirus para o telemóvel”. Isto apesar de terem sido descobertas vulnerabilidades graves (ex: Stagefright) com consequências preocupantes para os clientes que adquiriram estes equipamentos, apesar de a Google já ter remediado o problema e de outros fornecedores já terem propagado os updates. O apoio técnico da Vodafone não sabe sequer do que se passa. Ao que parece, a segurança do cliente é pouco importante comparada com a possibilidade de ter 40 modelos de telemóvel em catálogo – assim terá pensado algum gestor de produto.

Este tipo de situação tem tendência a generalizar-se à medida que a banda larga com e sem fios vai alastrando e outras empresas incompetentes em matéria de segurança avaliam o filão da Internet of Things. Se as coisas continuam como estão o browser da SmartTV-que-por-acaso-até-tem-webcam não tardará a estar vulnerável e sem updates, no SmartCar da moda hão de se descobrir backdoors várias e em breve haverá gente a viver em modo Truman Show, sem qualquer consciência disso.

Isto porque demasiadas empresas querem estar na Internet of Things quando afinal não têm sensibilidade para o que significa estar na Internet. Estar na Internet com produtos massificados é extraordinariamente mais exigente em termos de segurança do que vender qualquer tipo de dispositivos isolados. Talvez por isso nunca se tenha ouvido falar de vulnerabilidades do Tamagotchi, que tinha ligação por infra-vermelhos.

Ao consumidor empresarial ou individual resta informar-se, exigir produtos com manutenção em vez de caixas estáticas e ser ponderado na adesão a determinadas modas. Idealmente o consumidor deve avaliar o track record de segurança das empresas cujos produtos adquire e quiçá, em alguns casos, aceitar a difícil ideia de que certas empresas de tecnologia têm como principal vocação patrocinar festivais.

E por falar nisso, agora tenho que deixar-vos que está prestar a entrar em palco a minha banda favorita.

Boas férias aos leitores do TeK!

 

(*) Diretor da angulo sólido