Henrique Carreiro em 2019-10-14

OPINIÃO

Desastres de segurança (in)evitáveis

Contra estas ameaças luta-se com informação e regulamentação, mas nos casos, que serão muitos, em que a regulamentação chega com atraso, informar e procurar informação são a única salvaguarda possível

Desastres de segurança (in)evitáveis

Um homem de Vancouver, no Canadá, confessou recentemente ser um dos responsáveis pela botnet “Satori” que foi usada para fazer ataques de negação de serviço (DoS) em larga escala contra fornecedores de serviços Internet, plataformas de jogos online e empresas de alojamento Web. 

Ele e outros, que entretanto não foram identificados, usaram fragilidades de segurança de dispositivos IoT, como câmaras de segurança, para criar autênticos exércitos de dispositivos que reagem a uma voz de comando comum para, em conjunto, atingirem alvos pré-determinados, com uma capacidade de interrogação capaz de paralisar os servidores e afogar linhas de comunicação. Mais de 700 mil dispositivos foram mobilizados para estes ataques. 

Naturalmente, o problema não está eliminado com esta detenção. Não só se desconhecem as identidades dos outros participantes, como o código que este grupo usou para os ataques é um refinamento do já usado em ataques anteriores, nomeadamente da botnet “Mirai”. Sobretudo, os dispositivos que foram infetados, assim o permanecem, uma vez que é custoso e difícil limpar dispositivos com tal dispersão geográfica. 

O equilíbrio entre conveniência e preço é difícil e leva a fragilidades nos múltiplos sistemas de que dependemos cada vez mais. Investigadores da Avast fizeram uma análise de localizadores GPS e os resultados são pouco menos que aterradores. 

Estes dispositivos, que são usados sobretudo para localização de pessoas frágeis, como crianças ou idosos, afinal contêm também enormes lapsos de segurança. Mais uma vez, estes são dispositivos repletos de compromissos, sobretudo nas gamas mais baixas. 

Depois, para responderem ao mercado, começaram a acumular características, que tornam mais complexo o planeamento de segurança. Normalmente, necessitam de recetor GPS, mas também de comunicação de dados via rede móvel e algum serviço na cloud, um “dashboard”, que indique as coordenadas de localização. 

O que os investigadores da Avast descobriram, entre outras falhas, é que estes dispositivos são fornecidos com uma palavra passe de origem que é simplesmente “123456”. Só para uma determinada plataforma popular, os responsáveis pelo estudo identificaram que mais de 600 mil utilizadores não tinha alterado esta password. Ora, o que está em causa é que é possível, a um utilizador malicioso, fazer precisamente o que estes dispositivos pretendem minimizar. 

Não apenas a comunicação é feita em claro, ou seja, não cifrada, como seria possível a um atacante mascarar o desaparecimento de alguém enviando dados falsos, ou adulterar a comunicação por forma a induzir em erro quem esteja a fazer vigilância. 

Adicionalmente, estes dispositivos, que na realidade são mini-telefones, dispõem com frequência de microfones. Trata-se, portanto, de um desastre de privacidade à espera de acontecer e que, para muitos utilizadores, poderá ficar não detetado por muito tempo. 

Contra estas ameaças luta-se com informação e regulamentação. Nos casos, que serão muitos, em que a regulamentação chega com atraso, informar e procurar informação são a única salvaguarda possível para tais desastres de segurança (in)evitáveis. 

ARTIGOS RELACIONADOS

Ataques DDoS continuam a aumentar
SECURITY

Ataques DDoS continuam a aumentar

LER MAIS

Ataques DDoS a instituições de ensino em ascensão
SECURITY

Ataques DDoS a instituições de ensino em ascensão

LER MAIS

Ataques DDoS: hackers estão a rentabilizar ameaça com recurso a criptomoedas
SECURITY

Ataques DDoS: hackers estão a rentabilizar ameaça com recurso a criptomoedas

LER MAIS

Recomendado pelos leitores

Os trabalhos e os dias da Intel, na saída do seu CEO
OPINIÃO

Os trabalhos e os dias da Intel, na saída do seu CEO

LER MAIS

2025 – A Bola de Cristal
OPINIÃO

2025 – A Bola de Cristal

LER MAIS

Cibersegurança: a responsabilidade que a Gestão de Topo não pode adiar
OPINIÃO

Cibersegurança: a responsabilidade que a Gestão de Topo não pode adiar

LER MAIS

IT CHANNEL Nº 113 DEZEMBRO 2024

IT CHANNEL Nº 113 DEZEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.