More

    Segurança de casa inteligente: desenvolvimento responsável


    Atualmente, as soluções para casa inteligente estão ganhando popularidade por um bom motivo. Eles permitem que os proprietários monitorem remotamente suas casas, aumentem a eficiência energética e até auxiliem no rastreamento da saúde. Diante de todas essas vantagens, os proprietários estão aproveitando a oportunidade de aumentar o conforto e a segurança de suas casas para uma melhor qualidade de vida. Consequentemente, o mercado de casa inteligente somou US $ 76,6 bilhões em 2018 e deve chegar a US $ 151,4 bilhões até 2024, de acordo com Markets and Markets.

    Desenvolvimento e manutenção responsáveis ​​de dispositivos domésticos inteligentes

    À medida que o número de dispositivos inteligentes aumenta, o mesmo acontece com as vulnerabilidades de software e hardware, que podem ser exploradas por indivíduos mal-intencionados, tornando a segurança de uma casa inteligente uma preocupação significativa. Por exemplo, um casal baseado em Wisconsin, sofreu um incidente terrível quando sua casa inteligente foi atacada. Hackers penetraram em sua rede doméstica inteligente e tocaram música alta e perturbadora enquanto falavam com eles por meio de sua câmera inteligente.

    Como se isso não fosse assustador o suficiente, os agressores manipularam o termostato do casal para mudar a temperatura ambiente para mais de 30 graus Celsius. Este e outros incidentes semelhantes criaram oportunidades de mercado para os fornecedores lançarem novas soluções para segurança residencial inteligente, fazendo com que a projeção desse setor salte para US $ 4,37 bilhões em 2022, crescendo a um CAGR de 19,6% a partir de 2018.

    A proteção de dispositivos domésticos inteligentes é responsabilidade de fornecedores e consumidores. E à medida que os consumidores estão se conscientizando dos riscos, eles procuram fornecedores que façam da segurança sua principal prioridade durante o desenvolvimento de dispositivos inteligentes.

    O estado da Smart Home Security

    Dispositivos domésticos inteligentes conectados podem ser hackeados, assim como qualquer outro aparelho eletrônico inteligente.

    Dispositivos inteligentes externos, como campainhas e portas de garagem, são os mais vulneráveis, pois podem ser acessados ​​facilmente por quem estiver dirigindo. Aparelhos de cozinha são menos propensos a serem visados, mas esses dispositivos também não são seguros. Mesmo que um dispositivo individual não apresente muito valor por si só, os invasores ainda podem direcioná-lo para invadir o sistema de segurança residencial inteligente.

    Uma vez dentro, eles podem acessar informações pessoais ou realizar um ataque mais sofisticado, como construir um botnet. Em um exemplo bizarro, um cassino norte-americano foi comprometido por meio de um tanque de peixes inteligente. Assim que os hackers entraram, eles se moveram rapidamente pela rede e roubaram 10 GB de dados pessoais antes que alguém percebesse que algo suspeito estava acontecendo.

    Embora a instalação de uma câmera inteligente possa fazer as pessoas se sentirem seguras, ela também abre um portal digital para suas casas. Um incidente infame envolve câmeras de segurança Ring. Os invasores invadiram o sistema Ring IoT e encontraram as senhas dos usuários armazenadas em texto livre.

    Com essas senhas, os invasores podem comprometer o sistema de segurança sem fio e espionar as pessoas. Ring foi rápido em culpar os usuários por essa violação de segurança, dizendo que eles usavam senhas fracas. No entanto, uma investigação mais aprofundada provou que a Ring não tomou precauções suficientes para garantir a segurança dos dados privados.

    Mesmo lâmpadas inteligentes foram comprometidas. Em um incidente recente com a lâmpada inteligente Philips Hue, os hackers foram capazes de explorar uma vulnerabilidade na maneira como a empresa implementou o protocolo de comunicação Zigbee. A uma distância de até 100 metros, os criminosos conseguiram obter acesso às redes wi-fi dos proprietários e instalar spyware e ransomware maliciosos.

    Quase todos os dispositivos inteligentes podem ser alvo de ataque. Até mesmo uma máquina de café inteligente pode ser usada para acessar os detalhes da conta bancária de seu proprietário. Como a tendência de dispositivos domésticos inteligentes seguros está se espalhando entre os consumidores, espera-se que os fornecedores aumentem e tornem a segurança parte de seu processo de desenvolvimento. Mesmo os dispositivos aparentemente mais inofensivos precisam ser protegidos. Por exemplo, a Softeq Development produziu um aplicativo de controle remoto para luzes externas com vários protocolos de segurança.

    Incorporando a segurança no cerne do processo de desenvolvimento

    Em um estudo recente, um grupo de pesquisadores da North Carolina State University examinou 24 dispositivos domésticos inteligentes populares e descobriu que a grande maioria continha falhas, que poderiam colocar os proprietários em risco.

    Uma falha generalizada permitiu que os hackers ouvissem passivamente os sinais vindos de dispositivos inteligentes e coletassem e analisassem dados simplesmente por estarem próximos da casa. Por exemplo, ao monitorar um bloqueio inteligente, o invasor pode descobrir se o proprietário está em casa.

    Outra falha comum nos dispositivos analisados ​​foi a possibilidade de desativá-los antes da intrusão. Um hacker pode fazer upload de um malware que bloqueia todos os alertas de segurança, como a abertura de uma porta inteligente enquanto permite a passagem de mensagens de pulsação para evitar o aumento de suspeitas.

    Para produzir um dispositivo seguro, não basta incorporar rapidamente algumas funções de segurança ao produto final. A segurança deve ser parte integrante de todas as fases do processo de desenvolvimento.

    Fase de desenho

    Ao desenvolver dispositivos inteligentes, o fabricante deve cuidar da segurança durante os estágios iniciais do ciclo de vida do produto.

    • Funções de segurança separadas de outras funções estabelecem interfaces limitadas entre funções seguras e não seguras. Essa separação restringe o escopo para desenvolvedores especializados em segurança, permitindo que o resto da equipe lide com funcionalidades não seguras.
    • Faça suposições explícitas sobre os requisitos de segurança, documente qualquer suposição de segurança feita durante a fase de design, não conte com o fato de que todos os outros têm as mesmas expectativas por padrão. Isso inclui suposições sobre o uso do dispositivo, ambiente, etc.
    • Considere convidar um especialista em segurança externo para uma verificação final de segurança do projeto concluído, o que é benéfico para a busca de inconsistências. Por exemplo, dados confidenciais podem ser capturados e armazenados com segurança, mas, ao mesmo tempo, podem vazar por outros canais, como mensagens de erro.
    • Adote uma abordagem em camadas para a segurança. Lembre-se de que as medidas de segurança que você está implementando provavelmente serão comprometidas em algum ponto. Para minimizar o risco de exposição, inclua medidas de segurança redundantes em seu projeto.

    Fase de desenvolvimento

    Durante esse estágio, os desenvolvedores implementam as regras de segurança prescritas na fase de design. Mesmo se o design fosse forte, erros de programação podem introduzir inadvertidamente novas vulnerabilidades.

    • Tenha a segurança em mente ao escolher uma linguagem de programação

    Algumas linguagens de programação (como Rust) oferecem recursos de gerenciamento de memória, o que os torna preferíveis do ponto de vista de segurança. No entanto, qualquer vulnerabilidade desse tipo apresentará um único ponto de falha. Por exemplo, C e C ++ são frequentemente usados ​​no desenvolvimento de software para dispositivos inteligentes, pois permitem o uso eficiente dos recursos do sistema.

    No entanto, essas linguagens abrem uma oportunidade para os programadores executarem operações que comprometem a segurança. Por outro lado, Ada, apesar de ser uma das linguagens de programação mais antigas, ainda é uma boa opção para programação segura.

    • Fique com as estruturas de segurança estabelecidas quando possível, não as desenvolva novamente

    Existem bibliotecas para diferentes aspectos de segurança e redesenvolvê-las não é uma boa prática. Embora o uso de bibliotecas existentes seja favorável, elas não estão isentas de falhas. Ao escolher qual biblioteca usar, investigue sua confiabilidade: verifique se a biblioteca é amplamente adotada por outras pessoas. Ele implementa um mecanismo de segurança padrão? Foi auditado? Perguntas simples como essa no início podem evitar muitos problemas no caminho.

    • Certifique-se de que o seu firmware está atualizado

    Ao desenvolver firmware, confie nas estruturas de segurança que foram exaustivamente investigadas e aprimoradas por especialistas em segurança e sempre atualize-as para a versão mais recente quando disponível. Tenha o cuidado de garantir que a versão mais recente não foi substituída por um “homem no meio”. As assinaturas digitais podem ser usadas como ferramentas de verificação confiáveis. Uma assinatura digital é incorporada ao firmware em sua origem e lida pelos receptores usando uma chave privada.

    Fase de Teste

    Nesta etapa, você não está apenas testando a funcionalidade, mas também explorando a robustez do tratamento de erros e da tolerância a falhas.

    • Convide auditores externos para executar testes de segurança

    Especialistas terceirizados simulam diferentes ataques e tentam enfraquecer seu produto. Esses testes externos incluem testes de penetração, varredura de rede, etc. O número e a complexidade desses testes devem ser proporcionais aos requisitos de segurança. Quando o nível de segurança é muito alto, os cenários de ataque se tornam cada vez mais complexos.

    • Faça um teste de avaliação do impacto da privacidade

    Este teste é usado para garantir que os dados sejam processados ​​de acordo com o GDPR (quando aplicável) ou quaisquer regulamentos equivalentes que regem a privacidade em seu país (por exemplo, CCPA). Esteja ciente de que suas agências de segurança nacional podem ter diretrizes de avaliação de privacidade preparadas e disponíveis para uso de todos.

    Monitoramento contínuo após a implantação de dispositivos inteligentes

    Mesmo depois que um dispositivo inteligente sai da loja, um fornecedor responsável continuará monitorando-o em busca de vulnerabilidades. A coleta de dados de tráfego provenientes de dispositivos inteligentes ajudará a estudar os padrões de tráfego específicos do dispositivo e melhorar as versões futuras. Existem várias medidas que os produtores de dispositivos inteligentes podem tomar para contribuir com a segurança após a implantação.

    Fornecendo aos consumidores dicas de segurança

    Muitas dicas de segurança parecem senso comum para os fornecedores. No entanto, eles podem não ser tão óbvios para os usuários finais. Mesmo que as dicas sejam bem conhecidas dos consumidores, é provável que eles subestimem o impacto que podem causar. Para evitar incidentes que poderiam ser facilmente evitados, forneça a seus clientes dicas sobre como manter seus dispositivos inteligentes protegidos. Essas dicas devem incluir, mas não se limitar a:

    • Alterar a senha padrão e escolher uma opção segura
    • Instalar atualizações do dispositivo quando disponíveis
    • Verificar permissões ao instalar dispositivos
    • Dar um nome aos seus dispositivos
    • Desconectando dispositivos quando não estiverem em uso
    • Desativando recursos que você não usa
    • Protegendo seu wi-fi e evitando conexão com redes públicas
    • Realizar a segmentação da rede, se possível, para que nem todos os dispositivos tenham acesso a toda a rede

    Descoberta de dispositivo

    Com técnicas baseadas em aprendizado de máquina, você pode identificar com precisão cada dispositivo IoT conectado, construir uma taxonomia de dispositivos e analisar o tráfego de rede. Ser capaz de distinguir, por exemplo, uma geladeira de um termostato é essencial para a segurança, pois permite que você veja quais padrões de tráfego de dados pertencem a qual dispositivo.

    Detecção e classificação de anomalias

    Quando os dispositivos de casa inteligente são reconhecidos e traçados, você pode construir um modelo de comportamento incremental para cada perfil. Quando o comportamento atual de um dispositivo se desvia da norma estabelecida (como o número de pacotes enviados / recebidos), isso pode ser um indicativo de um ataque.

    O monitoramento de tráfego alerta você sobre dispositivos comprometidos em um estágio inicial e permite que você tome ações preventivas. Monitore o tráfego interno para externo (para detectar ataques DDoS) e externo para interno (para detectar ataques de penetração na rede doméstica).

    Provisão de armazenamento confiável de dados

    O armazenamento inseguro de dados é um convite para violações de dados. Em 2019, o fornecedor de dispositivos IoT Wyze admitiu ter deixado dados coletados de dois milhões de pessoas expostas na Internet, onde os criminosos poderiam coletá-los livremente. Esses dados incluíam endereços de e-mail, bem como informações de saúde.

    Quais são as vantagens para o seu negócio?

    Não existe um único sistema de segurança residencial inteligente que sirva para todos. No entanto, você terá mais sucesso no fornecimento de dispositivos inteligentes seguros se adotar uma abordagem abrangente à segurança em todas as fases do processo de desenvolvimento e continuar monitorando os dispositivos inteligentes após a implantação. Isso não só o tornará um fornecedor confiável, mas também abrirá novas oportunidades de negócios. Por exemplo, você pode vender os dados que está coletando (com consentimento, privacidade, etc.) por meio de:

    • Programas de venda cruzada com fornecedores confiáveis
    • Previsão de oferta e demanda e venda de insights

    Com o aumento da demanda por dispositivos inteligentes, os fornecedores falham em fornecer a segurança adequada e acabam sendo a manchete das notícias com publicidade negativa. É um desafio fornecer aos consumidores dispositivos inteligentes seguros, pois exige um processo de desenvolvimento rigoroso, monitoramento contínuo e armazenamento de dados confiável. Mas os fornecedores que colocam a segurança em sua lista de prioridades receberão a confiança dos consumidores e novas opções para avançar seus negócios.

    Nadejda Alkhaldi

    Copiadora

    Nadejda é redatora de conteúdo da Softeq Development. Ela tem formação em informática e uma paixão pela IoT e seu impacto em nossas vidas. Nadejda viveu e trabalhou em três países diferentes.


    Artigos Recentes

    Apostas esportivas e IA: The Ultimate Gamble

    Os apostadores e casas de apostas de esportes estão sempre procurando uma vantagem. As apostas esportivas são uma grande indústria que cresceu...

    Melhores ofertas da Black Friday: ofertas noturnas agora ao vivo em telefones, jogos e muito mais

    Melhores ofertas da Black Friday no Reino Unido 2020: Como o primeiro dia de venda da Black Friday está chegando ao fim, ainda...

    Camarim virtual para aumentar as vendas durante o COVID-19

    COVID-19 mudou a forma como as pessoas em todo o mundo se comportam diariamente, e em nenhum lugar isso é mais sentido do...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui