Sim, suas câmeras de segurança doméstica podem ser hackeadas –
Mas existem maneiras de evitar que isso aconteça. Aqui está como.
Instalar uma câmera de segurança conectada à Internet em sua casa não trará necessariamente uma onda de hackers à sua rede Wi-Fi – mas também já aconteceu antes. Por exemplo, em 2020, um cliente de segurança doméstica da ADT notou um endereço de e-mail desconhecido conectado à sua conta de segurança doméstica, um sistema monitorado profissionalmente que incluía câmeras e outros dispositivos dentro de sua casa. Essa simples descoberta, e seu relato para a empresa, começou a derrubar uma longa fila de dominós que levava a um técnico que havia espionado, ao longo de quatro anos e meio, centenas de clientes – observando-os viver suas vidas privadas, despir-se e até fazer sexo.
A ADT diz que fechou as brechas que o técnico explorou, implementando “novas salvaguardas, treinamento e políticas para fortalecer … a segurança da conta e a privacidade do cliente”. Mas as invasões de privacidade não são exclusivas do ADT, e algumas vulnerabilidades são mais difíceis de proteger do que outras.
Esteja você usando sistemas de segurança monitorados profissionalmente, como ADT, Comcast Xfinity ou Vivint, ou apenas tenha algumas câmeras autônomas de empresas como Ring, Nest ou Arlo, aqui estão algumas práticas que podem ajudar proteja a segurança do seu dispositivo e a privacidade dos dados.
O meu sistema de segurança doméstico corre o risco de ser hackeado?
Antes de começar a resolver os problemas de insegurança do dispositivo, é útil entender o quão vulneráveis são seus dispositivos.
Os principais sistemas de segurança monitorados profissionalmente – e até mesmo câmeras vendidas individualmente de desenvolvedores respeitáveis como Google Nest e Wyze – incluem criptografia de ponta (que embaralha mensagens dentro de um sistema e concede acesso por meio de chaves) quase em todos os setores. Isso significa que, desde que você esteja atualizado com as atualizações de aplicativos e dispositivos, você deve ter pouco medo de ser hackeado por meio de vulnerabilidades de software ou firmware.
Da mesma forma, muitas empresas de segurança que usam instaladores e técnicos profissionais têm procedimentos rigorosos para evitar exatamente o que aconteceu na ADT. A Security Industry Association – um grupo terceirizado de especialistas em segurança – aconselha fabricantes como a ADT em questões relacionadas à privacidade e segurança.
“O setor de segurança tem prestado atenção [à questão da privacidade em casa] desde 2010”, disse Kathleen Carroll, presidente do Conselho Consultivo de Privacidade de Dados da SIA, “e continuamos trabalhando para ajudar nossas empresas associadas a proteger seus clientes. “
Alguns sistemas monitorados profissionalmente, como Comcast e agora ADT, resolvem o problema simplesmente limitando estritamente as ações que os técnicos podem tomar ao ajudar os clientes com suas contas – por exemplo, proibindo-os de adicionar endereços de e-mail às contas ou acessar quaisquer clipes gravados.
“Temos uma equipe na Comcast dedicada especificamente à segurança das câmeras”, disse um porta-voz da Comcast. “Nossos técnicos e instaladores não têm acesso aos feeds de vídeo de nossos clientes ou vídeos gravados, que só podem ser acessados por um pequeno grupo de engenheiros, sob condições monitoradas, para questões como solução de problemas técnicos”.
“Somente os clientes podem decidir quem tem permissão para acessar seu sistema Vivint, incluindo seus feeds de vídeo”, disse um porta-voz da empresa de segurança doméstica Vivint. “Como usuários administradores, eles podem adicionar, remover ou editar configurações de usuário. E… realizamos regularmente uma variedade de auditorias automatizadas e manuais de nossos sistemas.”
Com os sistemas DIY, os clientes configuram seus próprios dispositivos, tornando o acesso do técnico um ponto discutível. Mas se os clientes optarem pelo monitoramento adicional, que geralmente é oferecido junto com produtos individuais, isso pode complicar o problema.
Uma dessas empresas, a Frontpoint, disse em um e-mail que restringe fortemente o acesso do pessoal às informações do cliente, proibindo, por exemplo, que os agentes assistam às imagens das câmeras do cliente – exceto em casos particulares em que as permissões são obtidas do cliente, por exemplo, a finalidade de solução de problemas ou outros tipos de assistência.
Um representante da SimpliSafe, outro desenvolvedor que está na linha entre DIY e segurança doméstica instalada profissionalmente, respondeu de forma mais ampla às perguntas sobre seus procedimentos: “Muito do nosso trabalho diário está focado na manutenção de nossos sistemas para que as vulnerabilidades sejam imediatamente identificadas e Este foco implacável inclui protocolos de segurança internos e externos.”
Em suma, as empresas de segurança parecem estar usando conscientemente vários níveis de segurança para proteger os clientes de possíveis abusos por instaladores e técnicos – mesmo que os processos pelos quais eles fazem isso não sejam totalmente transparentes. Mas mesmo que sejam eficazes, isso não significa que suas câmeras inteligentes sejam totalmente seguras.
Como os hackers podem acessar minhas câmeras de segurança doméstica?
O caso ADT tecnicamente não exigiu nenhum hacking por parte do técnico, mas e se o hacking estiver envolvido? Afinal, existem muitos casos de hacks remotos. E mesmo dispositivos de qualidade com altos níveis de criptografia não estão necessariamente protegidos contra hackers, dadas as circunstâncias certas.
Existem duas maneiras principais de um hacker obter o controle de um feed de vídeo, disse o especialista em segurança Aamir Lakhani, do FortiGuard, à CNET: local e remotamente.
Para acessar uma câmera localmente, um hacker precisa estar no alcance da rede sem fio à qual a câmera está conectada. Lá, eles precisariam obter acesso à rede sem fio usando vários métodos, como adivinhar a senha de segurança com força bruta ou falsificar a rede sem fio e bloquear a real.
Dentro de uma rede local, algumas câmeras de segurança mais antigas não são criptografadas ou protegidas por senha, já que a própria segurança da rede sem fio costuma ser considerada um impedimento suficiente para manter os ataques maliciosos afastados. Então, uma vez na rede, um hacker teria que fazer pouco mais para controlar as câmeras e potencialmente outros dispositivos IoT em sua casa.
No entanto, os hacks locais provavelmente não afetarão você, pois exigem uma intenção focada no alvo. Os hacks remotos são o cenário muito mais provável, e os exemplos surgem com bastante frequência no ciclo de notícias. Algo tão comum como uma violação de dados – como os da Equifax ou Delta – pode colocar suas credenciais de login em mãos erradas e, além de alterar sua senha com frequência, não há muito o que fazer para evitar que isso aconteça.
Mesmo que a empresa de segurança que você usa – monitorada profissionalmente ou não – tenha segurança forte e criptografia de ponta a ponta, se você usar as mesmas senhas para suas contas como em qualquer outro lugar na Internet e essas credenciais forem comprometidas, sua privacidade está em risco. (Se você ainda não o faz, definitivamente deve começar a usar um gerenciador de senhas para acompanhar todas as suas senhas fortes e exclusivas.)
E se os dispositivos que você usa estiverem desatualizados, executando softwares desatualizados ou simplesmente produtos de fabricantes que não priorizam a segurança, as chances de sua privacidade ser comprometida aumentam significativamente.
Para hackers com pouco conhecimento, encontrar o próximo alvo com um feed de vídeo não seguro está a apenas uma pesquisa do Google. Um número surpreendente de pessoas e empresas configuram sistemas de câmeras de segurança e nunca alteram o nome de usuário e a senha padrão. Certos sites, como o Shodan.io, exibem o quão fácil é acessar feeds de vídeo não seguros, como esses, agregando e exibindo-os para todos verem.
Como saber se suas câmeras foram hackeadas
Seria quase impossível saber se sua câmera de segurança – ou talvez mais irritante, a babá eletrônica – foi hackeada. Os ataques podem passar completamente despercebidos a um olho destreinado e a maioria das pessoas não saberia por onde começar a procurar para verificar.
Uma bandeira vermelha para alguma atividade maliciosa em uma câmera de segurança é lenta ou pior do que o desempenho normal. “Muitas câmeras têm memória limitada e, quando os invasores aproveitam as câmeras, os ciclos da CPU precisam trabalhar muito, tornando as operações regulares das câmeras quase ou totalmente inutilizáveis às vezes”, disse Lakhani.
Por outro lado, o desempenho ruim não é apenas indicativo de um ataque malicioso – pode ter uma explicação perfeitamente normal, como uma conexão de Internet ruim ou sinal sem fio.
Como proteger sua privacidade em casa
Embora nenhum sistema seja imune a um ataque, algumas precauções podem diminuir ainda mais suas chances de ser hackeado e proteger sua privacidade no caso de um hack.
Outro passo importante é simplesmente evitar as condições para uma invasão de privacidade. Os hacks são improváveis e podem ser amplamente evitados, mas manter as câmeras fora de salas privadas e apontadas para as entradas da casa é uma boa maneira de evitar os piores resultados potenciais de um hack.
Lakhani também sugeriu colocar câmeras de segurança independentes em uma rede própria. Embora isso, sem dúvida, frustre seus planos para a casa inteligente perfeita, ajudaria a evitar “aterrissar e expandir”, um processo pelo qual um invasor obtém acesso a um dispositivo e o usa para controlar outros dispositivos conectados na mesma rede.
Dando um passo adiante, você pode usar uma rede privada virtual, ou VPN, para restringir ainda mais quais dispositivos podem acessar a rede em que as câmeras de segurança estão. Você também pode registrar todas as atividades na rede e ter certeza de que não há nada incomum acontecendo lá.
Novamente, as chances de ser vítima de um ataque como esse são bem pequenas, especialmente se você seguir as precauções de segurança mais básicas. O uso das etapas acima fornecerá várias camadas de segurança, tornando cada vez mais difícil para um invasor assumir o controle.
Correção, 11 de fevereiro de 2021: Uma versão anterior deste artigo apresentou erros quando a ADT procurou aconselhamento da SIA. O trabalho da ADT com a SIA antecede a descoberta do abuso do técnico em 2020.
