Princípios importantes
- Na segunda-feira, 17 de maio, às 4h50 EDT, um bug expôs os feeds das câmeras de segurança da Eufy.
- Os gadgets de casa inteligente e Internet das Coisas não priorizam a segurança.
- A legislação pode forçar os fornecedores a levar a sério a segurança de seus usuários.
Os proprietários das câmeras de segurança inteligentes Eufy acordaram para um pesadelo no estilo de Hollywood no início desta semana, quando uma violação expôs suas câmeras domésticas a qualquer pessoa na Internet. Como podemos estar mais protegidos?
Uma atualização de software causou a violação e foi corrigida após uma hora. Mas durante esse período, um punhado de usuários do Eufy notaram que tinham acesso aos feeds da câmera ao vivo de outros usuários, bem como ao vídeo gravado. A violação também concedeu acesso total à conta, o que significa que qualquer pessoa pode fazer panorâmicas e inclinar as câmeras de estranhos para dar uma boa olhada em suas casas. Isso destaca os problemas inerentes a todos os gadgets domésticos inteligentes.
"À medida que trazemos mais tecnologia para dentro de casa, os criminosos cibernéticos vão cada vez mais voltar sua atenção para esses novos sistemas", disse Ben Dynkin, cofundador e CEO da Atlas Cybersecurity, à Lifewire por e-mail. "Esse aumento do escrutínio dos criminosos inevitavelmente resultará em um número crescente de ataques, e nenhuma lei ou regulamento poderá impedi-lo. Para resolver esse problema, devemos encontrar maneiras novas e inovadoras de proteger os sistemas e impedir a atividade criminosa".
Inseguro por Design
Em um comunicado fornecido à Lifewire pelo fabricante da Eufy Anker, uma atualização de software causou o bug, que afetou 712 usuários e foi corrigido em menos de duas horas.
Os problemas subjacentes permanecem. Os dispositivos de Internet das Coisas, como esses gadgets domésticos inteligentes são classificados, não são projetados para serem seguros.
"Atualmente, os dispositivos IoT geralmente não são construídos com a segurança em mente", disse Dan Tyrrell, da empresa de testes de penetração Cob alt.io, à Lifewire por e-mail. O problema é que designers e fornecedores estão mais interessados em recursos do que em segurança.
"O mercado de IoT está constantemente inovando com empresas novas e estabelecidas trazendo produtos e soluções para o mercado em um ritmo alucinante", diz Dynkin. "Isso significa que, para que as empresas tenham sucesso no espaço, elas devem inovar rapidamente e tentar superar seus concorrentes, o que significa, inevitavelmente, que a segurança será tratada como uma consideração secundária, em vez de um princípio central do produto. a vulnerabilidades onipresentes que podem ser exploradas."
Curiosamente, as pessoas que conectaram suas câmeras Eufy usando apenas o HomeKit Secure Video da Apple não foram afetadas por essa violação, o que mostra que uma abordagem de segurança em primeiro lugar é possível.
Regulamento
Essas violações não pararão até que a segurança se torne pelo menos tão importante quanto os recursos, e isso não acontecerá até que alguém force os fornecedores de casas inteligentes a levar isso a sério. Uma resposta é a regulamentação governamental, como a que temos para manter nossos alimentos seguros, e o roaming de celulares da UE barato. A regulamentação imporia padrões mínimos aos fornecedores e os puniria por violações.
"A regulamentação não é necessariamente a bala de prata para garantir que os dispositivos IoT sejam seguros", diz Tyrrell. "Em vez disso, devemos olhar para a regulamentação como um passo na direção certa. Eu advertiria que estar em conformidade com um padrão regulatório não é o mesmo que ser seguro, mas é melhor do que nada."
Para resolver esse problema, devemos encontrar maneiras novas e inovadoras de proteger os sistemas e deter atividades criminosas.
Outros se opõem inteiramente à regulamentação. Paul Engel, fundador do The Constitution Study, resume essa atitude.
"A última coisa que precisamos é de mais interferência do governo", disse Engel à Lifewire por e-mail. "Alguns processos judiciais caros e pagamentos de seguros fariam mais para pressionar essas empresas a melhorar sua segurança do que qualquer legislação poderia."
No final, a maioria das proteções ao consumidor vem de regulamentação governamental. E, dadas as tendências históricas, é provável que a União Europeia aja primeiro nisso, mas os EUA já têm algumas leis para se basear.
"Poderíamos estender os padrões estabelecidos na Lei de Melhoria da Segurança Cibernética da Internet das Coisas de 2020 - que atualmente cobre apenas equipamentos adquiridos por agências governamentais - para produtos comerciais e de consumo ", disse Paul Bischoff, defensor de privacidade da Comparitech, à Lifewire via email. "Isso inclui atualizações remotas e automáticas de firmware e software, gerenciamento de identidade e criptografia."
Sem melhor segurança, as coisas vão piorar.
Proteja-se
A maneira mais fácil de evitar violações de IoT é não instalar nenhum dispositivo doméstico inteligente. Mas se você absolutamente precisa ter uma campainha inteligente ou uma câmera de segurança, existem precauções que você pode tomar. Primeiro, considere os dispositivos que não usam a internet.
"Você pode optar por uma câmera de segurança que armazena vídeo em um dispositivo local em vez de um servidor em nuvem", diz Bischoff. "[E] você pode rotear dispositivos IoT por meio de uma VPN instalada em seu roteador Wi-Fi, que oculta seu endereço IP real e localização e criptografa os dados em trânsito."
À medida que trazemos mais tecnologia para dentro de casa, os criminosos cibernéticos vão cada vez mais voltar sua atenção para esses novos sistemas.
No final, o mais importante é lembrar que a segurança de seus dispositivos é sua responsabilidade.
"Os consumidores devem praticar uma boa higiene cibernética com seus dispositivos IoT", diz Tyrrell. "Sempre que possível, altere os nomes de usuário e senhas padrão. Conecte apenas os dispositivos necessários à Internet. Entenda que é seu trabalho como proprietário do dispositivo atualizar os patches e faça isso regularmente. Por fim, mantenha uma rede local separada em sua casa para todos os dispositivos IoT para reduzir o impacto de uma violação de um desses dispositivos."
