Hacking de webcam: a fragilidade oculta do nosso mundo conectado

Numa réplica em larga escala do caso Stefano De Martino , a disponibilidade online de vídeos exfiltrados de vários tipos de câmeras instaladas em residências, estúdios profissionais e lojas levanta não tanto a questão da necessidade de uma "cultura de segurança" entre os usuários, mas sim a da fragilidade dos pés de barro do Colosso tecnológico de Rodes que construímos.

Não são necessárias novas leis…

Vamos primeiro esclarecer as questões estritamente legais. Tais atos — se cometidos em webcams instaladas na Itália — são puníveis sem a necessidade de novas leis, de acordo com as disposições sobre acesso não autorizado a um sistema de computador, interferência ilegal na vida privada (para vídeos gravados em residências particulares), violação da dignidade pessoal, e assim por diante.

…mas mais investigações (se alguma vez forem concluídas)

No entanto, não há garantia de que tudo isso resulte em processos criminais. As vítimas italianas (presumindo que existam) podem decidir não apresentar queixa, mesmo que o tenham feito. Os promotores e a polícia postal podem estar ocupados demais investigando outros crimes para lidar com as milhares de pessoas cuja privacidade foi violada. E, se decidirem prosseguir, ficarão atolados nos complicados procedimentos dos MLATs (acordos multilaterais de cooperação judiciária). Por fim, também pode acontecer que os países envolvidos não tenham assinado esses MLATs e, portanto, a investigação pare na fronteira nacional.

Veremos, então, se, extintos os fogos de palha provocados pelas faíscas jornalísticas, as investigações ficarão apenas em cinzas ou em outra coisa.

Nada de novo sob o sol

Vamos esclarecer uma segunda questão: o caso relatado pela imprensa não é novidade. Basta acessar um mecanismo de busca de segurança popular e digitar uma consulta simples como "câmera IP" para obter uma lista de 2.867.730 dispositivos expostos na rede. Talvez nem todos os dispositivos sejam webcams inadvertidamente acessíveis de fora da rede doméstica, e nem todos tenham senhas, senhas fracas ou mesmo firmware vulnerável.

O fato, no entanto, permanece: o mito da tecnologia de um clique, de “tudo simples”, ainda é — precisamente — um mito que causa muitos problemas.

O mito de “tudo fácil”

A realidade, porém, é que mesmo uma webcam IP "básica" exige habilidades que hoje são comuns entre profissionais, mas estão além do alcance do usuário médio ou de um especialista em tutoriais. Isso não ocorre apenas porque uma rede, por menor que seja, precisa ser sempre cuidadosamente projetada e gerenciada, mas também porque dispositivos IoT de baixo custo não dão muita importância à segurança do software que os executa. Por outro lado, é de se perguntar por que deveriam fazer isso, já que, mesmo hoje em dia, um conhecido fabricante de switches (dispositivos de rede que gerenciam o tráfego de rede) usa o infame "1234" como senha padrão, sem exigir alteração na primeira conexão. Some-se a isso o onipresente requisito de "criação de conta", imposto até mesmo para operar um simples aspirador de pó robô, mas que na realidade serve para monitorar o produto e seus usuários.

Precisamos mesmo viver conectados para sempre?

Casos como o das webcams hackeadas são uma clara indicação de como gradualmente aceitamos estratégias de marketing que transformam qualquer produto de um elemento passivo que deve funcionar quando e como queremos, em objetos que não entendemos, que nos iludimos em controlar, mas que condicionam ativamente nossa existência diária sem nenhuma oposição real.

Em outras palavras: precisamos mesmo deixar todos os nossos dispositivos ligados e acessíveis o tempo todo? E por que deveríamos permitir que alguém, mesmo com as melhores intenções, se instale permanentemente em nossas casas, entrando e saindo quando bem entendesse?

Independentemente do desejo generalizado de viver em um filme de ficção científica, deveríamos nos perguntar se realmente precisamos da IoT e por que não estamos dispostos a exigir que aqueles que veem esses gadgets os construam, deixando para aqueles que os compram a decisão de quando e como eles funcionam.

Por outro lado, também devemos entender que gerenciar um computador ou um dispositivo de rede não se aprende em histórias em quadrinhos e que, se decidirmos instalar um dispositivo que apresente mais de um problema de usabilidade, devemos contar com alguém que tenha feito algum trabalho em TI.

A fragilidade do usuário soberano

Não se trata, como costuma fazer o marketing de alta tecnologia, de culpar por mais um problema um usuário desavisado ou que não possui uma "cultura de segurança". Devemos, no entanto, compreender que nossa relação com a tecnologia é manchada pela arrogância individual com a qual frequentemente acreditamos que "sabemos o suficiente" ou, inversamente, pela crença de que o perigo sempre preocupa os outros, ou que um programa antivírus ou uma senha alterada bastam para estar seguro. Esta é, talvez, a fraqueza mais profunda: a crença na invulnerabilidade pessoal apoiada por uma competência aparente.

O marketing de alta tecnologia nos convence de que estamos "no controle", de que possuímos superpoderes e podemos exercê-los em um mundo adaptado às nossas necessidades. Mas esse mundo, na realidade, não é governado por nós e, muitas vezes, é projetado para servir aos interesses dos outros antes dos nossos.

Se realmente entendêssemos isso, muitos problemas desapareceriam por si só, muitos outros nem sequer surgiriam, e talvez pudéssemos nos concentrar em resolver os realmente importantes.