A Internet de uma Coisa: como a brecha em uma simples cafeteira simboliza os riscos da IoT para o mundo

Jeff Elder 24 jul 2019

Hackeamos uma máquina de café de todas as formas possíveis, até a transformarmos em uma ferramenta de ransomware e uma porta de entrada para a rede Wi-Fi doméstica.

Imagine o seu pior pesadelo ligado à Internet das Coisas (IoT, da sigla em inglês). Agora imagine um pesadelo ainda maior: sua cafeteira inteligente e completamente confiável simplesmente para de fazer o seu café.

Enquanto hacker “white hat” e engenheiro, tenho muito medo de situações que podem me deixar sem a minha xícara de café da manhã. Assim, para explorar as vulnerabilidades de aparelhos inteligentes, respirei fundo e invadi a minha própria cafeteira.

 

 

O que de pior poderia acontecer se isso acontecesse de verdade? Um hacker queimar o seu grão de café? Bom, a verdade é um pouco mais complicada. A sua máquina pode se tornar uma ferramenta de ransomware. Em um cenário ainda mais sinistro, é possível usar sua cafeteira como uma porta de entrada digital e espionar todos os aparelhos conectados à internet dentro da sua rede Wi-Fi doméstica.

E você ficaria sem café. (Desculpe-me por esse caso de puro horror.)

Nós exploramos um problema comum: como muitos aparelhos inteligentes, a cafeteira saiu de fábrica com configurações padrão e conexão Wi-Fi, podendo ser utilizada assim que fosse removida da caixa. O aparelho não pediu nenhuma senha para se conectar à internet. Então, foi bem fácil infectar a máquina com um código malicioso.

Levamos a invasão daquele aparelho ao extremo, tornando-o em uma ferramenta de ransomware e utilizando-o como porta de entrada para invadir toda a rede daquela casa. Não estávamos apenas invadindo uma cafeteira, mas demonstrando o perigo que os dispositivos inteligentes representam para o mundo.

Uma pesquisa recente da Avast em parceria com a Universidade de Stanford revela que 66% das casas na América do Norte têm ao menos um aparelho IoT, enquanto esse número chega a 40% no restante do mundo. Um grupo relativamente pequeno de fabricantes – 90% dos aparelhos são feitos por apenas 100 fornecedores – sugere a possibilidade de vulnerabilidades similares nos quatro cantos da Terra, o que possibilitaria ataques de cibercriminosos em larga escala.

A cafeteira invadida é, provavelmente, muito parecida com a que você tem na sua casa ou no seu escritório. Ela faz café quando você aperta alguns botões ou quando você envia alguns comandos por meio de um aplicativo no seu celular ou tablet.

Muitos dispositivos IoT se conectam à sua rede doméstica através da sua própria rede Wi-Fi, que deveria ser usada somente para configurar a máquina. Idealmente, os consumidores deveriam proteger imediatamente aquela rede com uma senha segura. Mas muitos aparelhos são vendidos sem nenhuma senha. Para piorar, muitos consumidores não adicionam uma. Essa é uma grande brecha, porque a rede Wi-Fi se torna pública, ficando visível a todos. Assim, cibercriminosos podem vê-la e usá-la para comprometer seus dispositivos inteligentes. Eles podem, por exemplo, instalar softwares maliciosos no seu aparelho. Uma vez comprometida, outras máquinas da casa também podem ser invadidas. Na verdade, toda a rede pode ser acessada por meio de um dispositivo inteligente. Cibercriminosos podem até mesmo acessar os computadores e smartphones da sua casa que estejam conectados à internet.

Nossa ação se deu por meio da cafeteira via Wi-Fi. Depois de acessá-la, configuramos uma atualização de software com código malicioso, que fez com que a máquina fizesse coisas inesperadas e potencialmente perigosas. Fizemos com que o torrador de grãos superaquecesse, o que poderia causar um incêndio na casa. Também fizemos com que água fervente caísse no torrador. Até fizemos com que a cafeteira enviasse uma mensagem de ransonware exigindo o pagamento de um resgate para voltar a funcionar.

Isso pode soar engraçado, mas aqui vai um cenário mais sério: sua cafeteira – ou qualquer outro aparelho inteligente da casa conectado à ela – foi invadida e não dá sinal nenhum de anormalidade. Lembre-se: um dos motivos que uma cafeteira pode ser invadida remotamente é para usá-la como porta de entrada da sua rede. Isso significa que cibercriminosos podem acessar tudo: e-mails enviados pela rede Wi-Fi, informações sobre pagamentos e compras online, o sistema de segurança da casa, o monitor do bebê e muitas outras coisas.

É isso o que está em risco quando alguém conecta dispositivos IoT à sua rede sem se preocupar com a sua segurança. Milhões de pessoas fizeram isso, sem perceber como estão expostas a esses ataques. Essa foi a razão por termos feito esse experimento. Assim, pessoas do mundo todo podem continuar sentindo o cheirinho do seu café ao acordarem pela manhã.

Soluções de segurança IoT

O que você pode fazer para tornar sua smart home mais segura? Aprenda e implemente essas dicas de segurança IoT.

  • Torne sua rede sem fio mais segura: a segurança da rede IoT começa e termina com o roteador. Mude imediatamente a senha padrão do aparelho para um código mais seguro.
     
  • Pense em cibersegurança: existem produtos de segurança IoT, como o Avast Omni.
     
  • Mude a senha padrão: isso vale para qualquer aparelho que venha com um código de acesso de fábrica, não apenas para os roteadores.
     
  • Conheça seus aparelhos: pode ser tentador tirar o aparelho da caixa e simplesmente ligá-lo na tomada, mas é fundamental que você veja cada dispositivo conectado como se fosse mais do que um simples brinquedinho.
     
  • Mantenha os softwares atualizados: nunca é demais reforçar a importância de se manter o firmware dos seus dispositivos IoT atualizados com as últimas versões e correções disponíveis.
     
  • Conecte só quando for preciso: se você não precisa de cafeteira ou lâmpadas inteligentes, continue usando as versões analógicas desses produtos.

Os riscos estão aí, mas há soluções. Não há motivo para temer a crescente onda de aparelhos IoT. Fique alerta para o que está colocando na sua rede, mantenha-a protegida e você poderá usar dispositivos inteligentes com segurança.

--> -->