Codificação

Os 20 exemplos e estatísticas de ataques de IoT mais famosos e mais comuns

Índice ocultar 1 Então, vamos começar conhecendo os tipos dos maiores ataques de IoT. 1.1 Diferentes tipos de ataques IoT:...

Escrito por Niel Patel · 7 min read >
IoT_segurança

Existem milhões, senão bilhões de dispositivos IoT em todo o mundo para capturar grandes quantidades de informações em tempo real. Se um dispositivo IoT for exposto aos invasores, as informações poderão fornecer ao invasor dados sobre as funções do dispositivo, a relevância do usuário com os dispositivos e até mesmo dados confidenciais sobre o usuário. 

Depois de obter todos os dados, os invasores podem explorar credenciais de login, dados de localização, dados de saúde e outras informações pessoais confidenciais para seu próprio interesse.

Simplesmente não é um ditado, mas aconteceu durante alguns dos ataques de IoT, que também este guia discutirá aqui. Mas antes de prosseguir, saiba que esses ataques podem ser de diversos tipos.

Então, vamos começar conhecendo os tipos de maiores ataques de IoT. 

Diferentes tipos de ataques IoT:

Dependendo do tipo de dispositivo IoT e das vulnerabilidades nele contidas e do método que os hackers usam para acessar o dispositivo, os ataques IoT podem variar. De acordo com as estatísticas e métodos, aqui estão alguns tipos e exemplos de ataques IoT.

malwares

Nesse ataque, o invasor envia malware para o dispositivo e abre possibilidades para que ele o utilize, caso seja bem-sucedido. O ransomware, por exemplo, tenta criptografar nosso dispositivo e depois exige um resgate para recuperar os arquivos. O malware pode se espalhar para outros dispositivos conectados à rede.

Força bruta

É sem dúvida um dos ataques mais comuns a dispositivos IoT. Os cibercriminosos tentam obter acesso a eles usando força bruta. Eles verificam as senhas mais comuns e utilizadas para comprometer as equipes das vítimas.

Spam

Outro ataque mais famoso é o spam. Um dispositivo IoT é mais suspeito de spam quando faz parte de uma botnet que envia spam para outros computadores. No entanto, um dispositivo também pode receber spam diretamente de um hacker, se contiver vulnerabilidades. Receber spam pode ser perigoso para a segurança de qualquer dispositivo IoT, pois pode ser um portal para malware ou malware ao qual a ameaça para todo o dispositivo de rede está conectada. 

Ataques DDOS

Os ataques DDOS são um dos ataques cruéis e exemplos comuns de ataques de IoT que afetam dispositivos IoT. Uma negação de serviço pode afetar não apenas um, mas todos os dispositivos da rede. Através deste ataque, o dispositivo pode ingressar em um sistema de bots controlado por cibercriminosos comprometer outros sistemas.

Roubo de informação

O roubo de informações é outra ameaça que os dispositivos IoT enfrentam. Nesse caso, o invasor coleta dados sobre funções do equipamento, histórico de navegação e assim por diante.

Estes são alguns dos tipos comuns de ataques a dispositivos IoT. Todos esses ataques foram vistos em dispositivos IoT em diversas ocasiões. E, além disso, este guia analisará 20 desses ataques. 

Os 20 principais exemplos de ataques de IoT famosos

Estes são os 20 ataques de IoT mais famosos que aconteceram até hoje. 

Ondulação 20

Ripple20 afetou toda a série da biblioteca TCP/IP de baixo nível desenvolvida pela Treck, Inc. Aproveitou as 19 vulnerabilidades existentes e afetou toda a biblioteca que existia nos diferentes IoT e dispositivos incorporados. 

Como resultado, o problema em uma biblioteca teve um efeito cascata em milhões de dispositivos em toda a rede de vários setores. Devido à variedade de dispositivos afetados, é um dos maiores ataques de IoT da atualidade. 

Ataque Rube-Goldberg

A Wired informou sobre o Ataque Rube-Goldberg, um hack de IoT cada vez mais popular, embora complexo. Ele explora uma vulnerabilidade conhecida como Devil's Ivy para redefinir a câmera para os padrões de fábrica e obter acesso root, oferecendo ao invasor controle total sobre ela.

Colapso e Espectro

O ataque Meltdown aproveita efeitos colaterais como vazamentos causados ​​por diferenças de tempo e análise de dados de recursos de implementação fora de ordem encontrados na maioria dos processadores modernos. Uma explicação mais detalhada pode ser encontrada no estudo de pesquisa Meltdown mencionado na referência. Ele contorna o recurso de segurança de isolamento de memória que garante que o intervalo de endereços do kernel esteja inacessível e protegido contra acesso do usuário entre programas aplicativos do usuário. Assim, o ataque teve sucesso ao buscar os dados do sistema operacional e também de outros programas para passar as informações aos outros invasores. 

Ataque Rolljam

O ataque teve como alvo os carros e como eles operam. Durante o ataque, o atacante tem como alvo o carro e o tranca com a ajuda do sinal de rádio. E quando o proprietário tenta destravar o carro, o invasor lê o sinal, decodifica-o e usa-o para operar o carro. O ataque foi desenvolvido por Samy Kamkar com a ajuda de um dispositivo com o mesmo nome do ataque, RollJam. 

Vulnerabilidades do Sweyntooth

O ataque consiste em uma família de 18 vulnerabilidades. As falhas na implementação do BLE vieram à tona à medida que as vulnerabilidades se espalharam por vários kits de desenvolvimento de software Bluetooth Low Energy (SDKs) dos principais sistemas em chips (SoCs). Em aplicações específicas, um adversário dentro do alcance do rádio pode causar travamentos, impasses, desvios de segurança, buffer overflows e assim por diante. Afetou vários dispositivos IoT de diferentes fornecedores que usavam a pilha BLE vulnerável.

CloudPets

Os pesquisadores encontraram vulnerabilidades nos brinquedos infantis chamados CloudPets. O brinquedo inclui graves falhas de segurança, que levam qualquer pessoa com diâmetro inferior a 10 metros a assumir o controle do brinquedo. Além disso, os invasores podem enviar e receber mensagens de/para as crianças.

Ataque Bluetooth no Tesla Model X

O ataque expôs a vulnerabilidade no sistema de entrada do modelo. Acontece que os pesquisadores de segurança podem arrombar o carro em apenas 90 segundos. O ataque não causa nenhum dano sério. No entanto, foi um grande revés para Tesla e também exemplos sérios de hack de IoT. O invasor aproveitou a vulnerabilidade no mecanismo de atualização de firmware do chaveiro via Bluetooth, permitindo-lhe infectar o chaveiro com firmware malicioso.

Hack de segurança e controle da Nortek

Em maio de 2019, a Applied Risk, uma empresa de segurança cibernética, descobriu dez vulnerabilidades em dispositivos Nortek Linear eMerge E3 que podem permitir que hackers sequestrem detalhes de login, assumam o controle de um dispositivo (por exemplo, abrir/travar portas), instalar um vírus, também como lançar ataques DoS enquanto contorna as medidas de segurança existentes.

O hack da webcam TRENDnet

O ataque foi suspeito com as câmeras TRENDnet. Como contêm software defeituoso, os invasores podem hackear facilmente após obterem seu IP. A FTC confirmou todos os vulnerabilidades ao ataque. Que afirmou ainda que o software também pode dar acesso aos invasores às informações legíveis do usuário, como credenciais, e à câmera do aplicativo móvel armazenada nas informações de login dos consumidores. 

Vulnerabilidades do SmartWatch M2

O smartwatch M2, fabricado pela Shenzhen Smart Care Technology Ltd., apresentava falhas que permitiam que invasores ouvissem e explorassem conversas, bem como vazassem dados pessoais e de GPS dos usuários. Também foi descoberto que o TicTocTrack, um smartwatch, apresenta falhas de segurança que permitem que hackers rastreiem e liguem para crianças.

Amnésia:33

O ataque teve como alvo os quatro ataques TCP/IP de código aberto e usou seus pontos fracos, como falta de gerenciamento de memória e autenticações de entrada, para realizar a execução remota de código, ataques DoS e ataque de informações. Como essas quatro pilhas TCP/IP foram utilizadas nos diversos dispositivos IoT, o ataque ficou na faixa da categoria de ataque grave, a mesma do Ripple20. 

Ataque BLESA

O BLESA é uma abreviatura de Bluetooth Low Energy Spoofing Attack. Ele também explora a vulnerabilidade de implementação da pilha de software BLE. O ataque de falsificação de baixa energia do Bluetooth aproveita uma falha na execução da pilha de software BLE. Esta vulnerabilidade está vinculada ao procedimento de reconexão do BLE, que envolve a reconexão de duas conexões de rede anteriores. 

De acordo com a análise da especificação BLE, os pesquisadores descobriram que a especificação BLE não requer autenticação durante toda a reconexão. Apesar de aderir à especificação, a implementação do fornecedor pode tornar opcional a parte de autenticação de reconexão, tornando-a vulnerável a ataques.

Hack de alto-falantes inteligentes da Amazon

Google, Amazon e Apple enfrentaram críticas no ano passado, depois que pesquisas revelaram que os funcionários das empresas podem ouvir as conversas. A Amazon ganhou destaque em abril por um motivo semelhante, depois que um relatório revelou que a empresa emprega vários auditores para ouvir as conversas gravadas dos usuários do Echo.

As vulnerabilidades ilimitadas do LeapPad 

Os pesquisadores demonstraram falhas no LeapPad Ultimate, um tablet durável fabricado pela LeapFrog que fornece produtos com uma variedade de aplicativos educacionais, de jogos e de e-books, que podem permitir que um invasor rastreie os dispositivos, envie mensagens para crianças ou libere homens. ameaças intermediárias na Black Hat USA 2019.

O hack do jipe

O ataque foi relatado por ninguém menos que a IBM. O relatório revelou que os pesquisadores conseguiram acessar o Jeep SUV usando o barramento CAN.

O relatório esclarece como os invasores podem usar a rede celular Sprint para explorar as vulnerabilidades presentes no jipe. Ao obter o controle do jipe, os hackers podem controlar a velocidade e o sistema de travamento do jipe.

Ataque de fechaduras inteligentes

Os pesquisadores descobriram falhas em uma fechadura inteligente popular que pode permitir que invasores destranquem portas e entrem nas casas sem fio. Hickory Hardware, fabricante do smart lock, lançou correções de bugs para os aplicativos afetados nas lojas de aplicativos como Google Play e Apple App Stores. Não é a única fechadura inteligente, os pesquisadores alertaram que a fechadura inteligente do U-Ultraloq tec tinha uma falha que permitia aos invasores rastrear a localização do dispositivo.

Ataque às câmeras do Airbnbs 

Em 2019, vários incidentes envolvendo câmaras e dispositivos interligados em pensões e Airbnbs levantaram questões de privacidade, incluindo uma falha nos robôs Tapia nos quartos de um hotel, utilizados no lugar de funcionários humanos. Os dispositivos apresentavam vulnerabilidades que podem facilmente conceder acesso a um hacker. Num incidente relacionado, o Airbnb foi repreendido em 2019, depois que os hóspedes alegaram que câmeras escondidas conectadas os estavam gravando nas casas do Airbnb onde residiam. 

Ataque de botnet Mirai

A botnet usava dispositivos IoT inseguros com portas Telnet abertas e credenciais fracas/padrão. Ele tem como alvo dispositivos IoT localizados em locais inacessíveis que não podem ser corrigidos remotamente.

Os invasores usaram o mesmo ataque do ataque DDoS em várias outras plataformas, como o site de Brian Krebs e no ataque cibernético Dyn. Principalmente o ataque converteu os dispositivos IoT inseguros em bots. 

O ataque aos dispositivos cardíacos

A FDA evitou e descobriu o ataque aos dispositivos cardíacos implantáveis ​​da St. Jude Medical. O FDA descobriu que os hackers podem facilmente hackear os dispositivos para esgotar a bateria do dispositivo e também causar estimulação incorreta ou choque. O ataque é um dos muitos exemplos de ataques cibernéticos à IoT que foram evitados, mas que, por outro lado, têm o poder de colocar vidas em perigo. 

Vulnerabilidades de anel de propriedade da Amazon

 Os pesquisadores descobriram várias falhas neste dispositivo IoT, incluindo uma que permitia que invasores espionassem famílias e outra que expusesse senhas de redes Wi-Fi. No entanto, as políticas de privacidade da Ring também atraíram críticas: a Ring também reconheceu que está trabalhando com mais de 600 agências policiais para fornecer-lhes acesso às imagens das câmeras.

Esses foram os 20 ataques e vulnerabilidades que causaram preocupações até agora. Agora vamos dar uma olhada em alguns dos aspectos importantes Estatísticas de ataques IoT para ter uma ideia mais clara sobre por que os especialistas deveriam se preocupar com a segurança dos dispositivos IoT.  

Estatísticas de ataques IoT

  • Quase 30% dos negócios incluem dispositivos IoT em sua infraestrutura, porém, devido à falta de pessoal experiente, as empresas sempre enfrentam ameaças de segurança e violações de dados. 
  • O mercado de IoT cresceu para 15.8 bilhões de dólares, o que leva à grande exigência de estruturas de segurança, já que os dispositivos IoT só permanecem seguros até que alguém encontre anomalias neles. 
  • Nos últimos dois anos, a indústria de IoT enfrentou mais de 1.5 bilhão de violações de IoT. A maioria dos ataques aconteceu no principal protocolo utilizado pelos dispositivos IoT, o protocolo de acesso remoto Telnet. O motivo mais comum para a maioria dos ataques foi a mineração da criptomoeda. 
  • De todos os intervenientes e indústrias, a indústria que adotou dispositivos IoT em maior escala (50%) é a indústria financeira. A adoção do dispositivo IoT torna-se inevitável, porém também coloca a indústria sob a ameaça de violações de segurança cibernética.

Isso é tudo. O guia tentou cobrir informações importantes sobre os tipos de ataques de IoT mais comuns, os 20 ataques de IoT mais famosos e as estatísticas de ataques de IoT.

jogo de cartas

O Unity é apenas para jogos? 

Niel Patel in Codificação
  ·   6 min read

Deixe um comentário

Translate »