Ataques à IoT

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
UNIDADE NOVA AMÉRICA – RIO DE JANEIRO, RJ 
DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO 
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO 
 
 
 
 
TRABALHO DISCIPLINAR 
ATAQUES À “INTERNET DAS COISAS” – IoT (INTERNET OF THINGS) 
 
 
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO (ARA0064) - TURMA 3005 
 
 
 
 
 
 
Fabio Pinto Xavier 
202103057225 
 
 
 
 
 
 
Rio de Janeiro 
2021 
 
Fabio Pinto Xavier 
202103057225 
 
 
 
 
 
 
 
 
 
 
 
ATAQUES À “INTERNET DAS COISAS” – IoT (INTERNET OF THINGS) 
 
 
 
 
 
 
 
Trabalho apresentado à disciplina INTRO-
DUÇÃO À SEGURANÇA DA INFORMA-
ÇÃO (ARA0064) - TURMA 3005 
Professor: Renato Santana 
 
 
 
 
 
 
 
 
 
Rio de Janeiro 
2021 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“Esse é um computador no qual o usuário não 
pode instalar um antivírus. Pior ainda, tem uma 
porta traseira secreta que um ciberdelinquente 
pode usar e permanecer ali para sempre, obser-
vando tudo sem ser detectado”. 
(Daniel Buentello, 2014) 
Introdução 
A interconectividade de uma rede IoT (Internet of Things) oferece recursos de racionali-
zação que são atraentes para indivíduos e empresas. Usar a tecnologia para facilitar a vida - em casa 
ou no escritório - é uma grande vantagem. Porém, devem ser feitas considerações sobre como um 
aumento de dispositivos conectados também aumenta o risco cibernético, tornando as redes IoT mais 
vulneráveis a invasões cibernéticas e infecções. 
Simplificando, a Internet of Things (IoT) é qualquer rede de dispositivos físicos que conte-
nham tecnologia embutida que possibilitem vários graus de acesso à internet, comunicação, comando 
e controle. Os dispositivos físicos conectados incluem máquinas tradicionais como laptops e tablets, 
mas vai além de incluir uma variedade de outros dispositivos não tradicionais, como automóveis, ter-
mostatos, aparelhos, relógios de pulso, equipamentos de fabricação, dispositivos médicos e muito 
mais. 
A existência da IoT remonta à década de 1980, mas em uma versão semelhante ao filme 
De Volta para o Futuro. Os pesquisadores da Universidade Carnegie Mellon conseguiram criar uma 
máquina de venda automática de Coca-Cola conectada à Internet em 1982. 
Para proprietários de empresas, a IoT oferece enormes capacidades de racionalização que 
embalam uma produtividade. Ao ter todos os dispositivos e equipamentos de negócios sincronizados 
com o acesso à internet, a comunicação e a colaboração são mais fáceis e o trabalho é feito com mais 
rapidez. Por sua vez, os empresários reduzem os custos indiretos e podem assumir novos negócios. 
Transformações tecnológicas como esta podem realmente transformar a forma como as organizações 
fazem negócios. 
Os últimos anos foram enormes para a implementação real do IoT, impulsionado pela 
redução de custos e pelo valor convincente do negócio. Houve uma transição de ideias e protótipos 
para produção e implementação. 
No mercado, os carros inteligentes e os dispositivos portáteis com sistemas embutidos 
estão prontamente disponíveis. Proprietários de empresas em todas as indústrias estão procurando 
maneiras de tirar o melhor proveito da tecnologia IoT. No entanto, à medida que o IoT explode na 
cena, muitas dessas redes simplesmente não terão segurança adequada, deixando as empresas mais 
suscetíveis à invasão cibernética. 
 
Os ataques 
Você acabou de descobrir que a cafeteira inteligente do escritório foi hackeada e tem 
enviado milhões de e-mails de spam por meses. Pior ainda, o seu roteador de internet corporativo foi 
usado por invasores no exterior para conduzir ataques DDoS (que bloqueiam temporariamente servi-
dores) contra outra empresa ou contra seu próprio governo. Nos dois casos, sua empresa nem foi o 
alvo final dos ataques. Imagine se fosse. 
Incidentes caros e embaraçosos como esses têm sido mais comuns e mostrado um avanço 
na era da Internet das coisas (IoT). Fato que pode gerar séria consequências, especialmente para pe-
quenas e médias empresas, que não conseguem arcar com os danos. 
À medida que as redes 5G forem implantadas gradualmente nas principais cidades, o nú-
mero de dispositivos conectados deverá explodir. Empresas foram as primeiras a adotar a tecnologia 
IoT e, portanto, os primeiros alvos para os mais novos ataques cibernéticos. Eles provavelmente con-
tinuarão na vanguarda das novas tecnologias conectadas e das ameaças que os virão nos próximos 
anos. 
Você lembra de uma parte do manual de instruções do seu dispositivo que diz para trocar 
a senha padrão? Caso isso não seja feito, é possível que o seu dispositivo IoT comece a agir como um 
zumbi cibernético, já que os criadores de ataques DDoS conhecem as senhas padrão de muitos dispo-
sitivos IoT e as usam para obter acesso. É como deixar as chaves de sua casa debaixo de um tapete na 
entrada, permitindo que qualquer pessoa as encontre. 
Todo aquele que possua um roteador online, uma câmera, uma TV ou inclusive uma ge-
ladeira da IoT sem antes trocar a senha padrão está permitindo que realizem ataques desse tipo. As 
recentes pesquisas realizadas pela ESET sugerem que pelo menos 15% dos roteadores domésticos não 
estão protegidos, ou seja, que existe potencialmente 105 milhões de roteadores fraudulentos. 
Num mundo de objetos conectados e nas mãos de leigos em tecnologia, não são só as 
empresas que enxergam oportunidades. Os criminosos também. Não sem motivo, especialistas mais 
azedos já afirmam que as iniciais de IoT se referem à “internet of threats”, a internet das ameaças. 
O hacker britânico Daniel Kaye, de 30 anos, é réu no Reino Unido por ter lançado na Ale-
manha um ataque que deixou desconectados 900 mil roteadores, em residências e empresas, em 
2016. Usou um malware chamado Mirai — dedicado a infectar dispositivos desprotegidos e usá-los 
para procurar outros e invadi-los, sucessivamente. Nos Estados Unidos, os cibercriminosos Josiah 
White, de 20 anos, e Paras Jha, de 21, foram condenados em dezembro de 2017 por usar o Mirai. 
Depois dos ataques, a dupla oferecia às suas vítimas, serviços como consultores de segurança digital. 
A fabricante de roteadores MikroTik, da Letônia, até que fez a parte dela: corrigiu uma 
brecha de software e colocou a atualização à disposição dos clientes ao redor do mundo, muitos deles 
no Brasil. Como de costume, muitos dos usuários não fizeram a parte deles e, em vez de baixar a cor-
reção, continuaram a usar a versão velha. Não tardou, hackers descobriram a falha e começaram um 
ataque global. O Brasil se tornou o alvo central do golpe e, no início de agosto de 2018, estavam cap-
turados no país cerca de 72 mil roteadores e outros dispositivos sem fio da MikroTik, em residências e 
empresas (no mundo todo, eram cerca de 200 mil equipamentos invadidos). Essas máquinas trabalha-
vam apenas parcialmente para seus donos — paralelamente, os hackers faziam os equipamentos mi-
nerarem bitcoins. O caso é dos mais recentes a mostrar a vulnerabilidade de dispositivos conectados 
à internet das coisas (IoT). 
Em agosto de 2018, o FBI, polícia federal americana, achou por bem divulgar um alerta 
público sobre as vulnerabilidades “das coisas” conectadas à internet. Criminosos podem invadir uma 
rede doméstica para roubar dados ou exigir dinheiro, mas o FBI se preocupa mais com o uso indireto 
dos aparelhos. A maior parte dos dispositivos nas residências possui poder computacional suficiente 
para se tornar um ponto de conexão da rede, ou nó, capaz de receber, processar, armazenar e enviar 
informações pela internet, explica Sudha Jamthe, CEO e autora do projeto IoT Disruptions e professora 
na Universidade Stanford. Hackers capturam essas máquinas às centenas ou milhares de uma vez, para 
fazer ataques contra sistemas maiores, de grandes empresas ou infraestrutura, ou espalhar pela rede 
programas maliciosos — como vírus e espiões. “O uso dos dispositivos domésticos esconde osrastros 
digitais, dificultando a identificação dos responsáveis pelos crimes.” A lista do FBI inclui equipamentos 
como geladeiras, câmeras, TVs, rádios, portas inteligentes e roteadores, que, além de ataques ciber-
néticos, são utilizados para negociar imagens e produtos ilegais nas profundezas da web. 
Parte da responsabilidade é das fabricantes de equipamentos e prestadoras de serviços 
de rede. Produtos e serviços não são concebidos para oferecer o máximo de segurança. Permitir a 
conexão e o gerenciamento remoto dos aparelhos traz comodidade ao consumidor, mas o torna vul-
nerável a todo tipo de larápio do mundo digital. De acordo com um estudo realizado pela Universidade 
Ben-Gurion do Negev, Israel, divulgado em março, dispositivos conectados, como babás eletrônicas, 
câmeras, portas automáticas, segurança residencial e termostatos, foram facilmente invadidos por um 
grupo acadêmico que se dedicou a identificar as vulnerabilidades das redes domésticas. 
 
Existe solução? 
No momento, a segurança digital não acompanha a franca expansão da IoT e da automa-
ção residencial. Annette Zimmermann, vice-presidente da empresa de pesquisas e consultoria Gartner, 
acredita que o setor ainda vai pegar embalo, e que as soluções de segurança digital vão acompanhar 
a expansão da rede. Mas admite que, no momento, a falta de segurança é um problema sistêmico na 
IoT residencial. Teremos, no mínimo, uma fase de transição turbulenta, enquanto as casas se tornam 
hiperconectadas. “Com a internet das coisas, vamos ter mais explorações de brechas de segurança. 
Vai ser um trabalho constante diminuir a frequência e o impacto desses ataques”, afirma Pedro Paulo 
Pérez, vice-presidente de segurança digital do Grupo Telefónica e CEO da ElevenPaths, unidade de 
segurança da companhia. 
As empresas podem se defender contra os ataques DDoS de diversas formas, que incluem 
melhorar a infraestrutura de suas redes e garantir a visibilidade completa do tráfego que entra ou saí. 
Isso pode ajudar a detectar ataques de DDoS, além de garantir que a empresa conta com suficiente 
capacidade e habilidade de mitigação. Por último, é necessário ter um plano de defesa contra os ata-
ques de DDoS, mantendo-o atualizado e realizando testagens de forma periódica. Pense como uma 
simulação de um incêndio para a rede. 
Também é importante ter cuidado com os servidores Telnet. São os dinossauros do uni-
verso digital e, como tais, devem ter sido extintos porque são muito mais vulneráveis e podem ser 
aproveitados de forma maliciosa. Nunca conecte um desses servidores a um dispositivo público. 
Os funcionários de um empresário e os usuários do sistema podem ser a maior linha de 
defesa contra a invasão cibernética ou podem ser a maior vulnerabilidade . Cabe aos líderes empresa-
riais garantir que os usuários do sistema sejam informados e treinados sobre como navegar diaria-
mente pelas operações da IoT de forma a salvaguardar a rede e os dados da empresa. 
Manter os usuários do sistema atualizados sobre as últimas ameaças e estratégias ajuda 
a garantir que os esforços de segurança da IoT sejam trazidos em círculo e permaneçam consistentes 
durante o ciclo de vida de uma empresa. 
A IoT vai exigir mais empenho das organizações porque, além de corrigir seus próprios 
produtos e serviços, empresas vão precisar pensar com a cabeça do usuário médio, sem tempo nem 
conhecimento para garantir sua própria segurança digital. Thiago Bordini, diretor de inteligência ciber-
nética e pesquisa do Grupo New Space, explica que, até agora, não há padrões de segurança estabe-
lecidos para os dispositivos domésticos. A maior parte das configurações é feita diretamente no equi-
pamento e depende de ação do usuário. “Mas as pessoas não sabem que precisam configurar uma 
senha”, explica. Durante a entrevista, Bordini acessou o site Shodan, espécie de Google da internet das 
coisas. Procurou, no Brasil, por um modelo específico de TV inteligente. Em segundos, obteve a lista 
com o endereço de internet (IP) de 22 aparelhos. “Para sair da lista, é preciso mudar as configurações 
do equipamento”, indica. Especialistas vão ter muito trabalho educativo a fazer. 
Enquanto fabricantes de equipamentos e usuários tentam se adaptar, o setor de segu-
rança digital antevê muito trabalho. Companhias tradicionais no ramo, como Symantec, McAfee e F-
Secure, passaram a oferecer serviços específicos para IoT residencial. As estratégias englobam desde 
a oferta direta ao consumidor até a inclusão de recursos de segurança nos serviços de conexão, comu-
nicação e entretenimento. “Esse modelo exige a parceria dos desenvolvedores com os provedores de 
serviços de internet e operadoras de telecomunicações”, explica Annette, do Gartner. As startups tam-
bém estão no páreo e devem chacoalhar os modelos de negócios no ramo de proteção das casas co-
nectadas. Entre as novatas, a especialista destaca a BitDefender, da Romênia, e a Cujo, de Los Angeles. 
Consideremos que os dispositivos IoT são como qualquer computador. Por isso, é neces-
sário trocar (de imediato) a senha padrão e comprovar regularmente os patches de segurança. Use a 
interface HTTPS sempre possível, desligar o dispositivo quando não for mais necessário utilizá-lo, e 
também desativar outros protocolos de conexão (que não estejam em uso). 
Mesmo que essas medidas pareçam bastante simples, é assustadora a quantidade de pes-
soas que optam pela conveniência em vez do sentido comum. Apenas a metade dos participantes em 
um questionário realizado pela ESET disseram que haviam trocado a senha do roteador. 
A dica para trocar a senha padrão dos dispositivos já foi destacada em muitas ocasiões. 
No entanto, é importante lembrar que embora possa guiar um cavalo até a água, não pode obrigá-lo 
a beber. 
 
Referências bibliográficas 
• https://www.welivesecurity.com/br/2017/03/17/ataques-a-iot/ 
• https://epocanegocios.globo.com/Tecnologia/noticia/2019/01/internet-das-coisas-o-maior-
volume-de-dados-convida-mais-hackers.html 
• https://canaltech.com.br/hacker/internet-das-coisas-se-torna-alvo-facil-para-ataques-de-
ycriptomineracao-119308/ 
• https://www.skillsit.com.br/blog/anatomia-de-um-ataque-internet-de-coisas-iot/ 
• https://www.kaspersky.com.br/resource-center/threats/ddos-attacks 
• https://canaltech.com.br/hacker/brasil-esta-entre-maiores-fontes-de-ataques-usando-inter-
net-das-coisas-162317/ 
• https://forbes.com.br/principal/2019/08/as-tendencias-da-ciberseguranca-da-internet-das-
coisas-para-2019/