Hackers héteros usam aquário para invadir cassino

7158265_f1024

Nos primórdios da informática doméstica segurança basicamente não existia. Computadores eram equipamentos pessoais, sem conexão com qualquer rede, sequer guardavam dados de forma permanente, não fazia sentido bloquear um computador com uma senha se os dados que importavam estavam em um disquete. 

Mesmo bem depois a segurança individual ainda não era levada a sério. Todo mundo lembra do Windows, que pedia senha pra rede mas se você desse ESC caía no desktop e acessava os arquivos locais.

Quando a internet começou a ficar séria, percebeu-se que havia um problema sério. Portas abertas permitiam acesso de todo tipo, havia do Ping da Morte, onde você derrubava remotamente qualquer PC com um único comando, até o famoso Back Orifice, que permitia até abrir e fechar a porta do CD do micro invadido.

Pensou-se que esse tempo terrível havia passado, hoje não tem mais bobo (exceto os usuários) no jogo, mas eis que a indústria cria outra oportunidade de ouro para hackers: a chamada Internet das Coisas.

Hoje a moda é tudo conectado, até escovas de dente estão na internet. É muito simples. Quer criar um projeto de Internet das Coisas? O Cérebro custa R$ 10,00. Pode ser feito com isto aqui:

espdomal

É um módulo ESP8266, pode ser usado isoladamente ou em conjunto com uma placa Arduíno. Ele conecta com redes Wi-Fi e permite que seu hardware fale com o mundo. É excelente em termos de custo/benefício, mas sejamos sinceros: você acha mesmo que esse bichinho tem protocolos de segurança robustos o bastante para resistir ao…

hacckerman

Todas essas coisas da internet das coisas recebem e transmitem informações o tempo todo, e os desenvolvedores descoladões nunca tem tempo pra essas bobagens corporativas chatas de análise de segurança, criptografia forte, crítica de dados…

Desocupados fazem engenharia reversa para entender os protocolos e encontrar falhas, em seguida com uma simples busca no Google acham onde esses equipamentos estão instalados. E sim, isso não é de hoje. Conheci uma empresa onde para “facilitar a vida dos clientes”, o servidor de FTP não tinha senha. A justificativa era que “ninguém ia saber”. Em menos de um dia o servidor lotou, e como pagavam por tráfego em um link de 64 kB, a conta chegou a R$ 10 mil.

Agora em vez de um parque unificado de máquinas a TI tem que se preocupar com a segurança até de vibradores-câmera conectados. O resultado? Segundo a CNN uma empresa de segurança conseguiu identificar uma invasão cuja porta de entrada foi… um aquário.

Era um aquário em um cassino, provavelmente daqueles chiques, e a empresa deveria vender como bônus monitoramento 24/7. O equipamento também cuidava da alimentação automática dos peixes.

Ok, beleza, é legal, mas precisa MESMO? Um aquário é um sistema fechado, você usa um termostato para controlar um aquecedor ou um resfriador, e manter a temperatura constante, the end, tudo mais é frescura. Ninguém precisa de um log das condições do aquário a cada minuto nas últimas 18 semanas, e se for preciso mesmo, grave localmente. Pra que criar um ponto de vulnerabilidade e complicar assim o produto?

A culpa infelizmente é dos próprios clientes, que se lerem as palavras-chave IOT ou NUVEM, ficam sexualmente excitados e correm para atirar seu dinheiro nos desenvolvedores.

Não há notícias do quanto de dano os hackers piscosos causaram, e nunca saberemos: cassinos são bem boca-fechada nesses assuntos, mas foi dito que eles conseguiram acesso a outras partes da rede, e não é difícil imaginar um chefe que não goste de guardar senhas e exija que as planilhas da contabilidade estejam em uma pasta com user/senha guest/guest. DISCLAIMER LEGAL: o cenário é hipotético. Juro.

Relacionados: , , ,

Autor: Carlos Cardoso

Entusiasta de tecnologia, tiete de Sagan e Clarke, micreiro, hobbysta de eletrônica pré-pic, analista de sistemas e contínuo high-tech. Cardoso escreve sobre informática desde antes da Internet, tendo publicado mais de 10 livros cobrindo de PDAs e Flash até Linux. Divide seu tempo entre escrever para o MeioBIt e promover seus últimos best-sellers O Buraco da Beatriz, Calcinhas no Espaço e Do Tempo Em Que A Pipa do Vovô Subia.

Compartilhar
  • Luiz Claudio Eudes Corrêa

    Tá explicado como financiaram o filme do aquaman após aquele fiasco do filme do Batman vs Superman.

    • Rodolfo Oliveira

      Eu não sei de onde tiraram que o filme foi fiasco, arrecadou mais de 800kk. O problema de que a Warner considera qualquer coisa relacionada a super heróis como tendo obrigação de passar de um bilhão.

  • Rudney Marengo

    Hétero não é o hacker, e sim o cassino, que possui o aquário.

    • Michael F. Assis

      Não entendi o hetero no titulo da matéria?

      • Reinaldo Matos

        Acho que você não tem aquário em casa… ( ͡° ͜ʖ ͡°)

        • Michael F. Assis

          Não mesmo.

          • Tá explicado.

          • Reinaldo Matos

            Tá legal… Vou te ajudar dessa vez…

            É por causa dessa piada…

            http://www.humorbabaca.com/piadas/portugues/questao-de-logica

          • Michael F. Assis

            Rapaz não é que funciona mesmo, eu não tenho aquário em casa kkkkkkkkkkk

          • Reinaldo Matos
          • Gesonel o Mestre dos Disfarces

            Eu não conhecia essa, rs!

          • Reinaldo Matos

            Piada clássica do pessoal da computação…

          • Gesonel o Mestre dos Disfarces

            Ah, entendo! Achei uma ótima didática pra aprender lógica, hahaha!

          • ochateador

            Mais um que não conhecia a piada e agora conhece…

          • Então tenho uma notícia pra te dar…

      • Aroldo Paniago Junior

        Voce tem aquario em casa?

        • Michael F. Assis

          Não, muito menos teria um conectado, explica ai vai.

          • Wagner Felix

            Então, pela lógica, você é viado…
            /piada de portugues antiga

    • Juliotenorio

      Verdade, mas ultilizou o aquário. Agora fiquei na dúvida.

  • Ed. Blake

    Um maravilhoso novo mundo esse da IOT, onde as pessoas comuns sequer ouviram falar de firewall e acreditam estar seguras atrás do PIN da tela de bloqueio do celular.

  • Dreadful

    Dependendo da complexidade do bioma no aquário o custo relativo a danos pode escalar exponencialmente em casos de falha.
    Aquários marinhos que contam com corais possuem frescuras infinitas como emulação de nuvem e fases da lua. Se algo der errado tudo vai pro espaço.
    É um hobby maluco que obsessividade se compara a de audiófilos, enófilos e outro tipos de loucos que simplesmente não se discute com…

    • Thiago Cururu

      Ia comentar isso. Sem falar no preço de alguns peixes e corais.

    • Nem sabia que existiam aquários assim fora de centros de pesquisa marinha… cada dia aprendo coisa nova!

      Nesse caso, não tem jeito, é um BOM sistema de automação.

      • ochateador

        De preferência desconectado de qualquer tipo de rede.

    • Carlos Ferreira

      Por mais complexo que seja é caro em termos de automação. Continua não necessitando ser conectado a rede.

      • Renato Biancalana da Silva

        Dependendo do quão pesado é o processamento (e o amigo aí disse que tem até emulação de nuvem e fases da lua, então deve ser bem pesado), talvez um computador simples no aquário não seja suficiente.

        E aí talvez saia mais barato contratar um servidor em nuvem para delegar esse processamento do que manter um lá dentro.

  • “você acha mesmo que esse bichinho tem protocolos de segurança robustos o bastante para resistir ao…”
    Eu nem sequer cogitava que ele tivesse algum protocolo de segurança, quiçá robustos…

    • Wagner Felix

      Pensei o mesmo. Quem tem tempo pra isso? 😆

  • Cocainum

    Ok, beleza, é legal, mas precisa MESMO? Um aquário é um sistema fechado, você usa um termostato para controlar um aquecedor ou um resfriador, e manter a temperatura constante, the end

    Mas sem internet, como o Nemo iria acessar Pr0n?

  • Atrollando Natuacara

    “Hackers héteros usam aquário para invadir cassino”

    Cassino meia boca não ter dado com conexão à Internet das coisas… Se tivesse, os hackers podiam treinar com dado em casa e… Não pera, aí os hackers não seriam heterossexuais…

    https://uploads.disquscdn.com/images/b410199adb455ef5c4231f2e4703502edf56e2a1dccb64e6c3736655a76ca622.jpg

  • 640k is enough

    Aquela velha história: Precisa disso tudo mesmo???

    Em tempo, comprei hoje (por coincidência) o ESP8266, não sabia que pode ser autônomo, o comprei apenas para colocar no meu Mega…

    Resta descobrir o que ele pode oferecer, pelo preço, pode ser ótimo para comprar mais.

    Edit: CARACA! Tudo isso nessa merreca????

    ESP-01 wireframe:
    *32-bit RISC CPU: Tensilica Xtensa L106 running at 80 MHz*
    *64 KiB of instruction RAM, 96 KiB of data RAM
    *External QSPI flash: 512 KiB to 4 MiB* (up to 16 MiB is supported)
    *IEEE 802.11 b/g/n Wi-Fi
    *Integrated TR switch, balun, LNA, power amplifier and matching network WEP or WPA/WPA2 authentication, or open networks
    *16 GPIO pins

    • marcus silva

      Eles são muito bons, pena que os tuto na net não ajudam. Se não der pra dar upload no ide do arduino tem que atualizar o firmware. Se for o esp 1 e se quiser aumentar o número de portas (só vem com duas livres) da pra usar uns flip flop da vida.

      • Eu tive uma dificuldade imensa pra colocar esse bicho pra funcionar. Não tem documentação decente nem das fabricantes.

      • 640k is enough

        No meu caso, posso trabalhar com limitação de processamento, mas não de IO, mas valeu pela dica, vou pesquisar!

    • tiago

      Procura por wemos d1 mini, para quem gosta de arduino é praticamente a expansão do universo rsrsrs
      é uma plaquinha Es8266 com um usb para programar e os pinos disponiveis por 12 reais você consegue um da china com frete gratis (não sei como os chineses conseguem, não mando nem um frete na minha cidade por menos de 30 reais).

      • Muito bom! Não conhecia! Valeu!

      • 640k is enough

        Me indicaram também um NodeMCU, a pronta entrega na minha cidade está a R$28.

    • RSPeres

      Cara vc consegue até dispensar o seu Mega se não for precisar de muitas portas. O clock do ESP8266 é maior do que o do Arduino.

      • 640k is enough

        Pois então… O Mega eu utilizo para conseguir trabalhar com limitação de recursos de memória e processamento (Exceto as portas, claro).

  • Tampa de Caneta

    Está ai um tema para um filme estilo Ocean’s Eleven.

    • caio.

      Taí uma coisa que, caso fosse usada em um filme, seria considerada viagem dos roteiristas…

    • DumbSloth87

      Aquarium’s Eleven?

  • marcus silva

    Fortalnet tinha ftp aberto a quem quiser olhar. Até a Diebold deixava tudo em seu ftp, manuais e programas da eleição norte americana. Mas os esp8266, atualmente, estão bem mais seguros pois já adotam o wap2 (antigamente só eram suportados wep que é mais fraco que caudo de bila, são tão fracos quanto os bluetooth). As ondas de invasão vão ser registradas nos mqtt que se espalham na net. Segundo uma pesquisa de um colega, mais de 10mil servidores estão abertos para o mundo e seu Raimundo hackearem.

  • Glauber Santos

    Cardoso normalmente concordo contigo, mas dessa vê serei obrigado a discordar.

    Dependendo do tamanho, complexidade e custos do aquário faz todo sentido monitorar remotamente.

    O erro dos kras não foi querer monitorar o aquário, mas sim usar a rede de internet do próprio local.

    O correto ai seria criar uma rede fechada entre server e aquário, usando um modem gsm e conexão via socket tcp direto.

    A iniciativa dos kras era boa, a execução que foi horrível.

    • marcus silva

      Se a bomba pifar e o oxigênio cair para níveis muito baixos da pra setar um alarme antes que milhares de camarões ou peixes morram. Bota um esp nele que vale a pena.

    • Esse tipo de coisa não precisa dessa complexidade. o aquário é um ambiente fechado, vc controla bem com um termostato, e equipamentos simples não travam ou são invadidos.

      • Marcelo Zibell

        Em Palmas precisa de um pra monitorar a evaporação de água. Manda abraço pra Thais.

        • Palmas tem um clima hostil sim, mas dá pra repor a água quando for feita a limpeza.

          Ela também manda um abraço 😊

      • Glauber Santos

        Kra a empresa que trabalho monitora remotamente até abertura de porta de painel elétrico.

        Roubo ou vandalismo? Que nada! O objetivo é ver se o técnico esqueceu aberta a porta durante a manutenção.

        Uma gota de agua em um painel desses são alguns milhares de reais jogados fora sem contar o trabalho para arrumar.

        Tudo que tem muita grana e complexidade pra arrumar vale a pena fazer monitoramento remoto.

        O ponto é saber fazer bem feito.

        • Aí entramos em acordo Glauber, a questão é fazer bem feito. Mas você falou em muito dinheiro e muita complexidade envolvida. pelo que já vi, nesses cenários as empresas investem e usam coisa bem feita.

          Se fizer bem feito fica lindo!

      • Tem determinados peixes que precisam de iluminação controlada. Tenho um amigo que é aficionado por peixes e o aquário dele simula nascer do sol (com uma luz específica) e o crepúsculo. Parece frescura, mas tem peixe que se não tiver essas coisas pode até morrer (depressão? 😂).

    • gbitte

      Concordo, tá gastando os olhos da cara em peixe se precisar de alguma telemetria ou ficar de olho na galera da manutenção faz em rede separada. Mas fácil que capar a funcionalidade do sistema.

    • eu realmente preciso voltar a estudar

  • tiago

    Poh eu tenho uma criaturinha dessa ai responsavel pelo arraçoamento do meu aquário, tentei colocar local, minha meta é que ela seja off-line 100%, é muito util, mas reconheço que no quesito segurança para o usuário final é praticamente zero. O segredo basicamente é não disponibiliza-la na rede.

    em geral esses chips são apenas para prototipagem, mas é tentador não deixar de usar a facilidade e o custo são muito relevantes.

  • Cleverson Biora

    “…não é difícil imaginar um chefe que não goste de guardar senhas e exija que as planilhas da contabilidade estejam em uma pasta com user/senha guest/guest.”
    Você trabalhou na mesma concessionária que eu? hahaha
    O server da empresa era todo organizado com pastas por setor com senha,a não ser por um detalhe um excel com a lista das senhas na pasta root que não tinha senha.

  • Mais alguém que demorou a perceber que a moeda usada para comparação na primeira foto não era uma libra esterlina, mas sim uma moeda de 1 real brasileira? Difícil ver algo assim…

    • Gaius Baltar

      Não.

    • Alexandre Machado

      E porque seria uma libra? Como assim difícil de ver algo assim? Não captei o cerne da questão.

      • Sempre que eu vejo essas comparações de hardware com o tamanho de uma moeda é sempre alguma moeda estrangeira, muitas vezes com a cara da Rainha estampada nelas.
        E dessa vez era uma moeda de Real, o que significa que o autor produziu a foto ao invés de pegar uma imagem qualquer no Google. Por isso me espantei. Foi a primeira vez que uma vi comparação de hardware com uma moeda de Real, mesmo que isso seja uma comparação comum.

    • E. Bicalho

      Como você chegou em Libra Esterlina!? Tem escrito “REAL” na moeda… Haha. 😛

      • Sempre que eu vejo essas comparações de hardware com o tamanho de uma moeda é sempre alguma moeda estrangeira, muitas vezes com a cara da Rainha estampada nelas.
        E dessa vez era uma moeda de Real, o que significa que o autor produziu a foto ao invés de pegar uma imagem qualquer no Google. Por isso me espantei.

    • Gaius Baltar
  • Carlos Magno GA

    “…não é difícil imaginar um chefe que não goste de guardar senhas e exija que as planilhas da contabilidade estejam em uma pasta com user/senha guest/guest.”

    Pessoas que serão demitidas no dia 25.xlsx
    Folha de Pagamento.xls

  • A culpa infelizmente é dos próprios clientes, que se lerem as palavras-chave IOT ou NUVEM, ficam sexualmente excitados e correm para atirar seu dinheiro nos desenvolvedores.

    Ah se isso fosse realidade!
    Em todas as empresas em que eu ofereci automação usando IoT com ou sem núvem, 99,99% me responderam: “Pra que eu vou querer essa merda?! Pra ter que te pagar pra consertar depois?”

    Ou então argumentam que mesmo pagando um funcionário, sai mais barato (sim, eu sei, falta de visão a longo prazo).

  • Meganegão

    O problema não é nem o aquário na rede. É necessário mesmo que tudo fique na mesma rede? Porque não deixar uma rede só para as coisas inúteis? Os caras querem colocar o aquário na mesma rede da contabilidade, aí se f… Mesmo.

  • Jefferson Daniel

    Ai sua empresa desenvolve o melhor produto para monitorar aquários do mundo, ai por questões de segurança ela precisa enviar motoboys para buscar os logs no SDCard…

  • Será que o Insecam ainda está no ar?

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis