A Internet das Coisas (IoT), de maneira simples, pode ser definida como uma tecnologia que permite a comunicação entre dispositivos por meio da internet, sem a necessidade de intervenção humana. Com a popularização dos smartphones e a expansão da internet de alta velocidade — especialmente as redes 5G — a IoT tem se consolidado como uma tendência crescente em diversas áreas. Alguns exemplos de aplicação de soluções IoT seriam:
Casa Inteligente: onde dispositivos como termostatos, luzes e câmeras podem ser controlados remotamente por meio de um aplicativo em um smartphone, tornando a casa mais conveniente e segura;
Monitoramento e controle da saúde: com a utilização de dispositivos capazes de medir a frequência cardíaca, glicemia ou pressão arterial. Tais informações podem ser enviadas a profissionais de saúde ou usadas para fornecer recomendações personalizadas de exercícios e nutrição;
Implantação de cidades inteligentes: como já abordei no artigo “Como a tecnologia pode ajudar a melhorar a vida nas grandes metrópoles”, trazendo a possibilidade de criação de um sistema de transporte mais otimizado e inteligente, aumentando a mobilidade nos grandes centros urbanos, melhor controle da saúde pública, monitoramento ambiental e melhorando o relacionamento entre gestores públicos e cidadãos — como carros autônomos que usam sensores para evitar colisões e ajustar a velocidade de acordo com as condições da estrada. Também é possível criar sistemas de transporte público inteligentes, que usam sensores para ajustar os horários de ônibus e trens com base no fluxo de passageiros, além de sincronização inteligente de semáforos, que tem o potencial de reduzir o tempo médio dos deslocamentos nas cidades;
Aumento da eficiência na Indústria: com o uso de dispositivos que monitoram e otimizam a produção e o uso de energia. Por exemplo, sensores podem ser usados para detectar defeitos em produtos durante o processo de fabricação, reduzindo o desperdício;
Agricultura conectada: onde a IoT possibilita a criação de verdadeiras fazendas inteligentes, nas quais sensores monitoram a umidade do solo, a temperatura e a umidade do ar, permitindo que os agricultores monitorem o crescimento das plantas e ajustem o uso de água e fertilizantes da forma mais adequada para alavancar a produção.
Tipos de dispositivos IoT
Os dispositivos IoT podem ser classificados em duas categorias principais: dispositivos de baixa complexidade e dispositivos de alta complexidade. Os dispositivos de baixa complexidade são geralmente pequenos, baratos e simples. Eles normalmente têm apenas uma função ou um conjunto limitado de funções, e são projetados para se comunicar com outros dispositivos ou sistemas usando protocolos de comunicação simples e de curto alcance, como Bluetooth ou Wi-Fi. Sensores de temperatura, termostatos inteligentes e luzes inteligentes são alguns exemplos desse tipo de dispositivos.
Por sua vez, dispositivos de alta complexidade são mais complexos e caros, pois possuem maior capacidade de processamento e armazenamento. Geralmente eles possuem várias funções e podem executar tarefas mais complexas, como processamento de vídeo ou reconhecimento de voz. Eles são projetados para se comunicar com outros dispositivos ou sistemas usando protocolos de comunicação mais complexos, como Zigbee ou Z-Wave. Exemplos de dispositivos de alta complexidade incluem assistentes virtuais, smart TVs e sistemas de segurança domésticos.
Em resumo, dispositivos de baixa complexidade são mais simples, baratos e têm menos recursos do que dispositivos de alta complexidade. Os dispositivos de alta complexidade, por outro lado, são mais caros, mais complexos e podem executar tarefas mais avançadas. No entanto, eles também têm requisitos de energia mais altos e podem ser mais difíceis de configurar e gerenciar.
E por que isso é importante? As características dos dispositivos IoT, especialmente os de baixa complexidade, podem trazer grandes desafios quando falamos de cibersegurança.
Desafios de segurança em IoT
Como vimos, dispositivos IoT se conectam à internet para realizar uma ampla gama de tarefas, desde controlar a temperatura de sua casa até monitorar sua saúde. No entanto, esses dispositivos frequentemente têm limitações significativas em termos de segurança da informação.
Uma das principais limitações é que muitos dispositivos IoT são projetados com pouca ou nenhuma consideração de segurança. Isso pode incluir o uso de senhas padrões fracas e bem conhecidas, falta de atualizações de segurança regulares ou baixa – ou nenhuma – proteção contra invasões. Tal cenário possibilita que tais vulnerabilidades possam ser exploradas por invasores para acessar os dispositivos e coletar informações pessoais ou controlá-los remotamente.
Outra limitação é que muitos dispositivos IoT são projetados para serem fáceis de usar, mas isso implica que eles têm menos opções de segurança que dispositivos tradicionais, inviabilizando a personalização de configurações de segurança ou implementação de medidas adicionais de proteção.
Além disso, dispositivos IoT se comunicam com outros dispositivos e serviços, criando uma rede complexa de informações. Isso pode tornar difícil para os usuários entenderem como seus dados estão sendo coletados e usados, bem como para identificar quem tem acesso a esses dados.
A fragilidade da segurança de dispositivos IoT já foi explorada em alguns ataques bem conhecidos. Em 2016, por exemplo, o malware Mirai afetou vários dispositivos IoT conectados à internet, como câmeras de segurança e roteadores. Os dispositivos infectados passaram para o controle de hackers, que criaram uma botnet. Então, a botnet foi usada para lançar ataques de negação de serviço (DDoS) contra vários sites e plataformas, como Twitter, Netflix e Reddit. Os hackers conseguiram infectar os dispositivos ao explorar senhas padrão ou fracas que não foram alteradas pelos usuários. Eles também compartilharam o código do malware com outros criminosos, aumentando o número de ataques usando a rede Mirai.
Outro ataque ocorreu em 2018 e envolveu um malware chamado vpnfilter que infectou mais de 500 mil roteadores de diversas marcas em pelo menos 54 países. Esse malware era capaz de interceptar e modificar os dados transmitidos pela rede, coletar informações pessoais dos usuários e até apagar o software dos roteadores, tornando-os inoperantes. Neste incidente, foi explorada a vulnerabilidade dos roteadores domésticos e de pequenos escritórios que não tinham atualizações de segurança ou usavam senhas fracas. Os hackers conseguiram instalar o malware nos roteadores ao explorar essas falhas e também, usandotécnicas de phishing, lograram enganar os usuários para que eles clicassem em links.
Um caso mais recente, ocorrido em 2021, afetou as câmeras produzidas pela empresa Verkada. O ataque expôs mais de 150 mil câmeras de vigilância da empresa, que fornece soluções de monitoramento em nuvem para clientes corporativos. Os hackers conseguiram acessar as imagens ao vivo e gravadas das câmeras instaladas em locais como prisões, hospitais, escolas, fábricas da Tesla e escritórios da Cloudflare. Esse ataque explorou a falta de proteção adequada das credenciais de acesso à rede da Verkada e a vulnerabilidade do software da empresa. Os hackers afirmaram que usaram as credenciais de login de um funcionário que foram expostas em uma violação de dados anterior. Eles também disseram que exploraram uma falha no software que permitia o acesso remoto às câmeras sem autenticação.
Uso do GPT-4 para melhorar a segurança de soluções IoT
Um modelo de linguagem natural é uma técnica de inteligência artificial (IA) que permite que um computador processe e entenda a linguagem humana. Esses modelos utilizam algoritmos de aprendizado de máquina para analisar grandes quantidades de dados de texto e aprender a reconhecer padrões e relações entre palavras e frases. O GPT-4 é um modelo de linguagem natural, desenvolvido pela OpenAI, que pode aceitar entradas de imagem e texto e gerar saídas de texto. Ele é considerado o modelo de linguagem natural mais avançado do mundo e exibe desempenho de nível humano em vários benchmarks profissionais e acadêmicos.
Como vimos, as soluções IoT oferecem muitos benefícios, mas também apresentam riscos de segurança cibernética, como invasões, roubo de dados e ataques maliciosos. Nesse sentido, poderíamos usar o GPT-4 para melhorar a segurança das soluções IoT, notadamente para:
Detecção de anomalias: o GPT-4 pode ser treinado para identificar anomalias nos dados coletados pelos dispositivos IoT. Ele pode usar técnicas de processamento de linguagem natural para analisar as informações enviadas pelos dispositivos e identificar padrões suspeitos ou atividades anormais, como tentativas de invasão ou comportamento incomum do dispositivo.
Detecção de ameaças de segurança: o GPT-4 pode ser usado para analisar as informações coletadas pelos dispositivos IoT e identificar possíveis ameaças de segurança, como dispositivos que foram hackeados ou vulnerabilidades no sistema. Isso pode ajudar a prevenir ataques cibernéticos e aumentar a segurança do ecossistema IoT.
Gerenciamento de incidentes de segurança: o GPT-4 pode ser treinado para fornecer orientação e recomendações em tempo real em caso de incidentes de segurança em ecossistema IoT. Ele pode avaliar as informações coletadas pelos dispositivos e fornecer respostas rápidas e eficazes para minimizar os danos e proteger a privacidade e segurança dos usuários.
Monitoramento em tempo real: o GPT-4 pode ser usado para monitorar continuamente o sistema de segurança do ecossistema IoT, detectando possíveis vulnerabilidades e ameaças à medida que surgem. Ele pode alertar os usuários sobre possíveis ameaças de segurança em tempo real e fornecer orientação sobre como lidar com a situação. A IA pode ser usada para fornecer uma camada adicional de segurança por meio de análise de comportamento em tempo real, identificação de ameaças e aprendizado constante para se adaptar a novas ameaças à medida que surgem.
Autenticação de usuário: soluções de IA, de maneira genérica, podem ser implementadas para autenticar usuários em soluções IoT. Isso pode ajudar a impedir o acesso não autorizado aos dados coletados pelos dispositivos IoT. O GPT-4, por sua vez, pode gerar senhas fortes e únicas para cada dispositivo IoT, dificultando a sua quebra por hackers ou programas maliciosos.
Criptografia: pode-se utilizar soluções de IA para criptografar os dados transmitidos pelos dispositivos IoT usando algoritmos complexos que impedem a sua leitura por terceiros não autorizados, protegendo a confidencialidade desses dados.
Segurança baseada em IA: a IA pode ser usada para fornecer uma camada adicional de segurança por meio de análise de comportamento em tempo real, identificação de ameaças e aprendizado constante para se adaptar a novas ameaças à medida que surgem.
O futuro deve ser conectado e seguro
Seguramente, a Inteligência Artificial e especialmente o modelo de linguagem GPT-4 têm o potencial de aumentar significativamente a segurança no ecossistema IoT. Com sua capacidade de processar grandes quantidades de dados em tempo real e detectar anomalias em padrões de tráfego, a IA pode ajudar a identificar e prevenir ameaças cibernéticas antes que elas ocorram.
Certo é que nos próximos anos, o uso da IoT continuará a crescer exponencialmente, à medida que mais dispositivos conectados são desenvolvidos e adotados em várias áreas, desde a saúde até a logística e a indústria. No entanto, para que isso aconteça de forma segura, a segurança cibernética terá que ser uma consideração crítica em todas as fases do desenvolvimento, desde a concepção até a implementação e manutenção contínua. A IA e o GPT-4 têm o potencial de desempenhar um papel importante na proteção do ecossistema IoT, e seu uso em conjunto com outras soluções de segurança cibernética será crucial para garantir a segurança e proteção das informações pessoais e empresariais no mundo IoT em evolução.
*As opiniões contidas no texto são pessoais e não expressam o posicionamento institucional do Tribunal de Contas do Estado de São Paulo.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.