Jornal Correio Braziliense

Ensino_EducacaoBasica

A vulnerável casa inteligente

Quando acionados, dispositivos de automação residencial lançam na rede informações que revelam os hábitos dos moradores, como horário em que o lar está vazio e quais cômodos são mais frequentados

Programas de automação residencial têm uma grande variedade de aplicações. Com eles, é possível programar o fornecimento de água para plantas, o funcionamento de janelas, portas, luzes e, claro, de alarmes e trancas de segurança. Esses equipamentos ganham popularidade por economizar energia elétrica, poupar tempo e assegurar a proteção da casa. Mas, cada vez que são acionados, lançam na rede um detalhado relatório de seu trabalho. Quem tiver acesso a essa informação pode descobrir os horários em que a casa está vazia, que cômodo é mais usado e até mesmo a hora em que os moradores acordam e vão dormir.

Um estudo realizado na Alemanha mostrou que casas inteligentes estão vulneráveis a ataques de invasores, podendo revelar padrões de comportamento dos proprietários a pessoas mal intencionadas. Para testar a vulnerabilidade desses sistemas, os pesquisadores levaram um simples minicomputador para o lar de dois voluntários equipados com dispositivos automatizados. Em poucos dias, conseguiram descobrir importantes padrões de comportamento dos moradores, como os horários em que deixavam a casa e os padrões programados para aquecer e ventilar a residência.

Os dados foram usados para construir padrões de comportamento, que depois foram confirmados diretamente com as pessoas espionadas. Ao interpretar as informações interceptadas, os cientistas conseguiram descobrir quantos aparelhos conectados tinham nas casas, a hora em que a segurança da porta era acionada e as temperaturas programadas para a ausência dos moradores.

Com base nos equipamentos controlados pelos próprios usuários, que enviavam sinais menos exatos, os falsos invasores puderam supor o horário em que os moradores dormiam e quais cômodos eram mais frequentados. Até as luzes que mudavam os horários de acionamento diariamente para simular presença na casa apresentaram um padrão de variação que foi facilmente desvendado pelos pesquisadores.

O teste de segurança mostrou que o invasor não precisa ter qualquer conhecimento prévio sobre suas vítimas. ;Não sabíamos quais dispositivos se comunicavam nem com que frequência ou que parâmetros eram adequados para que nossos métodos identificassem as normas de automação;, conta Christoph Sorge, pesquisador da Universidade do Sarre e principal autor do estudo.

Sem criptografia

De acordo com o especialista da instituição alemã, qualquer invasor com um conhecimento necessário poderia acessar a maioria dos sistemas automatizados sem precisar entrar na casa. Basta acessar os dados wireless com um computador de R$ 300 e interpretar as informações que as máquinas deixam escapar. Depois de colocar o receptor no jardim ou em outro lugar próximo à residência, o criminoso poderia passar dias e até meses colhendo informações sobre os hábitos dos moradores e usá-las em um programa de análise.

A maioria dos modelos de automação, ressaltam os pesquisadores, não tem nem mesmo um sistema de criptografia para a comunicação entre os dispositivos eletrônicos. A medida usa um tipo de código para impedir que os dados roubados possam ser acessados por qualquer um e tornaria mais difícil, por exemplo, descobrir que sinal é enviado de uma porta.

É necessário um forte trabalho de interpretação para se obter informações sobre os moradores de uma residência ; mas o teste feito pelos cientistas alemães mostrou que, mesmo codificados, os dados ainda podem ser úteis para criminosos. Com base no número de mensagens enviadas pelos equipamentos e no horário em que elas são registradas, invasores podem supor o período de funcionamento dos eletrônicos e descobrir os períodos de ausência na casa.

Dependendo do nível de segurança dos equipamentos, o invasor pode conseguir dados pessoais dos moradores e até mesmo controlar os eletrônicos da casa. ;Outros dispositivos podem ser manipulados, desde que o proprietário não use nenhuma autenticação específica. Em um pequeno experimento, nós conseguimos manipular um aquecedor;, relata Sorge.

A fragilidade dos sistemas de automação residencial não é um problema exclusivo de casas futurísticas. Profissionais da área alertam que é crescente o número de moradias com câmeras de segurança e outros dispositivos que podem ser acessados e controlados remotamente. ;Nem todos os fabricantes estão tomando o devido cuidado nessa área, mas eu espero que eles lidem com isso conforme a conscientização aumente;, diz Willim Webb, do Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE). ;É necessário usar um tipo de software antivírus. Se o usuário precisa instalar por conta própria, como faz em um computador, ou pelo fabricante de uma geladeira, por exemplo, isso ainda precisa ser considerado,; pondera Webb.

Os pesquisadores alemães revelam que estão trabalhando em formas de tornar esses sistemas mais seguros. Uma forma seria usar dados falsos, criados para manter a comunicação entre os equipamentos sempre constante quer estejam em uso ou não. Se as informações forem criptografadas, seria difícil identificar quais sinais são verdadeiros e quais são falsos, despistando os criminosos que tentam descobrir o horários de vulnerabilidade de uma residência.

Mas, assim como na internet, a segurança dos equipamentos inteligentes começa com o usuário. ;Acredito que os sistemas de automação residencial podem ser seguros, mas precisa ter cuidado quando for fazer a instalação em uma residência, contar com bons profissionais e levar em consideração essas propostas que evitam os conhecidos tipos de ataques relacionados com redes sem fio;, aponta Felipe Piazza Biasi, doutorando em segurança da informação na Escola Politécnica da Universidade de São Paulo (Poli-USP). O primeiro passo é usar as medidas de fábrica do próprio aparelho. Quando comprar um sistema, deve-se considerar os aspectos de segurança que ele envolve e pensar em possíveis problemas de longo prazo.


"Nem todos os fabricantes estão tomando o devido cuidado nessa área,
mas eu espero que eles lidem com isso conforme a conscientização aumente;


Willim Webb,
do Instituto de Engenheiros Eletricistas e Eletrônicos

Acesso a dados pela nuvem


Uma pesquisa revelou que um em cada cinco dispositivos de automonitoramento transmitem dados sem criptografar as informações, tornando vulneráveis dados de programas de registros de atividades, como aplicativos de dietas ou de exercícios físicos. Invasores podem acessar informações do usuário no momento em que esses dispositivos enviam mensagens para a nuvem ou tendo acesso ao próprio aparelho.

O hábito de usar ou acessar aparelhos para acompanhar o desempenho de diversas atividades é adotado pelos usuários da chamada Life Logging, que muitas vezes usam a rede para armazenar essas informações e dependem de conexões sem fio para estabelecer comunicação entre monitores inteligentes e um smartphone, por exemplo. ;Você usa o dispositivo que envia a informação em geral por bluetooth ao telefone. Pela aplicação do celular, transmite para um serviço da nuvem. Essa transmissão muitas vezes não usa criptografia;, ressalta André Carraretto, estrategista de segurança da Symantec, empresa responsável pela pesquisa.

Roubo de identidade

O levantamento revelou que é possível invadir a segurança desses aparelhos com um computador ou acessá-los por meio da nuvem. Dessa forma, criminosos podem ter acesso a importantes dados, como endereço de e-mail e senha. Entre os perigos, estão casos de roubo de identidade, análise de perfil, perseguição e extorsão. ;Imagine a situação de alguém que faz exercícios físicos e monitora essa atividade. Quem invade a conta desse usuário vai saber que toda quarta-feira à noite ela faz esse trajeto;, ilustra Carraretto.

Parte da fraqueza desses equipamentos, ressalta a pesquisa, está na política de segurança dos fabricantes. Muitos sistemas não informam ao usuário sobre as medidas usadas para proteger os o dados. Pouco mais da metade dos aplicativos de monitoramento examinados pelo levantamento não tinha políticas de privacidade disponíveis ao público. (RM)