Robôs trazem uma série de recursos, mas eles não vêm com muita segurança

Taylor Armerding, IDG News Service
07 de abril de 2017 - 12h17
Robôs são um componente crescente da Internet das Coisas. E, como a maioria dos dispositivos conectados, eles têm recursos impressionantes, mas numerosos buracos de segurança

Robôs devem supostamente fazer coisas boas para nós, não coisas ruins.

Mas há uma abundância de evidências de que, assim como os bilhões de dispositivos conectados que compõem a Internet das Coisas (IoT), o crescimento da tecnologia robótica está chegando com uma série de recursos, porém sem a devida cobertura de segurança.

Mais evidências vieram em um relatório sobre robôs domésticos, empresariais e industriais lançado no mês passado pela empresa de pesquisa de segurança IOActive, que descobriu que a maioria deles não tinha o que os especialistas chamam de "higiene básica de segurança".

A lista inclui os itens mais previsíveis: Canais de comunicação inseguros, informações críticas enviadas em texto não criptografado ou com criptografia fraca, sem necessidade de nomes de usuários ou senhas para alguns serviços, autenticação fraca em outros e falta de autorização suficiente para proteger funções críticas, como instalação de software ou atualizações.

Tudo o que permitiria a "qualquer pessoa facilmente hackear os robôs remotamente, instalar software nesses robôs sem permissão e obter controle total sobre eles."

E, como é o caso com muitos dispositivos "inteligentes" conectados, eles não são inteligentes o suficiente para permitir que seus proprietários fechem alguns dos buracos de segurança.

Além disso, havia problemas de privacidade - aplicativos móveis enviando informações privadas para servidores remotos sem o consentimento do usuário, incluindo "informações sobre a rede móvel, informações do dispositivo e localização atual do GPS. Essas informações poderiam ser usadas para fins de vigilância e rastreamento", disse o relatório.
 
"Encontramos robôs com recursos inseguros que não podiam ser facilmente desabilitados ou protegidos, bem como recursos com senhas padrão que eram difíceis de mudar ou não podiam ser alteradas", escreveram os autores do relatório, o CTO Cesar Cerrudo e o consultor de segurança Lucas Apa.
 
Foi um acidente

De acordo com o relatório da IOActive "Hacking Robots Before Skynet", não há casos documentados de pessoas feridas ou mortas por robôs que foram atribuídos a hackers. Mas o relatório compilou uma lista de incidentes sérios considerados acidentes, extraídos de estatísticas do Departamento do Trabalho dos EUA. Eles incluem:
 
Uma mulher foi morta por um robô industrial em 2015 na fábrica Ajin USA em Cusseta, Alabama, quando um robô industrial reiniciou abruptamente;
 
Um robô guarda de segurança no Centro Comercial Stanford no Vale do Silício derrubou uma criança. A criança não ficou seriamente ferida;
 
Um robô chinês fabricado na feira de tecnologia Shenzhen quebrou uma janela de vidro e feriu um espectador;
 
Em 2007, o mau funcionamento de um canhão robótico durante um exercício de tiroteio matou nove soldados e feriu gravemente 14 outros;
 
Embora todos esses incidentes tenham sido considerados acidentes, "incidentes semelhantes poderiam ser causados por um robô controlado remotamente por hackers", diz o relatório.
 
Nenhum desses "acidentes", aparentemente, retardou o apetite por robôs tanto para consumidores e empresas.
 
Ainda é uma indústria relativamente jovem. Relatórios da Federação Internacional de Robótica (IFR, na sigla em inglês) colocam o crescimento do nicho em centenas de milhares a milhões e não bilhões. Mas as percentagens de crescimento anual são impressionantes - na faixa de 25 por cento.
 
A projeção da IFR para 2016 a 2019 para vendas de robôs de serviço pessoal e doméstico é de 42 milhões. Tais robôs são usados ​​para coisas como limpeza de chão, cortar grama, entretenimento e lazer a idosos e assistência a pessoas com deficiência.
 
O estudo também informa que até 2019, mais de 1,4 milhões de novos robôs industriais serão instalados em fábricas em todo o mundo, elevando o total para 2,6 milhões.
 
Alguns incidentes catastróficos provocados por hackers que passaram por segurança solta em sistemas robóticos podem mudar isso, é claro. Não há relatos, ainda, de hackings causando ferimentos ou morte. Mas, como apontam Cerrudo e Apa, a "superfície de ataque" é muito ampla. Eles relataram encontrar vulnerabilidades em microfones e câmaras, conectividade de rede, interação com serviços externos, aplicações de controle remoto, características de segurança, firmware, sistemas operacionais conhecidos, backups, portas de conexão e redes de anúncio.
 
Isso, concluíram os pesquisados, se dava em certa medida devido a maioria dos robôs usar estruturas e bibliotecas de código aberto. Um dos mais populares, o Robot Operating System (ROS) "sofre de muitos problemas de segurança cibernética conhecidos, como a comunicação em texto simples, problemas de autenticação e esquemas fracos de autorização".
 
Embora o compartilhamento seja bom para o desenvolvimento e programação, ele só funciona se o software for seguro. "Infelizmente, este não é o caso aqui."
 
Na verdade, Cerrudo disse em uma entrevista que ele e Apa nem sequer precisaram comprar os robôs, que testaram cerca de meia dúzia de diferentes fabricantes. "Temos acesso aos diferentes componentes - aplicações móveis, firmware, sistemas operacionais, software, etc. Eles estavam disponíveis na internet para download", disseram, acrescentando que eles fornecem toda a funcionalidade para a parte física dos robôs.
 
O que é necessário para construir uma segurança melhor em robôs?
 
Os especialistas concordam que a segurança não será feita sem alguns incentivos principais, uma vez que os incentivos dizem respeito a obter um produto alimentado com características atrativas ao mercado o mais rápido possível.
 
Andrew Ostashen, cofundador e principal engenheiro de segurança da Vulsec, observa que a revisão de recursos ou hardware "poderia atrasar a data de entrega do produto, o que poderia custar milhões ou até bilhões em receitas perdidas".
 
Apa concordou que fabricantes, "tipicamente priorizam marketing e logística, em vez de segurança."
 
Para Danny Lieberman, diretor de tecnologia da Software Associates, uma agência reguladora como a Food and Drug Administration (FDA) deveria supervisionar a Internet das Coisas, em um sistema de múltiplas camadas que regulamentem dispositivos de baixo risco, de risco médio e invasivo.
 
Mas ele disse que para que tal modelo funcione, ele teria que ser muito diferente da burocracia típica do governo.
 
Se os fabricantes não cumprirem com as normas ou usarem as melhores práticas, então o fabricante deve pagar uma multa e multas cobradas também por violações devido à má segurança.
 
Apa e Cerruda notificaram os seis fornecedores de robôs pesquisados ​​no relatório e apenas quatro - SoftBank Robotics, UBTECH Robotics, Universal Robots e Rethink Robotics - responderam e receberam um relatório com os detalhes da pesquisa. 
 
Entretanto apenas um deles, a SoftBank Robotics, disse que iria corrigir os problemas, mas informou que "não há detalhes sobre quando e como a companhia vai fazer e quais os problemas iria corrigir", disse Apa.
 
"A Universal Robots disse que nossas descobertas eram interessantes e que devem fazer algo sobre elas, mas sem dar mais detalhes", acrescentou.
 
A reportagem tentou entrar em contato com os seis fornecedores e recebeu uma resposta apenas da Rethink Robotics - uma declaração que havia sido divulgada anteriormente a outros meios de comunicação. 
 
A companhia informou que dois dos artigos notáveis ​​eram características intencionais do projeto que se aplicariam somente à "versão da pesquisa e da instrução" de seus robôs. 
 
Os outros itens "já eram conhecidos e abordados no lançamento do software da Rethink em fevereiro", diz o comunicado, embora ofereça a declaração de que "nós também esperamos que o robô esteja conectado a uma rede corporativa segura".