O número de drones registrados no Brasil aumentou 51% de 2018 para 2019, saltando de 18.389 para 27.665 nesse período. Os dados são da Agência Nacional de Aviação Civil (Anac). O mercado brasileiro de veículos aéreos não tripulados tem crescido, em média, 30% por ano. São mais de 720 empresas envolvidas na cadeia produtiva desse mercado, de acordo com levantamento da Droneshow, feira brasileira de referência do setor.
No mundo, o crescimento também é exponencial. Analistas do Gartner previram que os ganhos de produtividade que os drones trazem impulsionarão a demanda corporativa por essa tecnologia. Com isso, a base de 324 mil dispositivos registrados em 2019 irá para mais de nove milhões em todo o mundo até 2028.
Mas será que drones são uma ameaça à segurança cibernética?
As empresas adotam esses dispositivos para auxiliar na agricultura, no transporte de bolsas de sangue para salvar vidas, combate a incêndios, e até para entregar pizza. Mas há um alerta que não pode ser ignorado. Os drones podem espionar redes, capturar dados e bloquear comunicações. E as organizações devem ter um plano para gerenciar esses e outros riscos.
Talvez pareça improvável que esses pequenos veículos aéreos sejam um risco tão grande assim. Mas o fato é que um drone pode ser usado em quase qualquer situação. Se alguém quiser tirar uma foto, basta instalar uma câmera no drone. Se quiser ouvir a conversa de alguém, é só colocar um dispositivo de escuta. Falsificar uma rede WiFi? Também é possível. Porque quase qualquer tipo de tecnologia pode ser ajustada em um drone.
Além disso, sua capacidade de penetrar nas defesas terrestres tradicionais e manter o operador afastado do local de ataque o transforma em uma arma nas mãos de um agente malicioso. Cercas de arame farpado e sistemas de detecção de invasões de perímetro, como sensores de infravermelho, ou mesmo análises de vídeo CCTV, têm uma probabilidade quase zero de detectar um pequeno drone.
As medidas tradicionais de segurança protegem contra invasores que vêm pela água, pela terra, mas há pouca segurança na maioria dos ambientes comerciais contra ameaças aéreas.
Muitos modelos são quase invisíveis a apenas algumas centenas de metros de distância no céu, e não podem ser ouvidos. Por causa disso, os drones são capazes de fazer uma vigilância muito próxima mantendo-se totalmente indetectáveis. E combinando um hardware simples a um software de teste de penetração, um drone consegue obter acesso a dispositivos sem fio desprotegidos dentro dos limites de uma instalação física segura. Um único ponto vulnerável, como um WAP com firmware desatualizado, ou uma impressora com Wi-Fi em que os recursos foram deixados em padrões de fábrica, já são suficientes para fornecer o ponto de partida para um ataque maior.
Drones, hackers e espionagem
Uma análise de segurança de drones publicada neste ano identificou múltiplas ameaças e vulnerabilidades em drones. Entre elas, falsificação de GPS, infecção por malware, interferência de dados, interceptação e manipulação maliciosa. Por exemplo, os links que transmitem vídeo e outros dados de e para certos tipos de drones não são criptografados, tornando as informações vulneráveis à captura, modificação e injeção de código malicioso. Muitos drones têm sérias falhas de design, e a maioria deles é projetada sem proteção de segurança sem fio.
Em um incidente em dezembro de 2011, o governo do Irã alegou que havia bloqueado com sucesso as ligações de comunicação de um drone espião dos EUA e reconfigurado as coordenadas GPS para forçar o drone a pousar no Irã. Alguns anos antes, engenheiros do país afirmaram ter sido capazes de interceptar e baixar transmissões de vídeo ao vivo de drones norte-americanos.
Embora alguns tenham contestado a validade das alegações, o alerta se mantém. Um pesquisador de segurança, já em 2013, demonstrou como um adversário poderia configurar um drone para encontrar outros no ar dentro da distância do Wi-Fi, invadir a rede sem fio, desconectar o proprietário original e assumir o controle do dispositivo.
No Brasil, foram inúmeros incidentes, como assaltos a bancos, em que o drone mapeou para a rota utilizada pelos policiais, e casos em que, antes de um assalto a uma residência ou um sequestro, os criminosos usaram drones para estudar a rotina de segurança da casa.
As organizações precisam se proteger
No geral, drones são construídos sem o conceito de segurança. Paralelo a isso, faltam leis e fiscalização. Sendo assim, no mapeamento de risco cibernético, empresas não podem desconsiderar essas ameaças. Se adotarem o uso direto de drone em algum processo, é imprescindível levantar a probabilidade de ataques, fazer uma análise criteriosa dos dados armazenados pelo dispositivo e elaborar um plano de resposta a incidentes para minimizar os possíveis impactos caso haja o vazamento de determinadas informações.
Uma maneira de minimizar o risco de roubo de dados é garantir que o drone utilizado pela empresa nunca se conecte a um Wi-Fi ou outra rede enquanto estiver operacional. Uma vez no chão, aplicar diretrizes específicas para extrair as informações, de preferência, sem conectar o drone a qualquer rede, mas, sim, de uma conexão direta da própria unidade. Importante também não esquecer de esvaziá-la antes que se reconecte a uma rede.
Em resumo, dados em um drone são como dados em qualquer sistema de computação. E da mesma forma, precisam ser protegidos.
Por Thiago Gonçalves