Se milhões de servidores, roteadores, comutadores e computadores pessoais estão abertos a hackers individuais, quanto mais a governos ou agências de inteligência desonestos? ⁃ TN Editor
Lucas Lundgren estava sentado em sua mesa enquanto observava as portas das celas da prisão a centenas de quilômetros de distância, abrindo e fechando.
Ele podia ver os vários comandos flutuando em sua tela em texto simples não criptografado. “Eu poderia até emitir comandos como 'todos os blocos de celular abertos'”, disse ele em um telefonema na semana passada. Sem estar lá, ele não poderia saber com certeza se suas ações teriam consequências no mundo real.
“Eu provavelmente só saberia lendo sobre isso no jornal no dia seguinte”, disse Lundgren, um consultor de segurança sênior da IOActive, antes de sua palestra Black Hat em Las Vegas na semana passada.
É porque as portas das celas são controladas por um protocolo de mensagens de código aberto pouco conhecido, mas popular conhecido como MQTT, que permite que sensores e dispositivos inteligentes conectados à Internet (IoT) de baixa potência se comuniquem com um servidor central usando pouca largura de banda - permitindo que os guardas prisionais controlem remotamente as fechaduras da porta de uma cela. O protocolo é usado em qualquer lugar - por amadores em casa, mas também em sistemas industriais como medidores e sensores de equipamentos, painéis eletrônicos e até dispositivos médicos.
Mas com muita frequência, os servidores que ouvem os dispositivos e enviam comandos não são protegidos com um nome de usuário ou senha, permitindo que qualquer pessoa com uma conexão à Internet examine um dos 87,000 servidores desprotegidos, de acordo com as verificações de porta de Lundgren.
“É uma situação assustadora”, disse ele. “Não apenas podemos ler os dados - isso é ruim o suficiente - mas também podemos gravar nos dados”.
Lundgren viu monitores cardíacos e bombas de insulina que atualizam constantemente os dados do protocolo para que um médico possa lê-los remotamente em uma página da web e fazer alterações, disse ele. “Se eu quisesse ser malicioso, provavelmente poderia mudar a insulina ou algo assim e ver o que acontece”, disse ele.
Ao longo de suas varreduras, ele encontrou servidores de todo o mundo, operando de tudo, desde automação residencial e sistemas de alarme a usinas nucleares, um acelerador de partículas - e até mesmo um oleoduto.
