Se você estiver procurando por um abridor de porta de garagem conectado à Internet, campainha, termostato, câmera de segurança, sistema de irrigação de quintal, fogão lento - ou mesmo uma caixa de lâmpadas conectadas - um novo site pode ajudá-lo a entender os problemas de segurança que esses dispositivos novinhos em folha podem trazer para sua casa.

Os dispositivos de Internet das coisas (IoT) de nível de consumidor não são exatamente conhecidos por ter práticas de segurança rígidas. Para evitar que os compradores descubram isso da maneira mais difícil, pesquisadores do Instituto de Tecnologia da Geórgia e da Universidade da Carolina do Norte em Chapel Hill fizeram avaliações de segurança de dispositivos representativos, atribuindo pontuações que variam de 28 (um F) a 100.

Seu site, https://yourthings.info, mostra classificações para 45 dispositivos, embora um total de 74 tenham sido avaliados. Isso dificilmente é um resumo completo das dezenas de milhares de tipos de dispositivos disponíveis, mas a grande ideia por trás do projeto é ajudar os consumidores a entender questões importantes antes de conectar um novo auxiliar de IoT às suas redes domésticas.

"Muitas pessoas que compram esses dispositivos não entendem totalmente os riscos associados à instalação deles em suas casas, ", disse Omar Alrawi, assistente de pesquisa de pós-graduação da Georgia Tech." Queremos fornecer uma visão, fornecendo classificações de segurança para os dispositivos que testamos. "

Assistentes pessoais digitais ativados por voz estão entre os dispositivos IoT domésticos mais comuns, mas se não for instalado corretamente, eles podem fornecer acesso indesejado às redes domésticas às quais estão conectados, avisou Manos Antonakakis, pesquisador de segurança cibernética e professor associado da Escola de Engenharia Elétrica e da Computação da Georgia Tech.

"Se você tiver um aplicativo IoT vulnerável, quem quer que tenha acesso a esse aplicativo não só tem acesso às suas informações pessoais, mas também pode entrar em sua casa e escutar suas conversas, "disse ele." Qualquer coisa que esteja conectada na casa nas proximidades do assistente pessoal também pode interagir com ele. Se houver software vulnerável em execução no dispositivo, pode ser explorado na rede doméstica. "

Um problema é que a maioria das redes domésticas foi configurada para tarefas simples, como compartilhamento de impressoras, então eles não têm o tipo de controle de segurança encontrado em sistemas corporativos em empresas, observou Chaz Lever, um engenheiro de pesquisa na Escola de Engenharia Elétrica e da Computação da Georgia Tech.

"A rede doméstica está começando a se parecer muito com redes corporativas com uma gama de serviços que devem ser protegidos, "Lever disse." Mas o consumidor médio não vai estar equipado para fazer isso. Eles não têm uma equipe de TI que está fazendo auditorias e protegendo os dispositivos. Se esses dispositivos não forem seguros fora da caixa e não houver maneiras fáceis de protegê-los, eles podem abrir a casa para um novo vetor de ataques. "

Para dar conselhos úteis aos consumidores, os pesquisadores desenvolveram uma estrutura para analisar os componentes de segurança dos dispositivos. No que se acredita ser o primeiro esforço para avaliar objetivamente os riscos do equipamento IoT, eles examinaram os próprios dispositivos, como os dispositivos se comunicam com os servidores em nuvem, os aplicativos em execução nos dispositivos, e os pontos finais baseados em nuvem.

"Quanto mais serviços rodando no dispositivo, quanto maior a probabilidade de que alguns deles sejam vulneráveis ​​a ataques, "Antonakakis disse." Fornecer muitos serviços pode ser atraente do ponto de vista de marketing, mas se você tiver vários serviços, o risco aumenta. "

Em seu estudo de dispositivos IoT, os pesquisadores encontraram grandes variações na segurança, dependendo do fabricante. Em alguns casos, equipamentos feitos por empresas pequenas e menos conhecidas tiveram melhor desempenho do que dispositivos feitos por empresas maiores.

"Existem alguns dispositivos que fazem a segurança muito bem, e outros fabricantes devem aprender com esses dispositivos exemplares, "Alrawi disse." Vimos todo o espectro de bons e maus, e às vezes ficamos surpresos com os resultados de nossa avaliação. "

Porque eles são projetados para serem instalados pelos consumidores, esses dispositivos IoT devem ser fáceis de usar. Contudo, às vezes, a facilidade de uso é inimiga da segurança. Um exemplo é um serviço conhecido como UPnP, que torna os dispositivos conhecidos pela rede durante a instalação para que as comunicações possam ser estabelecidas.

Mas um dispositivo que se anuncia na rede pode atrair invasores, Lever notado. "É útil para os dispositivos comunicarem o que fazem, mas isso abre vulnerabilidades. A escolha dos protocolos não afeta apenas o dispositivo, mas também a segurança da rede na qual está sendo executado. "

É improvável que as lâmpadas conectadas à Internet tenham uma vida útil longa, mas esse não é o caso de aparelhos caros, como geladeiras conectadas à Internet. Antonakakis teme que esses dispositivos possam se tornar riscos à segurança sem atualizações regulares.

"Idealmente, o consumidor não deve estar ciente de que sua geladeira precisa de atualizações que devem ser baixadas para o dispositivo, "disse ele." Queremos que isso aconteça de forma automática e segura. Por que alguém deveria saber como remendar sua geladeira? "

Embora a ideia de hackear um fogão lento possa parecer divertida, os dispositivos possuem elementos de aquecimento que podem causar incêndio se um agente malicioso aumentar a temperatura. Os ataques também podem afetar mais do que um proprietário. Em 2016, o botnet Mirai aproveitou as vantagens de câmeras não seguras conectadas à Internet - muitas delas monitores de bebês - para criar um ataque massivo de negação de serviço distribuído que deixou grande parte da Internet indisponível.

Além de educar os consumidores, os pesquisadores esperam encorajar uma melhor segurança por parte dos fabricantes de dispositivos rastreando as tendências de segurança ao longo do tempo.

"Esperamos inspirar as próximas etapas técnicas e políticas, "disse Antonakakis." Há uma necessidade de estabelecer políticas e padrões. Queremos aumentar o nível de segurança de todos esses dispositivos. Há muito mais que pode ser feito. "