Recursos/White Papers

Tecnologia

Robôs: muitos recursos, pouca segurança

Os robôs são um componente crescente da IoT. Mas como a maioria dos dispositivos inteligentes, estão cheios de buracos de segurança

Taylor Armerding, CSO/EUA

Publicada em 08 de abril de 2017 às 09h29

Robôs só devem fazer coisas boas para nós, não coisas ruins. Mas há um monte de evidências de que, assim como os bilhões de outros dispositivos conectados que compõem a Internet das Coisas (IoT), o crescimento da robótica está trazendo uma infinidade de novosrecursos, com um cobertor de segurança bem curto.

Um relatório de uma pesquisa sobre robôs domésticos e industriais divulgado no fim de março pela empresa de segurança IOActive, descobriu que "a maioria"  dos robôs não tinha o que os especialistas geralmente chamam de "higiene básica de segurança".

Incluíram na lista de problmeas muitos até previsíveis: canais de comunicação inseguros, informações críticas enviadas em texto não criptografado ou com criptografia fraca, falta da exigiência de nomes de usuários ou senhas para alguns serviços, autenticação fraca em outros e falta de autorização suficiente para proteger funções críticas, como instalação de software ou atualizações. Tudo o que permitiria, "qualquer pessoa remota e facilmente hackear os robôs, ... instalar software nesses robôs sem permissão e obter controle total sobre eles."

Além disso, havia problemas de privacidade - aplicativos móveis enviando informações privadas para servidores remotos sem o consentimento do usuário, incluindo "informações sobre a rede móvel, informações do dispositivo e localização atual do GPS. Essas informações poderiam ser usadas para fins de vigilância e rastreamento ", disse o relatório.

E, como no caso com muitos dispositivos de IoT "inteligentes", eles não são inteligentes o suficiente para permitir que seus proprietários identifiquem e fechem alguns dos buracos de segurança.

"Encontramos robôs com recursos inseguros que não podiam ser facilmente desabilitados ou protegidos, bem como recursos com senhas padrão que eram difíceis de mudar ou não podiam ser alteradas", escrevem o CTO da IOActive, Cesar Cerrudo e o Senior Security Consultor, Lucas Apa, autores do relatório.

O dano de robôs hackeados pode variar de espionagem à lesão e morte. Cerrudo e Apa citam estatísticas do Departamento de Trabalho dos EUA, que mantém uma lista de "incidentes relacionados a robôs, incluindo vários que resultaram em morte".

Foi um acidente
De acordo com o relatório da IOActive, "Hacking Robots Before Skynet", não há casos documentados de pessoas feridas ou mortas por robôs atribuídos a hackers, ainda. Mas o relatório compilou uma breve lista de incidentes sérios que foram considerados acidentes, extraídos das estatísticas do Departamento do Trabalho dos EUA. Eles incluem:

- Uma mulher foi morta por um robô industrial em 2015 na fábrica da Ajin, em Cusseta, Alabama, quando um robô industrial reiniciou abruptamente.

- Uma criança derrubada pelo guarda de segurança robô no Centro Comercial Stanford em Silicon Valley, que felizmente não chegou a ficar seriamente ferida.

- Uma janela de vidro quebrada por um robô chinês fabricado em uma feira de tecnologia Shenzhen que feriu um espectador.

- E nove soldados mortos e 14 gravemente feridos em 2007, em um incidente provocado pelo mau funcionamento do canhão robô durante um exercício de tiro.

Embora todos esses incidentes fossem considerados acidentes, todos "poderiam ser causados por um robô controlado remotamente por hackers", escreveram eles.

Nenhum deles, aparentemente, retardou o apetite pelo uso de robôs por parte de consumidores e empresas.

A indútsria de robótica ainda é uma indústria relativamente jovem. Relatórios da Federação Internacional de Robótica (IFR) colocam o crescimento em centenas de milhares a milhões, não bilhões de unidades. Mas as percentagens de crescimento anual são impressionantes - na faixa de 25 por cento.

A projeção da IFR para vendas de robôs de serviço pessoal e doméstico de 2016 a 2019 é de 42 milhões. Eles serão usados ​​para coisas como limpeza a vácuo, corte de grama, entretenimento e lazer e assistência a pessoas com deficiências e idosos. A mesma projeção informa que até 2019, mais de 1,4 milhões de novos robôs industriais serão instalados em fábricas em todo o mundo, elevando o total para 2,6 milhões.

Esse aumento da automação robótica no local de trabalho levou o ex-governador da Flórida e candidato presidencial republicano Jeb Bush a dizer, na semana passada, que as pessoas deveriam estar "marchando na rua", exigindo reformas em um sistema de educação "antiquado" que não está ajudando os estudantes a competir no mercado de trabalho com robôs cada vez mais sofisticados.

robo1

Alguns incidentes catastróficos provocados por hackers em sistemas robóticos podem mudar isso, é claro. Mas os autores do estudo pontuam, diversas vezes, ainda não haver relatos de hackers causando ferimentos ou morte a partir do hack de robôs.

De todo o modo, a "superfície de ataque" é muito ampla. Cerrudo e Apa relataram encontrar vulnerabilidades em:

  • - Microfones e câmaras
  • - Conectividade de rede
  • - Interação com serviços externos
  • - Aplicações de controle remoto
  • - Módulos de extensibilidade
  • - Características de segurança
  • - Firmware
  • - Sistemas operacionais
  • - Ad Networks
  • - Backups
  • - Portas de conexão

Isso, segundo eles, devido em certa medida à maioria dos robôs usando estruturas e bibliotecas de código aberto. Um dos mais populares, o Robot Operating System (ROS), "sofre de muitos problemas de segurança cibernética conhecidos, como a comunicação em texto simples, problemas de autenticação e esquemas de autorização fraca".

Embora o compartilhamento seja bom para desenvolvimento e programação, ele só funciona se o software for seguro. "Infelizmente, este não é o caso aqui."

Na verdade, Cerrudo disse em uma entrevista que ele e Apa nem sequer precisaram comprar os sistemas que testaram, de cerca de meia dúzia de fabricantes de robôs. "Tivemos acesso aos diferentes componentes - aplicações móveis, firmware, sistemas operacionais, software, etc -  por que estavam todos disponíveis na internet para download", disse ele, acrescentando que muitos deles fornecem toda a funcionalidade para a parte física dos robôs.

AIrobotic

O que será necessário para melhorar a segurança dos robôs?
Infelizmete, os especialistas concordam que a atarefa de melhorar a segurança dos robôs não será levada tão sério sem que haja uma imposição para o cumprimento de normas bem estabelecidas.

Apa afirma que os fabricantes, "tipicamente priorizam marketing e logística, em vez de segurança." Na sua opinião, umcomportamento típico de uma indústria relativamente nova, onde "o esforço extra para tornar o produto principal absorve parte dos recursos que poderiam ter sido usados ​​para endurecer seus protótipos iniciais".

Andrew Ostashen, co-fundador e principal engenheiro de segurança da Vulsec, observou que a revisão de recursos ou hardware "poderia impulsionar a data de entrega do produto, o que poderia custar milhões ou até bilhões em receitas perdidas".

Isso significa muito provavelmente iremos assistir, em breve, a muitas ações judiciais iniciadas por vítimas de hacks robô, ou a intervenção do governo, que o guru de segurança Bruce Schneier vem promovendo há algum tempo.

Schneier, CTO da IBM Resilient, que testemunhou perante o Congresso instando a regulamentação governamental de IoT, escreveu em um blog recente sobre a segunda geração da Internet, que "estamos construindo um robô de tamanho mundial, e nem sequer percebemos isso". Essa nova internet elevará as ameaças cibernéticas a um novo nível. "Dê a internet mãos e pés, e ele terá a capacidade de socar e chutar", escreveu ele.

Danny Lieberman, diretor de tecnologia da Software Associates, concordou, dizendo que uma agência reguladora como a Food and Drug Administration (FDA) deve supervisionar o desenvolvimento da IoT ", em um sistema de múltiplas camadas não-regulamentado, composto por dispositivos de baixo risco, de risco médio e invasivos/de alto risco ".

Ostashen pede para os governos, "normas que regulem a IoT". Se os fabricantes não cumprem as normas ou usam as melhores práticas, "então o fabricante deve pagar uma multa", disse ele, acrescentando que deve haver multas cobradas também por violações devido à má segurança.

Lieberman acrescenta que essas normas devem disciplinar, mas não emperrar o desenvolvimento, a ponto de inviabilizar a rede.

Apa acredita que cabe ao governo, "chamar a atenção dos consumidores e produtores para os problemas. Mas também argumenta que só funcionaria se "os regulamentos de segurança fossem implementados de forma eficaz, com as pessoas certas e de uma maneira realista".

peppe

Apa e Cerruda notificaram os seis fornecedores de robôs pesquisados ​​no relatório e apenas quatro - SoftBank Robotics, UBTECH Robotics, Universal Robots e Rethink Robotics - responderam e receberam um relatório com os detalhes da pesquisa. Apenas uma dessas empresas, a SoftBank Robotics, disse que iria corrigir os problemas, mas "não detalhou sobre quando e como eles vão fazer e quais os problemas vão corrigir". "A  Universal Robots disse que nossas descobertas eram interessantes e que devem fazer algo sobre elas sem dar mais detalhes", disse Apa.

A CSO tentou entrar em contato com os seis fornecedores. Apenas a Rethink Robotics respondeu, enviando uma declaração que havia sido divulgada anteriormente a outros meios de comunicação. Disse que dois dos problemas apontados eram características intencionais de um projeto que se aplicaria somente à "versão da pesquisa e da instrução" de seus robôs. Os outros itens "já eram conhecidos e haviam sido abordados no lançamento do software Rethink em fevereiro". O comunica termina com a afirmação da empresa de que eles esperam "que o robô esteja conectado a uma rede corporativa segura".



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui