O irresistível avanço das tecnologias digitais faz com que qualquer artefato minimamente complexo tenha hoje em seu interior um processador digital e seus respectivos complementos, entre os quais, invariavelmente, há formas de acesso remoto ao processador sendo a Internet a mais comum. A esta onipresença, tanto do processamento digital como da conectividade, é o que se chama Internet das Coisas, cuja clara importância estratégica é tema de ampla discussão. Há aí o receio de efeitos indesejados, além de eventuais riscos à privacidade que um monitoramento abusivo de dispositivos conectados pode trazer.
A digitalização dos equipamentos tende a buscar a solução mais prática: é sempre mais rápido e barato usar um processador de mercado dotando-o do software específico para exercer a função que se pretende. É muito provável que o mesmo “chip” usado num televisor, esteja também dentro de um refrigerador, do controle das luzes da casa, ou até do porteiro eletrônico. E há por projeto, além dos recursos necessários para o trabalho, o apoio à conectividade e mais outros eventualmente desnecessários para o fim específico. Exemplificando, se um cadeado metálico tradicional fosse utilizado para bloquear uma porta, a forma de violá-lo destruindo-o fisicamente, ou fraudando seu o segredo com uma chave falsa ou uma gazua. A versão digital da mesma porta pode ter outras fragilidades: se há acesso a ela via rede, o potencial invasor sequer precisa estar próximo para tentar acesso indevido ao programa que a controla. Se conhecer a arquitetura usada no controlador, pode valer-se de outras formas de acesso potenciais: certamente há nele recursos adicionais residentes para que possa ser usado numa grande variedade de funções, a depender da programação que recebe. Parte desses recursos, desnecessários para a função “cadeado eletrônico”, podem ser alvos frágeis. Finalmente, é possível que o atacante não vise a violar o acesso em si, mas apenas obter um “ponto de apoio” dentro do sistema da vítima, de onde possa, desapercebidmente, escolher outro objetivo a atacar. Há alguns anos foi bem conhecido o caso “Mirai”, em que o programa malicioso invadiu câmeras residenciaos para ter pontos de apoio a ataques de negação de serviço externos.Em texto recente, Bruce Schneier, especialista em segurança e criptografia trouxe ao debate o tema, a partir de uma palestra de Thomas Dullien, da Google Zero: a “complexidade barata” e seus riscos inerentes. “Hoje é mais fácil construir sistemas complexos que simples. Se há vinte anos se construia um refrigerador com hardware e software específicos, hoje basta pegar um microprocessador de mercado e escrever um programa para ele. E esse processador terá número IP, microfone incluido, porta de vídeo, Bluetooth e mais outras coisas. E, como elas estão lá, presentes, alguém tentará usá-las…”
Bruce Schneier
https://www.schneier.com/blog/archives/2022/08/security-and-cheap-complexity.html
http://rule11.tech/papers/2018-complexitysecuritysec-dullien.pdf
https://freedom-to-tinker.com/2022/08/03/the-anomaly-of-cheap-complexity/