Henrique Carreiro em 2019-10-14
Contra estas ameaças luta-se com informação e regulamentação, mas nos casos, que serão muitos, em que a regulamentação chega com atraso, informar e procurar informação são a única salvaguarda possível
Um homem de Vancouver, no Canadá, confessou recentemente ser um dos responsáveis pela botnet “Satori” que foi usada para fazer ataques de negação de serviço (DoS) em larga escala contra fornecedores de serviços Internet, plataformas de jogos online e empresas de alojamento Web. Ele e outros, que entretanto não foram identificados, usaram fragilidades de segurança de dispositivos IoT, como câmaras de segurança, para criar autênticos exércitos de dispositivos que reagem a uma voz de comando comum para, em conjunto, atingirem alvos pré-determinados, com uma capacidade de interrogação capaz de paralisar os servidores e afogar linhas de comunicação. Mais de 700 mil dispositivos foram mobilizados para estes ataques. Naturalmente, o problema não está eliminado com esta detenção. Não só se desconhecem as identidades dos outros participantes, como o código que este grupo usou para os ataques é um refinamento do já usado em ataques anteriores, nomeadamente da botnet “Mirai”. Sobretudo, os dispositivos que foram infetados, assim o permanecem, uma vez que é custoso e difícil limpar dispositivos com tal dispersão geográfica. O equilíbrio entre conveniência e preço é difícil e leva a fragilidades nos múltiplos sistemas de que dependemos cada vez mais. Investigadores da Avast fizeram uma análise de localizadores GPS e os resultados são pouco menos que aterradores. Estes dispositivos, que são usados sobretudo para localização de pessoas frágeis, como crianças ou idosos, afinal contêm também enormes lapsos de segurança. Mais uma vez, estes são dispositivos repletos de compromissos, sobretudo nas gamas mais baixas. Depois, para responderem ao mercado, começaram a acumular características, que tornam mais complexo o planeamento de segurança. Normalmente, necessitam de recetor GPS, mas também de comunicação de dados via rede móvel e algum serviço na cloud, um “dashboard”, que indique as coordenadas de localização. O que os investigadores da Avast descobriram, entre outras falhas, é que estes dispositivos são fornecidos com uma palavra passe de origem que é simplesmente “123456”. Só para uma determinada plataforma popular, os responsáveis pelo estudo identificaram que mais de 600 mil utilizadores não tinha alterado esta password. Ora, o que está em causa é que é possível, a um utilizador malicioso, fazer precisamente o que estes dispositivos pretendem minimizar. Não apenas a comunicação é feita em claro, ou seja, não cifrada, como seria possível a um atacante mascarar o desaparecimento de alguém enviando dados falsos, ou adulterar a comunicação por forma a induzir em erro quem esteja a fazer vigilância. Adicionalmente, estes dispositivos, que na realidade são mini-telefones, dispõem com frequência de microfones. Trata-se, portanto, de um desastre de privacidade à espera de acontecer e que, para muitos utilizadores, poderá ficar não detetado por muito tempo. Contra estas ameaças luta-se com informação e regulamentação. Nos casos, que serão muitos, em que a regulamentação chega com atraso, informar e procurar informação são a única salvaguarda possível para tais desastres de segurança (in)evitáveis. |