Meio Bit » Arquivo » Internet » Hackers héteros usam aquário para invadir cassino

Hackers héteros usam aquário para invadir cassino

A Internet das Coisas deveria se chamar Internet das Coisas Vulneráveis. De novo relatos de invasões perpetradas através de inocentes dispositivos conectados. Desta vez… um aquário.

7 anos atrás

7158265_f1024

Nos primórdios da informática doméstica segurança basicamente não existia. Computadores eram equipamentos pessoais, sem conexão com qualquer rede, sequer guardavam dados de forma permanente, não fazia sentido bloquear um computador com uma senha se os dados que importavam estavam em um disquete. 

Mesmo bem depois a segurança individual ainda não era levada a sério. Todo mundo lembra do Windows, que pedia senha pra rede mas se você desse ESC caía no desktop e acessava os arquivos locais.

Quando a internet começou a ficar séria, percebeu-se que havia um problema sério. Portas abertas permitiam acesso de todo tipo, havia do Ping da Morte, onde você derrubava remotamente qualquer PC com um único comando, até o famoso Back Orifice, que permitia até abrir e fechar a porta do CD do micro invadido.

Pensou-se que esse tempo terrível havia passado, hoje não tem mais bobo (exceto os usuários) no jogo, mas eis que a indústria cria outra oportunidade de ouro para hackers: a chamada Internet das Coisas.

Hoje a moda é tudo conectado, até escovas de dente estão na internet. É muito simples. Quer criar um projeto de Internet das Coisas? O Cérebro custa R$ 10,00. Pode ser feito com isto aqui:

espdomal

É um módulo ESP8266, pode ser usado isoladamente ou em conjunto com uma placa Arduíno. Ele conecta com redes Wi-Fi e permite que seu hardware fale com o mundo. É excelente em termos de custo/benefício, mas sejamos sinceros: você acha mesmo que esse bichinho tem protocolos de segurança robustos o bastante para resistir ao…

hacckerman

Todas essas coisas da internet das coisas recebem e transmitem informações o tempo todo, e os desenvolvedores descoladões nunca tem tempo pra essas bobagens corporativas chatas de análise de segurança, criptografia forte, crítica de dados…

Desocupados fazem engenharia reversa para entender os protocolos e encontrar falhas, em seguida com uma simples busca no Google acham onde esses equipamentos estão instalados. E sim, isso não é de hoje. Conheci uma empresa onde para “facilitar a vida dos clientes”, o servidor de FTP não tinha senha. A justificativa era que “ninguém ia saber”. Em menos de um dia o servidor lotou, e como pagavam por tráfego em um link de 64 kB, a conta chegou a R$ 10 mil.

Agora em vez de um parque unificado de máquinas a TI tem que se preocupar com a segurança até de vibradores-câmera conectados. O resultado? Segundo a CNN uma empresa de segurança conseguiu identificar uma invasão cuja porta de entrada foi… um aquário.

Era um aquário em um cassino, provavelmente daqueles chiques, e a empresa deveria vender como bônus monitoramento 24/7. O equipamento também cuidava da alimentação automática dos peixes.

Ok, beleza, é legal, mas precisa MESMO? Um aquário é um sistema fechado, você usa um termostato para controlar um aquecedor ou um resfriador, e manter a temperatura constante, the end, tudo mais é frescura. Ninguém precisa de um log das condições do aquário a cada minuto nas últimas 18 semanas, e se for preciso mesmo, grave localmente. Pra que criar um ponto de vulnerabilidade e complicar assim o produto?

A culpa infelizmente é dos próprios clientes, que se lerem as palavras-chave IOT ou NUVEM, ficam sexualmente excitados e correm para atirar seu dinheiro nos desenvolvedores.

Não há notícias do quanto de dano os hackers piscosos causaram, e nunca saberemos: cassinos são bem boca-fechada nesses assuntos, mas foi dito que eles conseguiram acesso a outras partes da rede, e não é difícil imaginar um chefe que não goste de guardar senhas e exija que as planilhas da contabilidade estejam em uma pasta com user/senha guest/guest. DISCLAIMER LEGAL: o cenário é hipotético. Juro.

Leia mais sobre: , .

relacionados


Comentários