Brasil,

IoT: 2 milhões de dispositivos já foram afetados. O que fazer?

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Wilians Geminiano
  • SEGS.com.br - Categoria: Info & Ti
  • Imprimir

Tim Berghoff (*)

As mais recentes análises de vulnerabilidade na Internet das Coisas sinalizam que mais de dois milhões de dispositivos IoT são afetados por algum tipo de vulnerabilidade atual, permitindo que invasores controlem webcams e outros dispositivos afetados. No entanto, no momento não existe uma correção efetiva que possa ser vista pelas empresas.

O que aconteceu?

Existem duas falhas de segurança no iLnkP2P, uma das várias soluções P2P utilizadas pelos fabricantes de dispositivos, entre elas Shenzen Yunni Technologies. Uma delas permite que um invasor se conecte a um dispositivo arbitrário e o outro coloca os usuários não autorizados em condições de roubar dados de acesso ao dispositivo e assumir o controle total. Isso é um grande problema, especialmente se uma webcam afetada for colocada em uma área como o quarto de uma criança ou seu quarto.

Muitos dispositivos inteligentes fazem uso de componentes “prontos para uso” e parte deles é uma tecnologia de comunicação peer-to-peer (P2P), que garante uma comunicação entre os dispositivos. A terceirização de componentes de fornecedores externos é uma prática comum em muitos setores da indústria. Por exemplo, os fabricantes de carros geralmente compram determinados grupos de componentes, como chicotes elétricos de fornecedores externos. Como consequência, quaisquer problemas com um componente de um determinado fornecedor afetam vários outros da cadeia. Entre os afetados pelas falhas de segurança estão nomes como VStarcam, Eye Sight e HiChip. Listar todos os fornecedores afetados seria muito difícil, como fez Paul Marrapese, que descobriu as falhas de segurança e comentou em um artigo em seu blog.

A maneira como esse incidente foi tratado pelo fornecedor não é aceitável. Recusar-se a comunicar sobre questões como estas com os pesquisadores envia um sinal que não é apenas prejudicial para a própria empresa, mas também para os clientes para quem fornecem soluções. Muitas coisas poderiam ter sido - e deveriam ter - tratadas de maneira diferente neste caso. Incidentes como este têm a capacidade de minar completamente a confiança dos usuários tanto em tecnologias quanto em fornecedores.

Sem resposta

Neste ponto, uma correção não está sendo apresentada e é improvável que haja uma em breve, dado que o fornecedor do iLnkP2P não reagiu a várias tentativas de entrar em contato com eles. O pesquisador Paul Marrapese tornou as vulnerabilidades públicas depois de três meses de tentativas.

Mitigação e contramedidas

Existe uma maneira de se descobrir se um dispositivo é afetado pelos problemas descritos aqui. Em um adesivo, geralmente localizado na parte inferior ou traseira de um dispositivo, você encontrará uma identificação UID. Com base nos primeiros três a cinco caracteres, é possível verificar se o dispositivo é suscetível a ataques usando essa vulnerabilidade. Uma lista com UIDs afetados conhecidos pode ser encontrada em https://hacked.camera/.

Existem poucas estratégias eficazes de mitigação. Uma delas consiste em bloquear certos tipos de tráfego (UDP na porta 32100) usando um firewall. A medida mais eficaz é substituir um dispositivo afetado por um de um fornecedor respeitável.

(*) Especialista em Segurança Digital da G Data, fornecedora de soluções antivírus distribuídas no Brasil pela FirstSecurity.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar