Páginas

fevereiro 28, 2018

[Segurança] Quem é a sua referência mais antiga na área de segurança?

Eu estava jantando há um tempo atrás com o Fábio Assolini e, conversa vai conversa vem, surgiu um assunto aonde nós começamos a nos questionar quem são os profissionais mais antigos da área de segurança aqui no Brasil que conhecemos. Fazendo um rápido parênteses, foi um jantar bem legal, aonde passamos o tempo todo trocando figurinhas sobre o ciber crime, tipos de fraude, ataques a bancos, etc. Até mesmo sobre explosão de caixas eletrônicos nós falamos.

Garimpando o fundo da minha memória, eu lembro que quando eu comecei a me interessar por segurança, aproximadamente em 1996, quando eu era um administrador de sistemas Unix (Sun/Solaris, para ser mais preciso) em um dos primeiros provedores de Internet do Brasil. Esse já era meu segundo emprego em TI e, até então, eu desconhecia o mundo da segurança. Ao contrário de alguns colegas na nossa área, eu não comecei nos canais IRCs nem conhecia os grupos de hackers da época que discutiam invasões e defacements.

Em meus estudos sobre como melhorar a configuração dos servidores que eu administrava, eu descobri o site do Nelson Murilo, chamado Pangeia, que na época talvez fosse a única referência sobre segurança aqui no Brasil. No site havia um check-list de configuração de segurança que eu baixei e utilizei fascinadamente, revisando as as configurações de todos os meus servidores.


Ou seja, o Nelson Murilo já era uma importante referência na área antes mesmo de eu começar a trabalhar com segurança !!!

Eu já acompanhava algumas listas de discussão sobre tecnologia e administração de sistemas, e mais ou menos nessa época, eu assinei uma lista de discussão por e-mail chamada BOS-BR (sigla de "Best of Security - Brasil"), que era gerenciada pelo Thiago Zaninotti, entre outros. A lista era o principal canal de discussão sobre segurança na época e lá eu comecei a conhecer os nomes de algumas outras pessoas que interagiam bastante na lista e hoje também são gurus na nossa área: o Rubens Kuhl, o Fernando Cima (antes dele ir trabalhar na Microsoft, de onde nunca mais saiu), o Alberto Fabiano (se bem me lembro, lá ele usava o pseudônimo "techberto"), o Professor Nelson Brito, e algumas dezenas de outros colegas que agora realmente eu não tenho como lembrar o nome.

Pouco tempo depois, em Março de 2001, o Thiago organizou um evento de segurança em São Paulo, também com o nome de BOS-BR, que até onde eu sei foi o primeiro evento brasileiro de hacking. E eu tive a sorte de estar lá na platéia! Quase 15 anos depois, quando eu e o Alberto Fabiano participamos da criação do Garoa Hacker Clube, ele certa vez me contou que também estava nesse evento!

   

Abrindo um pequeno parênteses, provavelmente o segundo evento de SI que eu conheci foi o CNASI, e depois o SSI no ITA (Simpósio de Segurança em Informática), um evento acadêmico que existiu por alguns anos de 1999 a 2006. Eu achei a agenda da edição de 2003 e o CFP de 2006 ainda disponíveis online!


Nessa época, início dos anos 2000, eu já trabalhava na área de Segurança, tinha passado pela Compugraf aonde conheci vários profissinais (parceiros, clientes e concorretes) que estão aqui até hoje. Eu fui em algumas edições do SSI (provavelmente 3 ou 4 delas) e assisti várias palestras excelentes por lá, inclusive do Marco Kiko Carnut, um dinossauro da Tempest. No SSI de 2004 eu assisti uma palestra bem legal do Dr. Wietse Venema, pai do TCPWrapper e um dos criadores do Satan, e fui dar uma de tiete para tirar foto dele. O TCPWrapper já tinha salvo a minha pele várias vezes!!!


Mais ou menos nessa época, certa vez eu fui em um evento da SUCESU-SP em São Paulo aonde teve uma palestra sobre o mercado de antivírus do André Pitkovisk. Eu lembro que ele falou muitas coisas interessantes e, assim, ele foi minha primeira referência sobre a indústria de antivirus e malwares. Minto, ele foi a minha segunda referência, porque vários anos antes quando começaram a surgir os vírus de computador no Brasil um professor da USP com quem eu tive aula, o Marcos Gubitoso, escreveu um softwarezinho de antivírus que, na época, apagava um ou dois vírus de computador!

No final dos anos 90 e início dos anos 2000, a Módulo era a empresa de segurança mais conhecida, graças a solução de antivirus que eles tinham chamada Curió. A propósito, sem dúvida nenhuma a Módulo foi escola pra uma quantidade enorme de profissionais de segurança que temos hoje e que trabalharam lá (este não é o meu caso, pois fui cliente do serviços de consultoria deles em duas empresas que trabalhei).

Entre os anos 2000 e 2010 a galera que trabalhava na área de segurança se falava muito pela lista de discussão CISSP-BR, sendo ou não CISSP. A lista tinha muitas discussões técnicas e sobre vários aspectos profissionais, e um dos tópicos mais comuns era o ROI (retorno do investimento) na área de segurança. Ali se formaram várias amizades e era comum marcarmos happy hour frequentemente para juntar a galera, como o Happy Hour da foto abaixo, em 2005, com o Fernando Fonseca, Rafael Hashimoto, Francisco Milagres, Anderson Ramos, a Larissa e o Reginaldo Sarraf, no Hooters que ficava perto da Verbo Divino.


Em 2005 eu e vários amigos criamos um grupo de estudos para a certificação CISSP, que desde então ajudou muitos profissionais a estudadem de forma gratuita e organizada. Estava lá o Sergio Dias, Fernando Fonseca, a Lucimara Desidera e o Wagner Elias, entre outros.



Em 2006 eu fui na minha primeira Defcon, nos EUA, e em 2007 foi minha primeira RSA Conference. Desde então eu fiquei apaixonado pela Defcon e tento ir lá quase todos os anos, mesmo que seja tirando férias e pagando do próprio bolso. Em 2006 éramos poucos brasileiros lá, mas a cada ano a quantidade de Brasileiros que vai na Defcon só aumenta, e já somos tantos que é impossível encontrar todos durante o evento.


Também em 2006 comecei a fazer parte da diretoria da ISSA, aonde por alguns anos nos esforçamos em realizar diversos eventos e atividades gartuitas para o público de segurança. Criamos os ISSA Days, um encontro quase mensal com 2 palestras (uma do patrocinador e uma de um profissional convidado) e por um curto período de tempo (mais ou menos um ano) chegamos a ter uma revista mensal online, batizada de Antebellum. Eu achei aqui a primeira edição dela!

É lógico que, estando há tanto tempo no mercado de segurança, eu tenho uma quantidade gigante de colegas que eu conheço há bastante tempo, que fica até difícil dizer quantos são e há quanto tempo conheço cada um. Eles me ensinaram muita coisa, influenciaram muito a minha carreira. E isso acontece até hoje: estamos constantemente aprendendo.

Este post é uma forma de homenagear a todos os demais colegas e profissionais da área, pois muito do que eu já fiz e aprendi eu devo a essas dezenas de profissionais que tive e tenho como inspiração.

fevereiro 26, 2018

[Segurança] Ataque do momento: Criptomoedas.

Caso você ainda nao tenha percebido, nos últimos meses temos sofrido uma nova onda de ciber ataques contra empresas e usuários finais, direcionados ao...

Roubo de criptomoedas


Podemos considerar vários tipos de ataques que acontecem hoje em dia com bastante frequencia e estão relacionados com a intenção de obter algum tipo de ganho financeiro com criptomoedas, tais como:
  • Ciber criminosos invadirem os computadores dos usuários para acessarem as suas carteiras digitais;
  • Softwares maliciosos que usam o computados das vítimas para minerar moedas criptográficas ("Cryptojacking"). Hoje em dia há uma grande quantidade de sites que, inadivertidaemnte, estão com um aplicativo malicioso para transformar os computadores dos seus visitantes em mineradores de moedas digitais, explorando maliciosamente a funcionalidade criada pelo Coinhive, um JavaScript que permite com que sites façam seus visitantes minerarem Monero;
  • Ciber ataques contra empresas de negociação ("exchange") de criptomoedas.
Na minha opinião o mais preocupante é essa nova onda de ciber ataques aonde os ciber criminosos estão invadindo empresas de compra e venda de moedas digitais, assim eles conseguem ter acesso a uma grande quantidade de moedas em um único ataque, e os prejuísos são da ordem de milhões de dólares! Esses ataques podem minar a confiança no sistema ao mesmo tempo que estão impactando a operação de diversas empresas na área.

Em Janeiro de 2018, por exemplo, a empresa japonesa Coincheck foi atacada e os ciber criminosos conseguirem roubar cerca de 530 milhões de dólares de sua carteira virtual. Um dos casos mais conhecidos aconteceu no longínquo ano de 2014, quando a empresa Mt.Gox entrou em falência após roubarem 850 mil bitcoins.

Para saber mais:
OBS: Post atualizado em 13/3 para incluir nocos exemplos na lista de "casos interessantes".

fevereiro 23, 2018

[Segurança] Phishing no Whatsapp

Segundo um relatório de uma tal de DFNDR Lab, da PSafe, o WhatsApp é o meio preferido dos ciber criminosos para espalhar ataques de phishing, correspondendo a 66% do total de registros feitos pela empresa, refletindo uma tendência bem conhecida do ciber crime que é a de usar os smartphones para disseminar golpes online.


Segundo a pesquisa, o  número de mensagens de phishing compartilhadas pelo Whatsapp atingiu o número de 44,1 milhões de mensagens no quarto trimestre do ano passado, o que representou um crescimento de 107% entre o terceiro e quarto trimestres de 2017.


A reportagem aonde achei essas estatísticas é bem superficial e não traz mais detalhes, mas de qualquer forma esses dados são intteressantes por refletir uma tendência conhecida do ciber crime.

fevereiro 21, 2018

[Segurança] Malwares em caixas eletrônicos

Pesquisando sobre ataques físicos a caixas eletrônicos no México, eu deparei com muitas notícias mostrando que desde 2013 o país sofre com códigos maliciosos para roubar dinheiro dos ATMs. Em 2014 a Kaspersky já tinha relatado outro malware, Tyupkin, atuando na Rússia.


No final de 2017 os primeiros ciber ataques desse tipo apareceram nos EUA, e logo a polícia prendeu um grupo de Venezuelanos que estavam realizando esse crime. Os bancos americanos estão sofrendo com uma variante do código malicioso usado no México, o "Ploutus", que pode ser implantado em caixas eletrônicos. Originalmente surgido no México e atacando alguns modelos específicos de ATMs da Diebold, a versão atual Ploutus.D explora outros componentes de software que o tornam capaz de atacar caixas eletrônicos de diversos fabricantes.

O uso de ciber ataques contra caixas eletrônicos ganhou destaque na grande mídia e na comunidade de segurança em 2010, quando o pesquisador rockstar Barnaby Jack apresentou uma palestra na BlackHat e Defcon daquele ano sobre esse assunto, e batizou esse golpe de "ATM Jackpotting". Barnaby Jack demonstrou como seria possível criar um malware que controlasse o caixa eletrônico e, assim, poderia comandar o dispenser de notas para cuspir todo o dinheiro armazenado no cofre do ATM.

Há várias famílias de malwares especializadas em atacar caixas eletrôncos, como o Ploutus (que já comentei), e outros que foram mencionados em um blog da Diebold: o Ripper, Alice, Tyupkin e o Green Dispenser (que passou pelo Mexico em 2015).

Alguns malwares para caixas eletrônicos podem funcionar como keylogger e, com isso, capturar os dados dos clientes (como no caso desse malware descoberto pela Trustwave em 2009), mas já que tem o controle da máquina, o ganho financeiro mais fácil ocorre ao comandar o ATM para expelir todo o dinheiro do cofre. Normalmente o malware é inserido através de um CD ou um USB bootável, que o criminoso consegue inserir no caixa eletrônico, reiniciar o equipamento e assim executar os comandos necessários para controlar a dispensadora de notas.

A Symantec tem um vídeo legal sobre como os criminosos conseguem usar o Ploutus:


Recentemente, pesquisadores da Kaspersky descobriram um forum underground aonde um malware para ATM, chamado CUTLET MAKER, estava sendo vendido por 5 mil dólares.


A Diebold dá algumas dicas para os bancos mitigarem os ataques de malwares para ATMs, que podemos resumir em garantir a segurança física do equipamento (para evitar a inserção do malware), atualização de software e uso das boas práticas de segurança.

Para saber mais:

  • Para se divertir: um criminoso brasileiro colocou um vídeo no YouTube com um funk de fundo enquanto mostra o funcionamento de um malware para caixa eletrônico. Mas não se preocupe, o brasileiro não gravou o uso do malware, ele apenas reaproveitou algum vídeo antigo de outra pessoa (você pode encontrar um vídeo idêntico do Tyupkin publicado 2 anos antes).

fevereiro 20, 2018

[Segurança] O bug do caracter indiano

Um bug bizarro descoberto recentemente, um "text bomb", deu muita dor de cabeça para os usuários da Apple nos últimos dias.

Ao receber um caracter específico, na língua telugo, o iPhone simplesmente trava e bloqueia o acesso a apps como Mensagens, Twitter, WhatsApp, Facebook Messenger, Outlook e GMail, dependendo de qual app você recebeu a mensagem com esse caracter.


O problema acontece quando esse caracter é recebido em algum aplicativo, pois o sistema trava ao tentar carregar a visualização do caracter. Dependendo do caso, o aplicativo não abre, ou o sistema trava, retorna para a tela de bloqueio e impede que você acesse o app que recebeu a letra. No Whatsapp, por exemplo, você pode não conseguir mais abrir a conversa (ou grupo), pois o aplicativo fica tentando carregar o tal caractere sem sucesso. Para recuperar o aceso a conversa, ou você apaga todo o histórico ou tenta pedir para alguém enviar alguma outra mensagem e clica nela, para o app ir direto na mensagem mais recente, ignorando as antigas.

Se, por azar, você receber essa mensagem quando o celular estiver bloqueado, o iOS tentará mostrar uma pré-visualização no notification center (na tela bloqueada) e, desgraçeira, o aparelho entrará em looping de boot ("boot loop") e não mais ligará. Eu ouvi relatos de usuários que caíram nesse caso: não conseguiam acessar seu iPhone, só recuperaram o acesso ao celular após colocar o aparelho em modo DFU (Device Firmware Update) ou fazer um hard reset com update de versão.

O bug afeta os iPhones com iOS até 11.2.5 e o macOS High Sierra 10.13.3 mas já foi corrigido na ultima versão beta do macOS 10.13.4. O bug foi corrigido na versão 11.2.6 do iOS (disponibilizado em 19/2) e na versão beta do iOS 11.3.

Não é a primeira vez nem será a última que temos problemas com tratamento de palavras em idiomas "diferentes", que exigem manipulação de unicode. O iOS mesmo já teve problemas até mesmo em tratar algumas sequências de emojis.

Para saber mais:

fevereiro 19, 2018

[Segurança] Panelas de eventos

Não são só pessoas que fazem panelinhas entre si!


Enquanto eu escrevia o meu post sobre os eventos de segurança em 2017, eu percebi que cada vez mais os eventos, seu público, seus admiradores e haters estão se aglutinando em alguns grupos específicos, e que uma parcela da comunidade de segurança (principalmente os formadores de opinião em nossa comunidade) estão refletindo e reforçando essa distinção. Pensei, então, em classificar os eventos nacionais em 5 categorias:
  • Eventos Underground, como a Aligator e a Leakon: são eventos somente para convidados, membros da auto-entitulada "comunidade underground", e que são focados em discutir técnicas de invasão, ataques, vazamento de dados pessoais e focam muito em criticar o mercado de segurança;
  • Eventos para a comunidade, como a H2HC, a BSidesSP, a Nullbyte, o Jampasec e a Criptorave: eventos com uma pegada técnica de boa qualidade, e que não tem fim comercial. Eles existem principalmente pelo prazer de divulgar o conhecimento e ajudar no crescimento da nossa comunidade. Exceto pela H2HC, os demais (ou grande maioria) possui uma infra-estrutura simples, de baixo custo, pois afinal a prioridade é trazer conteúdo, e não frufru nem conforto;
  • Eventos comerciais "do bem", como o YSTS, Mind The Sec, Security Day (Natal) e Segurinfo (RJ): são eventos que tem uma preocupação com a qualidade das palestras, mas tem também uma pegada comercial (com dependência dos patrocinadoes), principalmente por conta dos custos do evento. Em comum eles também mantém uma gama diversificada de assuntos para atrair o público técnico e gerencial;
  • Eventos para a comunidade com forte preocupação comercial (desculpe, mas falta um nome melhor para essa categoria), como o Roadsec; Esta é uma categoria para os eventos que tem preocupação em fomentar e apoiar a comunidade, levando conhecimento de qualidade e formas de apoiar os estudantes e novos profissionais, mas também tem uma grande preocupação comercial;
  • Eventos comerciais e marketeiros, ignorados pela comunidade, como o CNASI, Security Leaders: são eventos de baixa qualidade técnica (superficiais) e foco principal em assuntos de gestão, com forte interesse em obter patrocinadores e foco no lucro. Em geral, os principais participantes da comunidade de segurança simplesmente ignoram a existência desses eventos (a ponto de que só vão por obrigação e nem se dão o trabalho de criticá-los).
Não me levem a mal com a lista acima, eu apenas pretendi relatar o que estou sentindo do mercado. Não quero fazer juízo de valor nem dizer qual tipo de evento ou modelo de evento está bom, ruim, certo ou errado. Não sou eu quem faz essa discriminação ou crítica.

Do meu ponto de vista, todo evento tem que ter seu diferencial, seu público alvo e algum tipo de patrocínio para bancar os custos, e em vários casos é o justamente patrocínio que permite ter precos de ingressos relativamente baratos. Não acredito que um patrocinador possa ter o direito de opinar sobre o evento, mas na medida em que ele está bancando parte dos custos, ele tem o direito de querer aparecer (preferencialmente de forma condizende com a cultura do evento), e o organizador tem que ter independência de negociar isso. Eu tanmbém não acho correto o organizador de um evento tirar dinheiro do bolso, e por outro lado eu invejo quem consegue montar uma empresa para viver de fazer eventos.

Em resumo, a comunidade sabe reconhecer a qualidade de um evento, mas é comum ver comparações simplistas se o foco principal do evento é na qualidade do conteúdo ou é em obter dinheiro.

fevereiro 16, 2018

[Cyber Cultura] A NET e o Pastebin

Nos últimos dias vi muitos relatos de que a NET estaria barrando o acesso de seus clientes ao site Pastebin, o popular serviço online de colagem de textos e códigos fonte, comumente usado por programadores e também por ciber criminosos e hacktivistas. Vi, inclusive, comentários de que esse bloqueio desrespeita o princípio de neutralidade da rede estabelecido no Marco Civil.



O Pastebin é um meio de compartilhamento muito popular em toda a comunidade hacker, o que fez com que esse bloqueio tivesse grande destaque na comunidade técnica.

Mas, da mesma forma que esse suposto bloqueio surgiu, ele foi aparentemente suspenso: sem nenhum aviso! De repente, o pastebin voltou a ser acessado pelos clientes do Virtua, o serviço de Internet da NET.

O mais interessante nessa história, na verdade, foi que o pessoal do Teresina Hacker Clube fez um "hack" para reestabelecer o acesso ao Pastebin: Eles subiram um Proxy para o site original: https://pastebinproxy.com. Usaram o Let's Encrypt para permitir acesso SSL ao proxy e, ao furar o bloqueio da NET, manter os usuários seguros. O acesso do proxy até o site também é feito com HTTPS, garantindo a segurança do acesso.

Muito legal, né? A intenção foi muito boa, mas pena que o Pastebin bloqueou o acesso do IP desse Proxy!!!


OBS: Pequena atualização em 20/02 para incluir a imagem para o tweet do Pastebin sobre esse problema com a NET.

fevereiro 15, 2018

[Segurança] Vamos apoiar a Cryptorave 2018


Está no ar a campanha de financiamento coletivo para a Cryptorave desse ano!

A CryptoRave é um evento-quase-festa aberto e gratuito sobre criptografia, segurança e privacidade que reúne ativistas, cypherpunks, hackers, pesquisadores e profissionais de segurança, estudantes, nerds, pessoas curiosas e interessadas em práticas de segurança e de proteção de dados pessoais.

Organizado por voluntários, eles oferecem 24 horas de conversas, debates, trocas de informação e festa. Esta será a 5ª edição do evento e acontecerá nos dias 4 e 5 de maio de 2018, e pretende trazer até 150 atividades distribuídas em 36 horas de evento, para um público de 2.000 pessoas.

Seguindo a tradição das últimas edições, o pessoal da Cryptorave lançou uma campanha financeira no Catarse para arrecadar os recursos necessários para realizar o evento. Eles esperam arrecadar R$ 70.000,00 nos próximos 60 dias e, assim, viabilizar o evento.


O que eu mais gosto da CryptoRave é que ela traz para o público leigo assuntos recentes e complexos relacionados a segurança e privacidade online. É muito comum encontrar jornalistas e ativistas no evento.

Se você quiser conhecer um pouco mais sobre a CryptoRave, eu recomendo assistir a entrevista que o Papo Binário fez com o Gustavo Gus, um dos organizadores do evento. Lá ele fala sobre privacidade, rede TOR e, claro, sobre a CryptoRave também.



Vamos apoiar a CryptoRave!!!

Aproveite também que o Chamado Para Atividades também está rolando até o dia 24 de março e envie a sua proposta de palestra, debate, oficina, jogo, instalações, apresentações artísticas, exibição de filme, shows ou qualquer outra ideia mirabolante.

Para saber mais:

fevereiro 12, 2018

[Segurança] Profissão do momento: Blue e Red Team

OK, você quer dar uma turbinada no seu curriculo e mostrar que você está antenado no mercado de segurança?  Então mostre a todos que você é especialista em...

Blue Team

ou
Red Team


Sim, é super modernoso você dizer que á "Blue Team" ou "Red Team", dá uma colorida no seu curriculum! (tum dum!)

Blue Team é a buzzword que o mercado de SI está utilizando para indicar os profissionais especializados em defesa, desde como se proteger mas, principalmente, focados em detecção e resposta a incidentes.

Red Team são os profissionais especializados em testar a segurança através da realização de ciber ataques. São, por exemplo, o pessoal especializado em PenTest, em testar a segurança de sites e empresas.


Os termos Blue Team e Red Team também são comuns no mundo das competições de Capture The Flag (CTF) do tipo "ataque e defesa",  aonde tem as competições que você tem que atacar os servidores dos concorrentes e proteger os seus, ou quando há competições em que os papéis de ataque e defesa estão separados para cada time. Também é utilizado em competições do tipo "cyber war games", que justamente simulam e treinam a capacidade de ataque e defesa do seu time de segurança.

Eu já vi também os termos "blue team" e "red team" serem usados algumas vezes como sinônimos de "hacker" e "cracker", ou "white hat" e "black hat".

Para aumentar ainda mais a diversidade de cores, também inventaram o "Purple Team" (!!!), formado pela combinação dos dois.

Para saber mais:

fevereiro 10, 2018

[Humor] Blocos de carnaval da galera de TI

Essa piada é repetida todos os anos, em todos os grupos e redes sociais em que faço parte, por isso resolvi publicá-la aqui no blog. Ainda mais agora, em que os blocos de carnaval viraram uma febre na cidade de São Paulo...
Saiu a lista dos blocos de TI, segue:
  • Todo mundo null
  • Array até o chão
  • Pega no meu Python
  • Hoje dou exception
  • Manda Node
  • Orienta meu objeto
  • Só no back-end
  • Esse anel não é de Ruby
  • Bloco das startups: Me acelera que eu desenvolvo
  • Quer uma máquina minha?
  • Bloco de notas
  • Tá Arduíno assopra
  • Byte que eu gamo
  • Bloco das QArmelitas
  • Shell na terra
  • Xor da Xuxa
  • SPAMta neném
  • EnCACHE aqui
  • Não valho nada mas JAVAli
  • Bloco Chain
Mas não se desespere, ainda dá tempo de aproveitar alguns blocos com temática geek, de verdade!


fevereiro 06, 2018

[Segurança] Notícias sobre ameaças em IoT

Constantemente vemos notícias sobre problemas de segurança e ciber ataques envolvendo dispositivos de Internet das Coisas (IoT). Provavelmente um dos primeiros casos aconteceu em 2014, quando foi descoberto que uma geladeira inteligente fazia parte de uma botnet para enviar SPAM, junto com outros dispositivos residenciais, como SmartTVs. Em 2016 a botnet Mirai causou um grande impacto na Internet em todo o mundo ao atacar o provedor Dyn, usando vários dispositivos IOT como parte da botnet (incluindo câmeras IP e gravadores de vídeo DVR.

Devido principalmente à implementações inseguras, diversos dispositivos conectados à Internet, incluindo TVs inteligentes, refrigeradores, microondas, câmeras de segurança e impressoras, vem sendo hackeados e frequentemente são usados para disparar ciber ataques. Um dos principais casos de uso malicioso de dispositivos IoT é o caso da botnet Mirai, surgida no final do ano passado e que causou um grande ataque DDoS contra o provedor DynDNS.


Sei que vai dar trabalho manter atualizado um post sobre este assunto,  por causa do grande volume de histórias que surgem o tempo todo, mas pretendo atualizar periodicamente este artigo com as principais notícias, para servirem de referência sobre o tema.

Para quem se interessa pelo tema, vale a pena seguir o perfil Internet of Shit no Twitter.

Vou aproveitar e separar as noticias de acordo com o tipo de dispositivo IoT afetado.


Smart Cities

Automóveis



Barcos

Aviões!
Trens
Bicicletas e Patinetes!?
Satélites !!!
Sistemas corporativos
Sistemas industriais
Dispositivos Médicos
Casas e Prédios Inteligentes

Home Devices



Home Devices - Assistentes pessoais


Home Devices - Smart TVs
Home Devices - Câmeras
Home Devices - Babás eletrônicas
    Home Devices - Pets
    Home Devices - Roteadores e equipamentos de rede
    Dispositivos pessoais
    Computação vestível ("wearable computing")
    Ferramentas inteligentes
    Brinquedos infantis ("smart toys")

    Brinquedos eróticos ("sex toys")
    Ciber ataques e Botnets
    Vulnerabilidades em geral

    Privacidade
    Regulação e Legislação
    Bônus: Artigos sobre segurança em IoT
    Bônus: Apresentação na SHA 2017 com um resumão dos problemas de segurança com IoT: "Best of IoT Fails"



    Bônus: Algumas estatísticas sobre o mercado de IoT

    Bônus: Artigos sobre usos interessantes de IoT:


    Bônus: Uma apresentação curta e interessante, feita na Criptorave 2017: "Pwn3d IoT - CryptoRave 2017"



    Bônus: Palestra do Luciano Lima no Mind The Sec São Paulo 2017: "Insegurança no Mundo IoT"


    Bônus: Vídeo bem divertidinho: 2019 Jingle Halloween IoT



    OBS: Post atualizado em 15/02/2018, e novamente em 20/02. Atualizado em 21/03. Atualizado em 03/04, em 19/04, 24/04 e 02/05.

    OBS: Atualização em 05/05/18: Segue abaixo minha palestra na CryptoRave 2018, "IoT Fofoqueiro", aonde citei alguns dos casos citados nesse post, destacando aqueles que tiveram vazamento de dados por dispositivos IoT inseguros.


    OBS: Post atualizado em 31/12/18. Incluí também um vídeo hilário do que acontece quando uma criança usa o Alexa (versão longa do vídeo aqui).

    OBS: Post atualizado em 15/01/19. Atualizado novamente em 28/01/19 e 30/01, com uma pequena revisão dos tópicos sobre dispositivos pessoais e vestíveis, e comecei a indicar quais notícias foram incluídas na atualização. Post atualizado novamente em 07/02, 08/02, 31/03, 17/04, 01/05/2019.

    OBS: Como tinham muitas notícias sobre assistentes pessoais como o Alexa, eu resolvi colocá-los em uma categoria a parte, pois estava tudo como "Home Devices" (01/05).

    OBS: Mais atualizações em 02/05 e criei uma categoria nova: "Regulação e Legislação". Atualizado em 10/05. Atualizado em 26 e 29/07. Atualizado em 04, 05/11 e 03/12/2019.

    OBS: Vale pena dar uma olhada nessa lista com os "Top 10 IoT Disasters of 2019" (adicionado em 30/12/2019).

    OBS: Post atualizado em 08/01/2020 (com algumas notícias de 2017... rs...).

    OBS: Post atualizado em 22/01/2020. Aproveitei para criar uma nova categoria, de "Home Devices - Câmeras", pois haviam muitas notícias sobre problemas com câmeras conectadas, e a categoria "Home Devices" já está bem grande.

    OBS: Post atualizado em 12 e 25/02/2020. Atualizado em 18, 27/04, 03 e 14/09. Atualizado em 02, 09 e 15/12/2020. Atualizado em 05, 09 e 19/02/2021. Atualizado em 08 e 17/03, em 06, 19 e 30/04, e nos dias 03, 05 e 19/05. Atualizado em 05, 17, 26 e 27/08. Atualizado em 09 e 30/09, 15/10 e 16/11. Atualizado em 17/01/2022 e 04, 08, 21, 28, 30 e 31/03, e em 09 e 14/06 e novamente em 14, 19 e 29/07. Atualizado em 30/08 e também em 08, 09, 13 e 30/09. Atualizado em 11 e 21/10 e também em 17, 18 e 25/11, novamente em 01 e 07+08+12+23/12. Atualizado em 06 e 09/01/2023. Atualizado em 06, 11 e 12/04. Atualizado em 01, 03 e 08+09, 18, 23 e 26/05. Atualização em 02, 12, 26 e 30/06. Update em 11, 17 e 20/07. Atualizado em 05/08, em 14+29/09 e 29/12. Atualizado em 04 e 08+09+10+15 e 17/01/2024, em 01, 11, 15, e 18/03, e também em 30/04 e 04+10+13/05 e 25/07, 29/08 e 03+04+23/09/2024, novamente em 01, 02, 03 e 15+18/10 e 07/11.

    OBS (30/09): A Lucimara Desidera, do CERT.BR, fez uma palestra interessante em uma Live sobre os Principais Ataques na Internet. Ela falou sobre ataques DDoS usando botnets baseadas em IoT, como a Mirai. Veja a apresentação dela aqui.