A história dos filmes íntimos do maestro Stefano de Martino e seu parceiro, extraído do sistema de vigilância de vídeo caseiro e se espalhe on -line, traga de volta ao centro o tema da violação da privacidade
A história dos filmes íntimos do condutor de televisão Stefano de Martino E de seu parceiro, extraído ilegalmente do sistema de vigilância por vídeo on -line doméstico e generalizado, relata um tema já relatado pela Agência Nacional de Cibersicacia (ACN) ao centro das atenções: a vulnerabilidade dos dispositivos conectados à Internet, em particular câmeras IP e sistemas IoT (Internet das Coisas). Já em junho passado, a ACN, através da CSIRT Italia – o monitoramento técnico e a resposta a acidentes – divulgou um boletim sobre os riscos relacionados ao uso de câmeras, roteadores, controladores e outros dispositivos de rede. Com muita frequência, explicam os especialistas, esses dispositivos são deixados acessíveis diretamente pela rede pública sem medidas de proteção adequadas. Nessas condições, eles podem ser comprometidos com relativa facilidade, expondo os usuários a dois perigos principais: a violação da privacidade, como no caso em questão e o uso dos próprios dispositivos como plataformas para mais ataques. Nesse sentido, a agência recomenda 12 boas práticas aplicáveis em ambientes domésticos e 20 para organizações estruturadas, nas quais a exposição de serviços remotos é um risco crítico.
O risco geralmente surge de configurações incorretas ou de um gerenciamento superficial dos sistemas. Muitos usuários não alteram as credenciais padrão fornecidas pelo fabricante, deixando senhas inalteradas facilmente identificáveis. Em outros casos, as câmeras e os dispositivos IoT são instalados com configurações de fábrica, sem ferramentas de segurança como autenticação a vários fatores ou na filtragem de conexões. Outro ponto crítico é a atualização do software: notas abertas de firmware obsoletas ou atualizadas das quais os criminosos de TI podem aproveitar. O Boletim da ACN também enfatiza o perigo de acesso remoto desprotegido. Muitos usuários, por conveniência, permitem o controle de câmeras de smartphones ou PCs fora da rede doméstica, mas o fazem sem adotar sistemas seguros, como a VPN. Isso significa que as câmeras estão expostas na Internet através dos portões do roteador, ficando visíveis e atacados. Em outros casos, a função UPNP (Universal Plug and Play) fica ativa, que pode abrir automaticamente portões de comunicação, facilitando a entrada não autorizada.
Outro elemento crítico diz respeito à gestão da rede interna. Em residências, os dispositivos IoT – câmeras, assistentes vocais, termostatos inteligentes – geralmente são conectados à mesma rede usada para computadores e smartphones pessoais. Em caso de compromisso, o invasor pode se mover lateralmente dentro da rede, interceptando o tráfego e dados sensíveis. Para reduzir esse risco, a ACN recomenda isolar dispositivos de IoT em redes dedicadas, por exemplo, através da função “convidado” do roteador. O problema, de acordo com a ACN, não apenas diz respeito aos usuários domésticos. Mesmo em organizações públicas e privadas, a exibição de serviços e dispositivos conectados à Internet é um fator de risco crítico. Para isso, a CSIRT Italia elaborou diretrizes específicas para entidades, desde a segmentação das redes até o uso obrigatório da VPN da empresa, até a preparação de planos de resposta a acidentes. A agência destaca como os casos de acesso abusivo para câmeras particulares são apenas a parte mais visível de um fenômeno muito mais amplo. De fato, os dispositivos comprometidos podem ser matriculados em redes criminosas (BOTNET) usadas para lançar ataques de grande escala contra infraestruturas públicas e privadas. Nesse sentido, a proteção da privacidade individual e da segurança nacional acaba entrelaçando.
