Cibersegurança na
Internet das Coisas
Ruy J.G.B. de Queiroz (CIn/UFPE)
Security Leaders Recife, Hotel Grand Mercure, 12/11/2019

“'Tossed my Fitbit in the trash': users fear
for privacy after Google buys company
(The Guardian, 06/11/2019)
• “A recente aquisição do Fitbit pelo Google, por US $ 2,1
bilhões, deixou muitos usuários preocupados com o fato
de a gigante da tecnologia poder em breve ter acesso às
informações de saúde mais íntimas - desde o número
de passos que dão diariamente até seus padrões de
respiração, qualidade do sono ou ciclos menstruais.”

“Inside Amazon’s plan for Alexa to run
your entire life”
(MIT Technology Review, 05/11/2019)
• “o Alexa está distribuído em todos os lugares, capaz de controlar mais de 85.000
produtos domésticos inteligentes, de TVs a campainhas e fones de ouvido. Pode
executar mais de 100.000 "habilidades" e contando. Ele processa bilhões de interações
por semana, gerando grandes quantidades de dados sobre sua agenda, suas
preferências e seu paradeiro. (…)
• Falando com a MIT Technology Review, Rohit Prasad, cientista chefe da Alexa, agora
revelou mais detalhes sobre para onde Alexa está indo. O ponto crucial do plano é que o
assistente de voz passe das interações passivas para as proativas. (…)
• Da perspectiva do consumidor, no entanto, essas alterações também têm implicações
críticas na privacidade. A visão de Prasad pressupõe que o Alexa o seguirá em todos os
lugares, saberá bastante sobre o que você está fazendo a qualquer momento e será a
interface principal de como você coordena sua vida. No final das contas, isso requer
acumular enormes quantidades de detalhes íntimos sobre sua vida. Alguns temem
que a Amazon vá muito além dessa linha de base, usando seus dados para anunciar e
comercializar para você. "Em última análise, trata-se de monetizar a vida cotidiana de
indivíduos e grupos de pessoas", diz Jeffrey Chester, diretor executivo do Center for
Digital Democracy.”

“Information Exposure From Consumer IoT Devices: A
Multidimensional, Network-Informed Measurement Approach”
(W.Jen et al., IMC ’19, Oct 21–23, 2019, Amsterdam)
• “Os dispositivos da Internet das Coisas (IoT) são cada vez mais encontrados nas
residências, fornecendo funcionalidade útil para dispositivos como TVs, alto-
falantes inteligentes e campainhas de vídeo. Juntamente com seus benefícios vêm
riscos potenciais à privacidade, pois esses dispositivos podem comunicar
informações sobre seus usuários a terceiros pela Internet. Contudo, compreender
esses riscos em profundidade e em escala é difícil devido à heterogeneidade nas
interfaces de usuário, protocolos e funcionalidades dos dispositivos.
• Neste trabalho, realizamos uma análise multidimensional da exposição de
informações de 81 dispositivos localizados em laboratórios nos EUA e Reino
Unido. Através de um total de 34.586 experimentos rigorosos controlados por
automação e manual, caracterizamos a exposição às informações em termos de
destinos de tráfego da Internet, se o conteúdo da comunicação está protegido por
criptografia, quais são as interações dos dispositivos IoT que podem ser inferidas
a partir de tal conteúdo e se há exposições inesperadas de informações privadas
e / ou confidenciais (por exemplo, vídeo transmitido clandestinamente por um
dispositivo de gravação).”

“Information Exposure From Consumer IoT Devices: A
Multidimensional, Network-Informed Measurement Approach”
(W.Jen et al., IMC ’19, Oct 21–23, 2019, Amsterdam)
• “Usando 34.586 experimentos controlados, descobrimos
que 72/81 dispositivos tiveram pelo menos um destino
que não seja o primeiro participante (isto é, pertencendo
ao fabricante do dispositivo), 56% dos dispositivos nos
EUA e 83,8% dos dispositivos do Reino Unido contactam
destinos fora de sua região, todos os dispositivos
expõem informações aos bisbilhoteiros através de pelo
menos um fluxo de texto em aberto e um bisbilhoteiro
passivo pode inferir com segurança o comportamento do
usuário e do dispositivo a partir do tráfego (criptografado
ou não) de 30/81 dispositivos.”

“Considerations for Managing Internet of
Things (IoT) Cybersecurity and Privacy
Risks” (NISTIR 8228, Jun/2019)
• “A Internet das Coisas (IoT) é uma coleção em rápida evolução e expansão de
diversas tecnologias que interagem com o mundo físico. Os dispositivos de IoT
são um resultado da combinação dos mundos da tecnologia da informação (TI)
e da tecnologia operacional (OT). Muitos dispositivos de IoT são o resultado da
convergência da computação em nuvem, computação móvel, sistemas
embarcados, big data, hardware de baixo preço e outros avanços tecnológicos.
• Embora o escopo completo da IoT não seja definido com precisão, ele é
claramente vasto. Cada setor possui seus próprios tipos de dispositivos de IoT,
como equipamentos hospitalares especializados no setor de saúde e
tecnologias de estradas inteligentes no setor de transporte, e há um grande
número de dispositivos de IoT empresariais que todos os setores podem usar.
Várias versões de quase todos os dispositivos eletrônicos de consumo, muitos
dos quais também estão presentes nas instalações das organizações,
tornaram-se dispositivos IoT conectados - utensílios de cozinha, termostatos,
câmeras de segurança doméstica, fechaduras de portas, lâmpadas e TVs.”

“Permission / Permissioning /
Permissionless: Three Faces of IoT Evolution”
(Stanford Univ, 21 Nov 2019)
• Gilad Rosner é pesquisador
de políticas de privacidade e
de informações, e fundador
do IoT Privacy Forum,
organização sem fins
lucrativos. O trabalho mais
amplo de Gilad se concentra
no gerenciamento de
identidades, nos regimes de
privacidade dos EUA e da UE
e na ética da analítica de
emoções.

“Permission / Permissioning /
Permissionless: Three Faces of IoT
Evolution” (21 Nov 2019)
• “Essa palestra explorará a 'permissão' na IoT sob três
perspectivas. Em primeiro lugar, esse consentimento e
permissão ativos estão quebrando ainda mais, levando a
desafios ao 'gerenciamento de limites'. Segundo, é uma
revisão das tecnologias de 'permissão' - estruturas e
protocolos do domínio de gerenciamento de identidade que
permitem aos usuários conceder permissões granulares
para compartilhar dados. Terceiro, é uma crítica ao discurso
da 'inovação sem permissão' na discussão de políticas da
IoT, que vê a intervenção do governo no mercado em
desenvolvimento da IoT como um obstáculo à inovação e
desaprova abordagens precaucionárias à regulamentação.”

Internet of Things Privacy Forum
https://www.iotprivacyforum.org/
• “O Internet of Things Privacy Forum é um think tank
internacional que produz orientação, análise, pesquisa e
melhores práticas recomendadas para indústria e
governo para reduzir o risco de privacidade inovando de
maneira responsável no domínio de dispositivos
conectados.
• A discussão dos desafios de privacidade da IoT é
inerentemente multidisciplinar - envolvendo engenheiros,
legisladores, cientistas sociais, reguladores, especialistas
em segurança e usabilidade.”

Internet das Coisas
• “Não existe uma definição estrita da Internet das Coisas.
O termo é uma denominação abrangente para evocar a
proliferação de objetos em nossas casas, locais de
trabalho e cidades que adquirem graus variados de
inteligência em rede. Os dispositivos que detectam e se
comunicam não são novos, mas os desenvolvimentos
tecnológicos tornaram a detecção e a conectividade
baratas, discretas e onipresentes.”

Rosner, Gilad and Kenneally, Erin, Clearly
Opaque: Privacy Risks of the Internet of
Things (May 1, 2018). IoT Privacy Forum
• “Para os fins deste documento, a IoT é definida como a coleção
de dispositivos que têm a capacidade de detectar, acumular e
analisar dados e se comunicar por meio de redes. Esses
dispositivos podem ser encontrados em casa, como iluminação
inteligente, ou assistentes virtuais, ou TVs com câmeras e
microfones; ao ar livre em público, como redes elétricas
inteligentes, sinais de trânsito adaptáveis e iluminação pública
com detectores de tiros; em indústrias específicas, como
monitores remotos para condições de saúde ou publicidade
personalizada; em ambientes de varejo, detectando quem e
onde as pessoas estão nas lojas, observando onde elas olham
ou permanecem; ou na pessoa de um usuário, como
rastreadores de fitness vestíveis ou câmeras em rede montadas
na cabeça.”

Rosner, Gilad and Kenneally, Erin, Clearly
Opaque: Privacy Risks of the Internet of
Things (May 1, 2018). IoT Privacy Forum
• A IoT expandirá as práticas de coleta de dados do mundo online para o
mundo offline.
• A IoT pressagia uma diminuição de espaços privados.
• A IoT invadirá a privacidade emocional e corporal.
• Dada a probabilidade de coleta de dados onipresente em todo o ambiente
humano, a noção de invasão da privacidade pode se decompor; mais
conforme a expectativa das pessoas de serem monitoradas aumenta.
• Quando os dispositivos IoT desaparecem em segundo plano ou parecem
coisas familiares, podemos ser enganados por eles, e acabarmos
embalados em revelar mais informações do que poderíamos. Os
dispositivos conectados são projetados para serem discretos, para que as
pessoas possam esquecer que há dispositivos de monitoramento.

Principais riscos e problemas
de privacidade da IoT
• Os dispositivos de IoT desafiam, cruzam e desestabilizam
limites, bem como a capacidade das pessoas de gerenciá-
los.
• À medida que mais e mais produtos são lançados com
recursos semelhantes à IoT, haverá uma "erosão de
escolha" para os consumidores - menos capacidade de não
ter as Coisas em seu ambiente para monitorá-los
• Mudanças no mercado para recursos "inteligentes",
intencionalmente não-obstrutivos, levam a uma menor
compreensão da coleta de dados e menor capacidade de
recusar esses recursos.

Principais riscos e problemas
de privacidade da IoT
• A IoT reformula a sociedade de vigilância, mercantiliza ainda mais as pessoas e
as expõe à manipulação.
• A IoT torna mais difícil obter consentimento significativo
• A IoT está em tensão com o princípio da transparência.
• A IoT ameaça os direitos de participação incorporados nos Princípios de Práticas
de Informações Justas dos EUA e no GDPR da UE.
• Os dispositivos da IoT não são neutros; eles são construídos com uma lógica
comercial nos incentivando a compartilhar. A IoT abraça e estende a lógica das
mídias sociais - divulgação intencional, participação social e investimento
contínuo em interação.
• A IoT terá impacto nas crianças e, portanto, dará aos pais deveres adicionais de
gerenciamento de privacidade.

Internet das Coisas e
O Mundo Físico
• A IoT permitirá que o rastreamento e a análise que
acontecem on-line ocorram no mundo físico
• A IoT permitirá e normalizará o rastreamento de
preferências e comportamentos no mundo offline. Essa é
uma mudança qualitativa significativa e uma das
principais razões para avaliar essas tecnologias quanto
ao seu impacto social e efeito nos métodos históricos de
preservação da privacidade. A própria noção de mundo
offline pode começar a declinar.

Internet das Coisas e
Publicidade
• “... o futuro da publicidade e do marketing reside na coleta de
dados passiva e sempre ligada, e que o Santo Graal é uma
informação em tempo real sobre as necessidades e emoções
dos clientes. Hoje, isso depende dos avanços da tecnologia
móvel e vestível e da correlação da localização geográfica com
as informações contextuais e comportamentais. O valor da
coleta de dados passiva é o acesso instantâneo a transações e
conversas ... Visto dessa maneira, os biossensores e os dados
biométricos prometem um entendimento adicional em tempo
real, à medida que as pessoas se movem pela vida cotidiana,
pela cidade e pelos espaços de varejo.”
• - McStay, A. (2018) Emotional AI: The Rise of Empathic Media.

Espaços Privados
• “Eu acho que você pode colocá-los no contexto da IoT e
perguntar: por exemplo, temos dispositivos em nossas casas que
talvez estejam nos escondendo clandestinamente ou coletando e
compartilhando informações das quais desconhecemos, ou
mesmo apenas o fato de que eles são na gravação de nossas
casas, isso é uma violação da ideia de que estamos livres de
vigilância? Por interferência do governo? Que em nossas casas, é
um espaço privado? Penso que, uma vez que, fundamentalmente,
essa ideia seja contestada, você terá dúvidas sobre se é possível
encontrar um espaço privado e qual a necessidade do espaço
privado para a liberdade de pensamento? Eu responderia que é
muito necessário. Está no centro.”
• (Defensor da Privacidade em entrevista)

Espaços Privados
• “Você acha que está sendo observado e se comporta de
maneira diferente. Também existem aspectos de habituação -
você pode se comportar de maneira diferente no início e, em
seguida, ficar meio que sintonizado com a tecnologia existente,
para se tornar um pouco mais relaxado em termos de como se
comporta. Você esquece que esses dispositivos estão ativos,
mas isso não significa que você não deixa mais vestígios digitais
de comportamento mundano, e esses dados podem revelar
informações sobre suas preferências, o que você gosta, o que
não gosta ou a sua saúde, sua situação familiar, sua situação
financeira, todos os tipos de coisas diferentes que as pessoas
preferem manter em sigilo.”
• (- Florian Schaub, entrevista)

Privacidade Emocional e
Corporal
• “Privacidade informacional abrange a privacidade física.
Esta última pode se referir ao isolamento resultante de
condições naturais, como paredes, escuridão, distância,
pele, roupas e expressão facial. Eles podem bloquear ou
limitar saídas e entradas. A privacidade corporal é uma
forma disso. Isso é visto ao cruzar as bordas do corpo
para implantar algo como um chip ou dispositivo de
controle de natalidade ou para tirar algo dele, como
tecido, fluido ou uma bala.”
• (- Marx, Gary T. (2012: x). Privacy is not quite like the
weather.)

Captura de Sentimentos e
Emoções
• “Estamos vendo um aumento líquido de interesse em
captura de sentimentos e emoções. As indústrias são
realmente amplas: de automóveis, seguros, saúde,
recrutamento, mídia, basicamente em qualquer lugar onde
seja útil entender emoções ... Em termos de tipos de
indústrias que realmente estão assumindo a liderança,
publicidade e marketing são um dos óbvios. Cada vez mais
estamos vendo o varejo se mudar para essa área ... todos os
tipos de setores diferentes, variando literalmente, de
brinquedos sexuais até agências de segurança nacional e
todo o material organizacional e de marketing intermediário.”
• (Andrew McStay, entrevista)

Coleta ampla
• “incluindo dados biométricos sobre emoções para
entender 'alavancas de marca' ou como levar as pessoas
a agir, clicar, comprar, investigar, sentir ou acreditar. ...
[Esse] objetivo envolve 'entender as pessoas através de
todos os seus dispositivos e pontos de interação, ou seja,
dispositivos portáteis, dispositivos móveis e IoT'. Em
geral, o objetivo ... é "coletar tudo" para criar uma
interação mais significativa com as marcas.”
• (- McStay, A. (2016: 4). Empathic media and advertising:
Industry, policy, legal and citizen perspectives (the case
for intimacy) )

Transparência emocional
• “"Interesse na transparência emocional ou no
desenvolvimento do corpo para revelar reações,
indicações de emoções, sentimentos sobre marcas,
rastreamento de jornadas de clientes e informações que
ajudarão a criar 'marcas significativas’"
• (- McStay, A. (2018, Ch. 8) Emotional AI: The Rise of
Empathic Media)

Manipulação do
comportamento
• “Em certo sentido, talvez dependa da sua visão política. Você poderia
dizer não muito pouco. Mas, no mínimo, no mínimo, o que está em
jogo é a capacidade de entender as pessoas de maneiras mais ricas
do que nunca vimos antes. Portanto, certamente, no contexto de
marketing e publicidade, o que está em jogo é a capacidade de levar
as pessoas a comprarem mais coisas. Então, quando você fala sobre
o que sustenta as pessoas a comprarem mais coisas, essencialmente
o que você está falando é sobre o controle e a manipulação do
comportamento humano. Em termos do que está em jogo, no mínimo,
ninguém poderia discordar de que há uma chance acima da média
de aumentar a capacidade de manipular o comportamento
humano, normalmente em ambientes de consumo.”
• (- Andrew McStay, Entrevista)

Symantec’s annual
Internet Security Threat Report (ISTR)
(Fev 2019)
• “Após um aumento maciço no número de ataques na Internet
das Coisas (IoT) em 2017, os números foram estabilizados em
2018, quando atingiu em média 5.200 por mês contra o honeypot
de IoT da Symantec. Roteadores e câmeras conectadas eram de
longe a principal fonte de ataques de IoT, representando mais de
90% de todos ataques ao honeypot. A proporção de câmeras
infectados usadas nos ataques aumentou consideravelmente em
2018. As câmeras conectadas foram responsáveis por 15% dos
ataques, acima dos 3,5 por cento em 2017.
• Os atacantes também estiveram cada vez mais focados no
Telnet como uma avenida para o ataque. Telnet foi responsável
por mais de 90% das tentativas de ataque em 2018, um salto de
50% em 2017.”

ISTR 2019: Internet of Things Cyber
Attacks Grow More Diverse
(Abr 2019)
• “Muitos dispositivos IoT são de tipos mais antigos de
equipamentos que não são substituídos ou atualizados
rapidamente, portanto, ainda usam o amplamente difundido
Telnet difundido, e pouco seguro.
• “Muitos dispositivos são cinco anos de idade ou mais velhos”,
diz ele, “e eles também não necessitam de outra garantia
processos, tais como a execução de alterações de senha.” A
consequência desta falha particular é evidente na análise ISTR
da Symantec: A senha mais usada pelos invasores para
acessar os dispositivos IoT em 2018 eram "123456", usada
em um quarto de todos os ataques. Em segundo lugar?
Nenhuma senha, responsável por 17% dos ataques de 2018.”

Preparação contra Ataques
de Computadores Quânticos
• “Apresentamos uma pesquisa sobre várias técnicas relacionadas ao LB-
PKC para o ambiente de IoT. Com a ampla adoção de sensores de IoT
na infraestrutura inteligente, a segurança e a privacidade tornaram-se
grandes desafios nos últimos anos. As técnicas e algoritmos
criptográficos tradicionais não são eficientes para lidar com os desafios
de segurança no ambiente de IoT porque não são resistentes a ataques
quânticos. Portanto, para abordar algumas das deficiências das técnicas
criptográficas tradicionais, o LB-PKC foi proposto para fornecer
proteção contra ataques quânticos. Na primeira parte deste artigo,
apresentamos alguns dos principais problemas de reticulados NP-
difíceis seguidos por abordagens propostas recentemente baseadas em
reticulados para resolver alguns dos problemas em um tempo
polinomial. Por fim, discutimos várias técnicas de criptografia e
autenticação baseadas em reticulados.” (Lattice-Based Public Key
Cryptosystem for Internet of Things Environment: Challenges and
Solutions, IEEE Internet of Things Journal, 6(3), June 2019 )

Preparação contra Ataques
de Computadores Quânticos
• “A concretização iminente de computadores quânticos
escaláveis levou a pesquisas ativas em criptografia pós-
quântica (PQC). O desafio é mais difícil para os dispositivos
embarcados de IoT, devido à difusão generalizada no
mundo de hoje e aos recursos mais restritos (área restrita e
demanda de energia). Entre várias classes de esquemas de
criptografia resistentes quânticos, a Criptografia Baseada-
em-Reticulados (LBC) está emergindo como uma das mais
viáveis, e quase metade dos 'sobreviventes' da segunda
rodada da competição PQC do NIST são baseados em
reticulados.” (Lattice-based Cryptography for IoT in A
Quantum World: Are We Ready?, A.Khalid, S.McCarthy,
M.O’Neill, W.liu, IACR eprint, 2019.)