Sorry, this entry is only available in Brazilian Portuguese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

O tema mais discutido do mercado de Internet das Coisas volta a aparecer aqui no blog. Como já comentamos em posts anteriores, a segurança está no centro das atenções dos fabricantes de dispositivos conectados pelo simples fato de que, sem ela, é bem provável que esse mercado enfrente dificuldades para deslanchar na velocidade projetada pelas mais reconhecidas agências de pesquisa do setor.

Por isso, não são raras as notícias sobre boas práticas que devem ser implantadas ainda na linha de produção para evitar que os usuários fiquem vulneráveis a ataques futuros. Um dos relatórios mais recentes contendo recomendações básicas para garantir mais segurança aos produtos IoT foi divulgado pela Bitag.

A Bitag é uma organização não-governamental, dedicada a aproximar engenheiros e profissionais da área de tecnologia para discutir e elaborar estudos sobre, entre outras coisas, o impacto de dispositivos conectados e inteligentes na vida dos usuários. A organização conta com a participação de grandes empresas como Google, AT&T, Cisco e Mozilla.

No estudo Internet of Things Security and Privacy Recommendations, a Bitag enumera uma série de diretrizes fundamentais para a segurança dos produtos e serviços IoT que devem ser consideradas por todos as empresas que estão entrando neste mercado. Destacamos oito delas. Segundo a organização não-governamental, os dispositivos IoT deveriam:

1. …ser fornecidos com softwares atuais que não contenham vulnerabilidades graves conhecidas.

2. …ter um mecanismo para atualizações automáticas e seguras já que, apesar de serem minimizados, problemas no software e vulnerabilidades são inevitáveis e podem surgir ao longo do tempo. É importante ressaltar que essa atualização de software precisa ser automática, não sendo necessário opt-in do usuário ou qualquer outra ação direta.

   “Atualmente as empresas não se preocupam muito com isso, principalmente pelo fato dessas atualizações gerarem custos permanentes e, de certa forma, comprometerem os ganhos. Tem ainda o fato de muitos dispositivos não serem desenhados para receber atualizações seguras pela rede, dificultando ainda mais o processo”, afirma o IoT Advisor da iotrix, Adolfo Brandão.

3. …ter, como padrão, uma autenticação forte. Não é recomendável que sejam utilizados logins e senhas comuns ou fáceis de serem descobertos, como “admin” e “password”.

4. …ter suas configurações testadas. Isso porque alguns dispositivos IoT permitem que os usuários façam diversos tipos de customização do produto, fazendo com que ele tenha comportamentos distintos em cada caso.

   É importante que não apenas aquela que é estabelecida como padrão tenha sua segurança testada, mas sim a maior parte dessas possíveis customizações. “Cada caso poderá revelar uma vulnerabilidade distinta que exigirá uma ação preventiva do fabricante. Daí a necessidade de considerar todos os cenários de utilização do produto”, pondera Adolfo.

5. … seguir melhores práticas de segurança e criptografia. A Bitag indica alguns protocolos que podem ser utilizados pelos fabricantes para garantir a segurança da comunicação dos produtos IoT como: TSL (Segurança da Camada de Transporte) ou LWC – criptografia utilizada em sistemas de identificação por radiofrequência (RFDI).

   Se esses dispositivos dependerem de uma infra-estrutura de chave pública (PKI), uma entidade autorizada deve ser capaz de revogar certificados quando eles ficarem comprometidos. Os fabricantes, por sua vez, devem evitar métodos de criptografia, protocolos e tamanhos de chaves com fragilidades conhecidas.

6. … ser restritivos e não permissivos em termos de comunicação. Quando possível, os dispositivos não devem ser acessíveis, por padrão, via conexões de entrada. Também não devem confiar apenas no firewall da rede para restringir a comunicação, já que alguma comunicação entre os dispositivos dentro de casa pode não atravessar o firewall.

7. … continuar funcionando mesmo que estejam desconectados. É importante que o dispositivo consiga realizar suas funções básicas – mesmo que a partir de controles manuais – no caso da conexão ser interrompida, seja por um problema técnico, de configuração ou até mesmo um ataque intencional. A orientação vale principalmente para dispositivos que tenham relação com a segurança do usuário.

8. … ser preparados para suportar melhores e mais recentes práticas de endereçamento (internet protocol), atualmente na versão IPv6. Só assim esses dispositivos poderão se manter funcionais por vários anos.

Vamos continuar acompanhando tudo que está sendo discutido sobre segurança para dispositivos IoT. Acompanhe o blog e fique por dentro das novidades da área.