fevereiro 06, 2018

[Segurança] Notícias sobre ameaças em IoT

Constantemente vemos notícias sobre problemas de segurança e ciber ataques envolvendo dispositivos de Internet das Coisas (IoT). Provavelmente um dos primeiros casos aconteceu em 2014, quando foi descoberto que uma geladeira inteligente fazia parte de uma botnet para enviar SPAM, junto com outros dispositivos residenciais, como SmartTVs. Em 2016 a botnet Mirai causou um grande impacto na Internet em todo o mundo ao atacar o provedor Dyn, usando vários dispositivos IOT como parte da botnet (incluindo câmeras IP e gravadores de vídeo DVR.

Devido principalmente à implementações inseguras, diversos dispositivos conectados à Internet, incluindo TVs inteligentes, refrigeradores, microondas, câmeras de segurança e impressoras, vem sendo hackeados e frequentemente são usados para disparar ciber ataques. Um dos principais casos de uso malicioso de dispositivos IoT é o caso da botnet Mirai, surgida no final do ano passado e que causou um grande ataque DDoS contra o provedor DynDNS.


Sei que vai dar trabalho manter atualizado um post sobre este assunto,  por causa do grande volume de histórias que surgem o tempo todo, mas pretendo atualizar periodicamente este artigo com as principais notícias, para servirem de referência sobre o tema.

Para quem se interessa pelo tema, vale a pena seguir o perfil Internet of Shit no Twitter.

Vou aproveitar e separar as noticias de acordo com o tipo de dispositivo IoT afetado.


Smart Cities

Automóveis



Barcos

Aviões!
Trens
Bicicletas e Patinetes!?
Satélites !!!
Sistemas corporativos
Sistemas industriais
Dispositivos Médicos
Casas e Prédios Inteligentes

Home Devices



Home Devices - Assistentes pessoais


Home Devices - Smart TVs
Home Devices - Câmeras
Home Devices - Babás eletrônicas
    Home Devices - Pets
    Home Devices - Roteadores e equipamentos de rede
    Dispositivos pessoais
    Computação vestível ("wearable computing")
    Ferramentas inteligentes
    Brinquedos infantis ("smart toys")

    Brinquedos eróticos ("sex toys")
    Ciber ataques e Botnets
    Vulnerabilidades em geral

    Privacidade
    Regulação e Legislação
    Bônus: Artigos sobre segurança em IoT
    Bônus: Apresentação na SHA 2017 com um resumão dos problemas de segurança com IoT: "Best of IoT Fails"



    Bônus: Algumas estatísticas sobre o mercado de IoT

    Bônus: Artigos sobre usos interessantes de IoT:


    Bônus: Uma apresentação curta e interessante, feita na Criptorave 2017: "Pwn3d IoT - CryptoRave 2017"



    Bônus: Palestra do Luciano Lima no Mind The Sec São Paulo 2017: "Insegurança no Mundo IoT"


    Bônus: Vídeo bem divertidinho: 2019 Jingle Halloween IoT



    OBS: Post atualizado em 15/02/2018, e novamente em 20/02. Atualizado em 21/03. Atualizado em 03/04, em 19/04, 24/04 e 02/05.

    OBS: Atualização em 05/05/18: Segue abaixo minha palestra na CryptoRave 2018, "IoT Fofoqueiro", aonde citei alguns dos casos citados nesse post, destacando aqueles que tiveram vazamento de dados por dispositivos IoT inseguros.


    OBS: Post atualizado em 31/12/18. Incluí também um vídeo hilário do que acontece quando uma criança usa o Alexa (versão longa do vídeo aqui).

    OBS: Post atualizado em 15/01/19. Atualizado novamente em 28/01/19 e 30/01, com uma pequena revisão dos tópicos sobre dispositivos pessoais e vestíveis, e comecei a indicar quais notícias foram incluídas na atualização. Post atualizado novamente em 07/02, 08/02, 31/03, 17/04, 01/05/2019.

    OBS: Como tinham muitas notícias sobre assistentes pessoais como o Alexa, eu resolvi colocá-los em uma categoria a parte, pois estava tudo como "Home Devices" (01/05).

    OBS: Mais atualizações em 02/05 e criei uma categoria nova: "Regulação e Legislação". Atualizado em 10/05. Atualizado em 26 e 29/07. Atualizado em 04, 05/11 e 03/12/2019.

    OBS: Vale pena dar uma olhada nessa lista com os "Top 10 IoT Disasters of 2019" (adicionado em 30/12/2019).

    OBS: Post atualizado em 08/01/2020 (com algumas notícias de 2017... rs...).

    OBS: Post atualizado em 22/01/2020. Aproveitei para criar uma nova categoria, de "Home Devices - Câmeras", pois haviam muitas notícias sobre problemas com câmeras conectadas, e a categoria "Home Devices" já está bem grande.

    OBS: Post atualizado em 12 e 25/02/2020. Atualizado em 18, 27/04, 03 e 14/09. Atualizado em 02, 09 e 15/12/2020. Atualizado em 05, 09 e 19/02/2021. Atualizado em 08 e 17/03, em 06, 19 e 30/04, e nos dias 03, 05 e 19/05. Atualizado em 05, 17, 26 e 27/08. Atualizado em 09 e 30/09, 15/10 e 16/11. Atualizado em 17/01/2022 e 04, 08, 21, 28, 30 e 31/03, e em 09 e 14/06 e novamente em 14, 19 e 29/07. Atualizado em 30/08 e também em 08, 09, 13 e 30/09. Atualizado em 11 e 21/10 e também em 17, 18 e 25/11, novamente em 01 e 07+08+12+23/12. Atualizado em 06 e 09/01/2023. Atualizado em 06, 11 e 12/04. Atualizado em 01, 03 e 08+09, 18, 23 e 26/05. Atualização em 02, 12, 26 e 30/06. Update em 11, 17 e 20/07. Atualizado em 05/08, em 14+29/09 e 29/12. Atualizado em 04 e 08+09+10+15 e 17/01/2024, em 01, 11, 15, e 18/03, e também em 30/04 e 04+10+13/05 e 25/07, 29/08 e 03+04+23/09/2024, novamente em 01, 02, 03 e 15+18/10.

    OBS (30/09): A Lucimara Desidera, do CERT.BR, fez uma palestra interessante em uma Live sobre os Principais Ataques na Internet. Ela falou sobre ataques DDoS usando botnets baseadas em IoT, como a Mirai. Veja a apresentação dela aqui.

    Nenhum comentário:

    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.