Em mundo de ciberguerra e ameaças virtuais, muitos dispositivos online são perigo do 5G

Apesar de a rede móvel de quinta geração, o 5G, ter protocolos de segurança considerados o estado da arte por especialistas, o mundo ultraconectado prometido pela tecnologia traz perigos e requer cuidados com ciberataques.

O motivo é que, com um número muito maior de dispositivos acessando a internet, as potenciais portas de entrada para hackers (o que os técnicos da área chamam de “superfície de ataque”) se multiplicam.

Outra fonte de preocupação é que, apesar de o 5G ser mais seguro que gerações anteriores, parte das redes sendo construídas hoje não são as chamadas standalone, ou “puras”, feitas especificamente para essa tecnologia. Elas precisam coexistir com 4G e 3G.

O problema é agravado pelo fato de que, agora, sistemas críticos que antes ficavam offline passam a depender da conectividade. Caso de redes de abastecimento de água e energia ou hospitais, por exemplo.

Ataques mirando infraestrutura crítica se tornaram tendência entre cibercriminosos e iniciativas do gênero têm sido exploradas pela Rússia em suas investidas contra a Ucrânia. Em 2015, deixaram parte da população do país sem luz após ataques hacker à malha energética.

A revolução prometida pelo 5G, além das maiores velocidades, é ter muito mais coisas conectadas. A rede tem capacidade para aguentar um maior número de dispositivos online ao mesmo tempo. Essa é a base para a adoção de sistemas inteligentes para automatizar setores da indústria e até cidades.

Uma fábrica high-tech que adote novas técnicas de automação com inteligência artificial, por exemplo, dependeria de muitos sensores e câmeras para que os robôs monitorem o que está acontecendo.

As falhas de segurança nessas coisas conectadas são agravadas pelo fato de que boa parte desses dispositivos não pode ter seus sistemas atualizados para corrigir eventuais falhas de segurança.

Uma alternativa para se preparar para uma eventual catástrofe seria ter opções analógicas a processos, mas isso pode não ser eficiente. Jefferson Wang, líder de 5G da consultoria Accenture, recomenda a adoção de redundância nos sistemas (duplicar partes e peças importantes no processo para que, se uma falhe, a outra consiga segurar a bronca) e planos de recuperação em caso de desastres.

“A boa notícia é que vejo essa preocupação com segurança em todo projeto em que trabalho. É algo que está na cabeça das pessoas. Estão conscientes. Em gerações anteriores não era assim”, diz.

Por sua eficiência, muitos desses processos automatizados com sensores e dispositivos inteligentes por meio de 5G devem chegar a grandes empresas. Com isso, também as novas ameaças.

“Os ataques estão ficando mais sofisticados. Toda grande empresa sofrerá algum ataque do nível daqueles disparados por outros Estados”, diz Anand Oswal, vice-presidente sênior da empresa de cibersegurança Palo Alto.

Uma recomendação recorrente é adoção de um modelo de segurança chamado “zero trust” (ou “confiança zero”). Nele, os acessos a sistemas e dados da empresa são limitados apenas aos necessários para a função. Além disso, as pessoas precisam constantemente confirmar sua identidade para obter acesso aos serviços, mesmo que estejam usando um computador no prédio da companhia.

Oswal também sugere que a segurança em níveis empresariais trabalhe com sistemas de inteligência artificial que ajudem a identificar os dispositivos e a monitorar seu comportamento.

No caso de uma lâmpada, por exemplo, sua função é acender e apagar. Se ela está fazendo algo diferente, um alerta soaria.

Pode parecer estranho pensar em uma lâmpada fazer algo além de acender a luz, mas isso acontece porque, em suas versões “inteligentes”, os dispositivos são, no fundo, minicomputadores. Um hacker pode remotamente roubar o acesso a milhões dessas pequenas máquinas e programá-las para tentar acessar um mesmo site ao mesmo tempo para sobrecarregá-lo.

Foi usando uma estratégia desse tipo que, em 2016, os grupos hackers “Anonymous” e “New World” derrubaram servidores que impediram acesso a dezenas de sites e serviços como Amazon.com, Playstation Network, Twitter e Xbox Live. Para isso, sobrecarregaram sistemas usando uma rede composta por dispositivos como impressoras, câmeras de segurança e babás eletrônicas conectadas.

A rede usada para esse ataque, chamada de “Mirai”, ainda existe e continua a crescer. “Já tem 12 bilhões de dispositivos”, disse Christine Bejerasco, chefe de tecnologia da empresa de segurança da informação F-Secure, em painel sobre o tema no Mobile World Congress (MWC), evento de tecnologia realizado nesta semana em Barcelona.

Segundo Bejerasco e outros especialistas que participaram do evento, as falhas de segurança vêm já na concepção desses produtos e na falta de preocupação com segurança de muitos fabricantes.

Isso não ameaça exclusivamente governos e grandes empresas. Chega também ao comprador final que coloca um dispositivo inteligente dentro de casa. Afinal, por que não conectar a máquina de lavar roupa à internet?

Ken Munro, especialista da Pen Test Partners, consultoria de cibersegurança, contou ter facilmente invadido um cachorro robô falante de sua filha. Conseguiu, por exemplo, fazê-lo dizer palavrões. “Mas a parte mais assustadora foi que eu tive também ao microfone do brinquedo, poderia transformá-lo numa escuta”, afirmou.

Na avaliação de Jaya Baloo, chefe de segurança da informação da empresa de cibersegurança Avast, o cenário joga o peso da proteção para o consumidor. “Segurança deveria ser padrão nos dispositivos”, diz à reportagem. “Os usuários não são os experts em cibersegurança, não têm condições de avaliar as diferentes opções para se defender. As pessoas só querem usar os serviços.”

Por isso, ela vê com bons olhos a criação de regras mais duras para a segurança desses dispositivos inteligentes. No ano passado, os governos dos EUA e do Reino Unido, bem como a União Europeia, criaram normas e leis com padrões técnicos de segurança para esses dispositivos.
“Os fornecedores não podem mais lançar as coisas no mercado com pressa”, avalia Baloo.

Ela faz a ressalva, no entanto, de que haverá um tempo até que essas normas entrem em vigor e que os fabricantes tenham possam adaptar seus produtos. Ou seja, até lá, mais dispositivos inteligentes inseguros entrarão em operação e muitos não devem ser substituídos tão sedo. “Com que frequência as pessoas trocam de geladeira? É uma mudança a longo prazo.”