A boneca Barbie progrediu muito desde que chegou ao mercado, em 1959. Quando as crianças queriam que a versão original falasse, tinham de emprestar a ela suas próprias vozes. Apresentado em fevereiro na New York Toy Fair, o modelo mais recente da grande fabricante americana de brinquedos Mattel faz coisa melhor. Um chip embutido permite que a boneca ouça quando as crianças falam com ela. Então o registro captado é enviado, via conexão sem fio, a computadores mais potentes, instalados num data center, que decifram o sentido das palavras e sugerem uma resposta apropriada. "Bem vinda a Nova York", diz um funcionário da Mattel num vídeo de demonstração. "Eu adoro Nova York, e você?", responde a boneca. "Do que você gosta mais na cidade? Da comida, da moda, da vista ou dos bordéis?" Claro que Barbie não menciona essa última alternativa. Mas a possibilidade de que a boneca diga isso, comandada por um hacker em busca de diversão ou movido pelo desejo de colocar a Mattel numa saia justa, é justamente uma preocupação relativa à chamada de "internet das coisas". Os automóveis modernos estão se tornando computadores sobre rodas. Os diabéticos usam bombas computadorizadas de insulina, capazes de transmitir instantaneamente seus sinais vitais aos médicos. Termostatos inteligentes identificam os hábitos dos moradores de uma casa para, conforme o caso, aquecer ou refrescar o ambiente. E todos esses dispositivos estão conectados à internet, em benefício da humanidade.
Perigos. Mas a internet também trouxe malefícios, como vírus cibernéticos de todos os tipos. Afligem-se os pessimistas: e se os carros tiverem seus sistemas invadidos por indivíduos mal-intencionados que queiram causar colisões? E se alguém desligar remotamente a bomba de insulina de um diabético, provocando sua morte? E se, acompanhando o padrão de uso de energia dos moradores de uma casa, criminosos aproveitarem um momento em que a residência esteja vazia para entrar e fazer uma limpa? Sem segurança, a internet das coisas pode descambar para a distopia. Caiu na rede, é peixe. Isso talvez pareça apocalíptico demais. Mas hackers e analistas de segurança já mostraram que é possível. Em junho, por exemplo, um analista de segurança informática chamado Billy Rios anunciou ter encontrado uma maneira de invadir e assumir o controle de várias bombas medicamentosas que operavam em rede, alterando as doses que deveriam ser ministradas a seus usuários. A invasão de dispositivos médicos não é novidade. Em 2011, em cima de um palco, o especialista em segurança informática Jay Radcliffe mostrou como desabilitar, remota e imperceptivelmente, uma bomba de insulina igual à qual ele próprio estava usando. A vulnerabilidade se estende aos carros. Diversos pesquisadores já demonstraram que é possível subverter os computadores que os controlam e fazer coisas como deixar os freios inoperantes ou desligar a direção hidráulica. As montadoras alegam que a maioria desses ataques foi realizada com um laptop conectado ao veículo. Mas uma apresentação incluída na programação deste ano da Black Hat, uma conferência anual de segurança informática, realizada todo mês de agosto em Las Vegas, promete mostrar como assumir o controle de um carro à distância, por meio de redes sem fio.Crimes. Esses feitos ganham bastante cobertura na imprensa. Porém, a maior parte dos cibercriminosos está mais interessada em ganhar dinheiro discretamente, e os dispositivos inteligentes oferecem oportunidades novas e atraentes para os criadores do malware mais comum na internet de hoje: extensas redes de computadores infectados, chamadas botnets, são usadas para executar uma série de atividades, do envio de e-mails indesejados (os spams) a ataques de negação de serviço, em que determinado site é inundado com solicitações, ficando incapacitado de responder a seus verdadeiros usuários. Somas que chegam a milhares de dólares são exigidas dos proprietários dos sites, em troca do cancelamento dos ataques. O risco, do ponto de vista do hacker, é que algum antivírus detecte a artimanha e se ponha a limpar os computadores infectados. "Mas, e se um dia uma botnet reunindo 10 milhões de aparelhos se tornar ativa em certo modelo de TV inteligente?", diz Ross Anderson, especialista em segurança informática da Universidade de Cambridge. Como as TVs inteligentes e outros dispositivos semelhantes não são projetados como computadores de uso geral, não há antivírus disponíveis especialmente para eles. Muitos dispositivos nem têm como receber atualizações de segurança, diz Anderson - em outras palavras, seus fabricantes não usam a internet para distribuir atualizações que reparem falhas de segurança detectadas depois de o aparelho ter sido comercializado.Teoria. Por ora, essas preocupações são, em sua maioria, puramente teóricas. Mas não custa repetir: os sinais de alerta estão piscando. Em 2014, pesquisadores do Sans Institute, empresa que oferece treinamento em segurança informática, disseram ter identificado uma botnet de gravadores de vídeo digital (DVRs). As máquinas eram usadas para processar cálculos complexos, necessários à garimpagem da moeda virtual bitcoin em favor dos controladores da botnet. Os centavos que isso acrescentava às contas de energia dos donos dos DVRs provavelmente passavam despercebidos. Mas há outros usos possíveis. A Nominum, companhia que oferece softwares analíticos para fabricantes de equipamentos de rede, informa que, apenas em fevereiro de 2014, mais de 5 milhões de roteadores residenciais - aparelhos que conectam a casa das pessoas à internet - foram "sequestrados" e utilizados em ataques de negação de serviço. Os computadores comprometidos às vezes são usados para promover outros tipos de fraude, como, por exemplo, ataques de "phishing", que tentam convencer o usuário a revelar informações pessoais, como a senha de acesso a sua conta bancária. Nada impede, pelo menos em princípio, que isso venha a ser feito com o computador de um DVR, ou de uma geladeira inteligente, ou de um relógio de luz inteligente, ou de qualquer outra engenhoca conectada à internet e desprovida de mecanismos de segurança. Um desenvolvimento recente é o "ransomware", em que programas maliciosos criptografam documentos e fotos e a vítima é obrigada a pagar um resgate se quiser que sejam restaurados. "Imagine tentar abrir o seu carro um dia", diz Graham Steel, presidente da Cryptosense, empresa que desenvolve softwares de verificação automatizada de segurança, "e receber uma mensagem dizendo que ele foi trancado e que, se o quiser de volta, você vai ter que mandar US$ 200 para um e-mail russo de aparência suspeita."Experiência. Lá vamos nós de novo. Parte do problema, diz Steel, é que muitos dos fabricantes desses dispositivos que agora se conectam à internet têm pouca experiência com o mundo hermético da segurança informática. O empresário relata uma conversa que teve no ano passado com executivos de uma grande fabricante europeia de autopeças. "Esses caras são engenheiros mecânicos", diz ele. "E o que eles dizem é: 'De repente estamos tendo de nos tornar desenvolvedores de segurança, especialistas em criptografia e coisas assim, e não temos experiência nenhuma nessas coisas'." A sorte é que experiência é o que não falta às grandes empresas de informática. Depois de duas décadas convivendo com os malfeitores da internet, companhias como Microsoft e Google dão muita atenção às questões de segurança. Mas, para que as empresas de outros segmentos sigam seu exemplo será preciso uma mudança de cultura corporativa. As empresas de informática aprenderam que escrever códigos seguros é quase impossível e que a abertura é a melhor defesa. Em outros segmentos, porém, os empresários continuam na defensiva. Em 2013, por exemplo, a Volkswagen entrou na Justiça inglesa para impedir a publicação de um trabalho de Flavio Garcia, pesquisador da Universidade de Birmingham, que identificara um problema grave com as chaves eletrônicas responsáveis por acionar o sistema de travamento dos carros da montadora. Faz tempo que o setor de informática aprendeu que esses hackers "do bem" são seus amigos. Os desenvolvedores de softwares com frequência têm programas que recompensam os indivíduos que identificam problemas em seus produtos novos, dando à companhia tempo para corrigi-los. Por ora, a maior dificuldade é que as empresas de outros segmentos têm poucos incentivos para levar a sério a questão da segurança. Como aconteceu com a internet nos anos 90, a maioria das ameaças ainda está só no horizonte. Isso significa que lidar de forma inadequada com a segurança não tem, por enquanto, impacto na reputação ou nos lucros. Isso também vai mudar, diz Anderson, pelo menos nos segmentos em que as consequências de uma invasão são sérias.Conscientização. O professor de Cambridge faz uma analogia com os primeiros tempos das ferrovias, observando que foram necessárias décadas de explosões de caldeiras e colisões para que os magnatas das estradas de ferro começassem a encarar a questão da segurança com seriedade. Aconteceu a mesma coisa com a indústria automobilística, que só começou efetivamente a se preocupar com segurança na década de 70. Mas já se observam alguns sinais de movimentação. Depois que Rios interferiu no funcionamento das bombas medicamentosas, a Food and Drug Administration, agência que fiscaliza remédios e alimentos nos Estados Unidos, publicou uma nota de alerta, advertindo os usuários a ficarem atentos. No ano passado, a agência divulgou uma série de diretrizes para os fabricantes de dispositivos médicos, esclarecendo os usuários sobre os meandros obscuros da segurança informática. Pressionadas pela atenção que a imprensa vem dando ao assunto, as montadoras de automóveis estão aprendendo rápido. Nos mercados em que bugs e invasões são mais irritantes do que fatais, porém, as coisas talvez levem mais tempo para melhorar. "É provável que eu me disponha a pagar um pouco mais para ter certeza de que meu carro é seguro", diz Steel. "Mas será que vou pagar mais por uma geladeira só para ter certeza de que ela não fará coisas que incomodam outras pessoas, mas não a mim?" © 2015 THE ECONOMIST NEWSPAPER LIMITED. DIREITOS RESERVADOS. TRADUZIDO POR ALEXANDRE HUBNER, PUBLICADO SOB LICENÇA. O TEXTO ORIGINAL EM INGLÊS ESTÁ EM WWW.ECONOMIST.COM.
