Led Inteligente - Falando sobre Segurança

Olá!

Damos sequência ao tema Iluminação Inteligente em Led, agora abordando uma questão importantíssima: Segurança.



Antes porém uma ressalva: já havíamos tratado o assunto na primeira postagem desta série mas, visto a importância vital, complexa e mutável que tema exige, decidimos então criar um post permanente e atualizável.

SEGURANÇA

Ela já está aí! A IA (Inteligência Artificial), grande aliada da IoT (Internet das Coisas) já existe há muito tempo e, talvez você nem tenha se dado tanta conta disso ainda. 2019 foi marcado pela chegada definitiva de algumas novas tecnologias e também, aprimoramento de outras que juntas, firmaram raízes profundas na IA este ano como:
-câmeras de celulares poderosíssimas que não só melhoram a qualidade de imagens mas, principalmente, aprendem os hábitos do usuário,
-redes sociais, que vigiam todos os seus passos para sugerir melhores feeds de notícias e consequentemente, anúncios personalizados,
-serviços de streaming de música, filmes e jogos, que fazem a mesma coisa que as redes sociais,
-redes neurais que já analisam em apenas 5 segundos a sua voz para depois não só imitá-la mas, perigosamente também, simular conversas com a sua fala,
-apps de bancos, que vasculham informações econômicas e financeiras na nuvem e o bisbilhotam para sugerir novos investimentos,
-cérebros virtuais invencíveis em partidas de xadrez e pôquer,
-gadgets que o previnem de um infarto ou derrame,
-veículos autônomos de passageiros (automóveis, ônibus, metrô) e de cargas (caminhões, navios, trens, aviões), 
-segurança pública e privada com reconhecimento facial e sensores para contagem de pessoas, leitura de placas, monitoramento de violência e vandalismo já no Carnaval do Rio e festivais de música realizados no Brasil por exemplo,
-sugestão de novos caminhos no trânsito, analisados por milhões de dados de localização na nuvem,
-atendimento ao cliente totalmente virtual, sem interação humana,
-casas e empresas conectadas que usam os assistentes de voz para controlar e gerenciar praticamente tudo nelas que estiver ligado a rede elétrica ou alimentado por uma bateria. Porém...

A Internet das Coisas (IoT) não está livre de vulnerabilidades de segurança e privacidade, assim como também não estão o seu computador e celular. E isto infelizmente, é um grande mal da vida moderna: estar conectado o tempo todo, 24 horas ao dia simultaneamente a programas e pessoas maldosas que vigiam tudo na rede é o grande preço que pagamos. Especialistas estimam que haverão mais de 30 bilhões de objetos inter-conectados até 2020 e, mais de 75 bilhões até 2025. Atrelado a isso, uma pesquisa realizada em 2015 pelo provedor de autenticação on-line Auth0 descobriu que 85% dos desenvolvedores de IoT (Internet das Coisas) admitiram ter sido pressionados a colocar um produto no mercado antes mesmo que a sua segurança adequada pudesse ser implementada e, apesar dessa estatística alarmante e inúmeros ataques a uma variedade de objetos de IoT, muitos fabricantes de dispositivos ainda hoje continuam firmes na busca pela lucratividade acima da segurança do usuário. Veja um curioso caso de brinquedo infantil conectado a IoT: o Q50 Smartwatch, aparentemente um inofensivo relógio para crianças. Comercializado como uma maneira de ajudar os pais a se comunicarem facilmente e acompanharem seus filhos, os bugs no equipamento permitiriam que os hackers interceptassem todas as comunicações, escutassem remotamente o ambiente onde a criança e estivesse e falsificassem sua localização, criando armadilhas para pais desavisados. Imagine então o que um hacker poderia fazer com a TV inteligente de sua sala de conferências. E estes fabricantes descuidados não estão sozinhos: empresas como Apple, Google, Amazon etc não deixaram muito claro por exemplo do porque, até meses atrás, mantinham equipes de funcionários ouvindo e armazenando tudo o que suas caixas acústicas autônomas captavam dos usuários. A alegação delas era de que o processo evasivo era para "melhorar o aprendizado e segurança da Inteligência Artificial" embarcada nos equipamentos (tsc). Mas, pior que ficar nos ouvindo o tempo todo são as brechas de segurança destas caixinhas - uma delas descoberta em Fevereiro deste ano pela Security Research Labs: quando explorada, uma falha batizada de Smart Spies poderia ser manipulada por hackers para interceptar e capturar senhas. Outro exemplo também recente de falha na segurança em equipamentos inteligentes foi a brecha grave nos roteadores da marca ASUS, descoberta em setembro deste ano pela empresa vpnMentor. Esta falha, colocou as casas conectadas pelos equipamentos em risco: por meio de uma brecha de segurança, bandidos poderiam ter controle completo das redes domésticas dos moradores destas casas, mesmo à distância, utilizando os dispositivos conectados para espionar, roubar dados, instalar malwares e praticar crimes como assaltos, sequestros ou extorsão - todas as informações dos dispositivos que trafegavam por eles era uma verdadeira mina de ouro para os hackers que explorassem a tal brecha, que não precisariam nem mesmo estarem dentro do alcance do Wi-Fi local para explorarem a vulnerabilidade. Usuários do sistema Alexa, da Amazon, seriam os mais afetados pela falha: poderiam ser cometidos crimes como extorsão, roubos, sequestros, obtenção ilegal de imagens íntimas a partir de câmeras de segurança, verificação da rotina de uma família, destravamento de portas e janelas conectadas. Tudo isso, enquanto os habitantes da casa estivessem fora. Um hacker poderia vender as informações a criminosos interessados na prática destes crimes. Para o alívio dos proprietários que usam o sistema da empresa, a falha já foi corrigida e uma atualização para os aparelhos da Asus foi liberada apenas horas depois de a empresa ser informada sobre o grave problema. Os especialistas em segurança virtual recomendam que os usuários de roteadores e outros dispositivos conectados realizem SEMPRE a atualização do firmware e tomem medidas adicionais de segurança, como uso de senhas seguras que sejam modificadas de tempos em tempos. No caso das caixas acústicas do Google e Amazon, a dica de segurança é ficar extremamente atento a qualquer alto-falante inteligente que peça a sua senha! Amazon e Google alertam aos usuários que "nunca pedirão para que você fale essa informação em voz alta". Ainda nos dispositivos Alexa, vale a pena checar também se o anel azul que indica que o equipamento está te ouvindo, fica permanentemente aceso, pois testes feitos pela Security Research Labs notaram este comportamento - na pior das hipóteses, desligue as caixas da tomada quando não as estiver usando de fato. Devemos entrar em pânico por causa disso? Claro que não pois, como dissemos, os riscos da hiper conectividade sempre irão existir - assim como as correções imediatas dos fabricantes de equipamentos. Por isso, é sempre bom ficar muito atento e seguir todas as dicas recomendadas!

Samantha Schwirck, do ies.org nos pergunta:

"A história de segurança da iluminação conectada terá um final feliz?"


Acompanhe suas colocações em artigo (resumido) logo abaixo.

AMEAÇAS 

Nos primeiros dias da eletricidade, cientistas tentavam descobrir como nos proteger dos choques elétricos. Algo muito parecido com a segurança cibernética hoje. As estatísticas sobre a ameaça dos dispositivos IoT (Internet das Coisas) são impressionantes: a HP, por exemplo, estima que 70% dos dispositivos IoT - webcams, termostatos domésticos e lâmpadas conectadas, para citar alguns - são vulneráveis ​​a ataques. Além disso, o mercado de iluminação conectada e, portanto, a ameaça a ele, está crescendo rapidamente. Embora apenas cerca de 1% da base de iluminação instalada atualmente esteja conectada (Estados Unidos), prevê-se um aumento para 15% em 2020, 31% em 2025 e 59% em 2035. Para complicar a situação, a tecnologia do Led inteligente está em constante evolução e é ainda um verdadeiro alvo em movimento, em um estado altamente inovador. Quão ruim poderia ser realmente a invasão as luzes? Mais importante, o que é necessário para que a segurança cibernética siga o exemplo do choque elétrico e vá para a lixeira da história da iluminação? A preocupação com a iluminação é que, sendo ela onipresente, tem muitos dispositivos iguais - lâmpadas, fitas, luminárias, sensores e controles semelhantes. O que não é tao preocupante se você está apenas interrompendo o sistema (acende/apaga), mas alguém pode usar seus produtos de iluminação conectados como uma porta de entrada para outros sistemas maliciosos, diretamente de computadores ou gadgets. O tipo de ataque cibernético - e sua gravidade - geralmente dependerá do real motivo por trás dele.
Por exemplo:
-concorrentes podem atacar um produto para copiar seu código e criar uma falsificação;
-criminosos podem atacar infra-estrutura para controlar um dispositivo e acessar redes próximas;
-pesquisadores podem atacar sistemas para encontrar falhas e propor soluções.
Em geral, esses ataques são realizados via:
-hardware (dispositivos inteligentes, hubs, roteadores, luminárias / lâmpadas, drivers, sensores),
-software (aplicativos, sistemas operacionais) ou
-redes (gerenciamento de ativos).
As consequências variam dependendo do motivo e do método, bem como do objetivo, que para a iluminação conectada pode variar de residências individuais a edifícios comerciais e cidades.

Embora as lâmpadas inteligentes em residências provavelmente representem o alvo de iluminação conectado mais simples, as consequências de uma violação de segurança ainda podem ser graves. Dispositivos comprometidos podem ser usados ​​para roubar informações pessoais, enviar spam ou infectar outras luzes próximas. Para os consumidores finais, se um invasor danificar suas lâmpadas, ele poderá não querer tentar implantá-las novamente. Já as consequências de ataques cibernéticos em aplicativos comerciais por exemplo -  edifícios de escritórios, estabelecimentos comerciais e hospitais - são mais complexas porque essas configurações geralmente contêm mais dispositivos conectados a mais pessoas. A superfície de ataque é maior, o que significa que a ameaça de roubar a senha de uma pessoa apenas, pode por exemplo potencialmente elevar ao roubo de senhas de mais 1.000 funcionários de um escritório. Dispositivos como um termostato de parede por exemplo precisam ser acessados através de um edifício e, dependendo da tecnologia sem fio aplicada, talvez o invasor precise se aproximar do hardware de segurança. Portanto, se houver algum isolamento no sistema do termostato, minimiza-se muito a superfície de ataque e consequente ameaça de invasão. Sem isolamento, a variedade de níveis de segurança em um edifício pode fazer mais mal do que bem. Se usarmos a mesma luminária inteligente em Led simultaneamente em um espaço seguro e não seguro, aumentamos os riscos. Dispositivos de IoT em geral ainda têm uma segurança muito fraca nas cidades inteligentes por exemplo. Ataques bem elaborados podem ser a fonte de problemas em cascata muito graves, conhecidos como "Cyber ​​Hurricane” (cyber furacões), onde serão criados/afetados:
-apagões,
-disponibilidade de água,
-transporte público 
-disposição de resíduos (lixo).

Gal Messinger, chefe de segurança corporativa da Philips Lighting (atual Signify), tem preocupações semelhantes: 

“O impacto imediato pode ser contido para afetar apenas a confiança de um determinado fabricante, como danos à reputação de uma marca ou um declínio no preço das ações...mas à medida que o volume e a gravidade dos ataques aumentam, isso pode corroer a confiança em uma categoria inteira, como a cidade inteligente ou a casa inteligente. A erosão da confiança nessa escala poderia sufocar a inovação e o desenvolvimento econômico.” 


A recomendação atualmente na indústria da iluminação é projetar produtos ou sistemas que cumpram um padrão aceito por todos - por exemplo, o padrão de garantia de mercado 2900 da UL ou o padrão de segurança relacionado a segurança com 5500 - e só associar produtos de iluminação inteligente a dispositivos e serviços de organizações que tomem exatamente as mesmas precauções, incluindo os municípios, que poderiam armazenar seus dados coletados nos serviço em nuvem. Uma rede bem projetada segue a proteção em profundidade, com camadas de proteção, como em uma casa onde um invasor, antes de um possível êxito encontrará:
-uma porta principal trancada,
-uma porta do quarto trancada,
-uma caixa para jóias trancada,
-uma embalagem trancada e com senha.

À medida que o mercado da Iluminação em Led Inteligente conectada se expande, os profissionais de iluminação permanecem focados e confiantes em fortalecer os procedimentos de testes e os padrões de segurança. É uma prioridade sem fim que deve continuar a evoluir. A boa segurança cibernética tem a ver com disciplina e rigor - é isso que nos ajuda a ficar um passo à frente daqueles que podem tentar causar danos. A evolução da segurança cibernética não depende apenas dos especialistas, existem coisas simples e básicas que as pessoas podem fazer. Gerencie o que você pode gerenciar. No mínimo, não aumente as chances de sua empresa ter um problema. Há coisas que os proprietários e instaladores podem fazer para evitar que os bandidos se apossem indevidamente de sua riqueza material e imaterial. Isso pode ser domado. Assim como a eletricidade.

PROFISSIONAIS DE TI 

Finalizamos agora com com alertas aos Profissional de TI: considerem implementar algumas dessas práticas recomendadas de segurança da IoT à medida que você se preocupa em proteger sua rede ainda mais no futuro - para dispositivos que simplesmente aparecem na sua rede, você pode adotar três abordagens (nenhuma das quais oferece uma solução definitiva):-
-proiba tudo e aguarde as reclamações de usuários/funcionários
-tente proteger individualmente cada dispositivo na rede
-crie uma vLAN para cada tipo de dispositivo
Para dispositivos implantados internamente, a pedido de seu chefe:
-faça sua pesquisa no dispositivo
-verifique se o seu chefe conhece os riscos do BYOD
-implemente um plano robusto de recuperação de desastre para mitigar o impacto de um dispositivo explorado
-envolva-se com o processo de obtenção de dispositivos aprovados na rede
Se você ainda não considerou as possíveis vulnerabilidades que a IoT apresentará à segurança da sua rede, a hora é agora!

Robson Giro, especial para a Codlux® - Luz em Led

Fontes: ies.org, Eletimes, Arcserve, TargetHD  

Codlux® - Luz em Led

Luz é Função. Estamos empenhados nisso. 

LEIA TAMBÉM:
Led Inteligente - Além da Lâmpada

Explicando Assistentes e acessórios para a Casa Conectada. 
Osram e Philips descontinuam suporte a alguns produtos inteligentes

Verifique se você se enquadra nestas situações para manter a segurança de seus dados e funcionamento de sua Casa Inteligente! 
APAGÃO "inteligente"

Livre-se disso!
Dispositivos inteligentes: 

Alguns podem parar até 2021
Dia da Internet Segura!

A Codlux® preparou um mega post para prevenir você!
Led UV-C:

Tudo o que você precisa saber! 
Escritório, Home Office e a Iluminação em Led 

A COVID-19 mudará os escritórios para sempre?
Philips Hue vulnerável: como se proteger disso?

Alguns produtos Philips Hue podem ser atacados por hackers! Saiba como se proteger
Led Inteligente - Um início de conversa

Saiba mais sobre o mercado da Iluminação Inteligente na tecnologia Led
Led Inteligente - O que temos hoje?

Veja alguns modelos de equipamentos inteligentes de iluminação em Led já lançados/disponíveis no mercado.
Led Inteligente - Philips Hue no Shopping Eldorado

Mora ou está em Pinheiros, São Paulo? Aproveite então para conhecer! 
CES 2020 

Os produtos em Led Inteligente mais legais lançados na Feira! 
Nossa Wishlist de Natal

Os melhores presentes para você e sua casa conectada.
Android 11 na Casa Inteligente

O controle nativo no SO do Google
Amazon, Apple e Google se unem para melhorar a sua casa conectada!

Gigantes da tecnologia anunciam parceria inédita para integração de seus assistentes 

Fique atento a este marcador do blog: Iluminação Inteligente.