Proponha uma correção, faça uma sugestão
O Ransomware também já pode infectar um simples termóstato
A chegada da Internet aos nossos equipamentos do dia-a-dia representa novos desafios de segurança e de protecção de dados dos utilizadores. Cada vez mais são alvos de ataques e até podem ser usados para conseguirem eles próprios realizar novos ataques.
Se a este ecossistema juntarmos os mais recentes problemas de segurança, então a questão fica ainda maior. Dois investigadores mostraram aqui que até um simples termóstato pode ser atacado e, neste caso, ser vítima de ransomware.
Estes dois investigadores de segurança testaram a protecção que um simples termóstato e conseguiram com extrema facilidade bloqueá-la, obrigando ao pagamento de uma "quantia simbólica de 1 bitcoin".
Este aparelho, que permite aos utilizadores alterarem a imagem de fundo do seu mostrador e a configuração de outros elementos, corre uma versão de Linux. A falha está nas permissões que são dadas por este equipamento, que corre com o utilizador root. Há ainda o problema de não verificar o tipo de ficheiro que recebe, abrindo assim a porta para ser atacado.
Em poucos minutos foi possível correr um simples ficheiro javascript, escondido numa imagem, e exibir depois a mensagem de resgate. Os atacantes podem também controlar a temperatura dos termóstatos, aumentando-a ou diminuindo-a a seu gosto.
Os dois investigadores que descobriram este problema admitem que infectá-lo pode não ser tão simples como poderia ser esperado. Existe a necessidade de haver acesso físico ao equipamento, para que depois seja carregada, via cartão SD, a imagem infectada. Ultrapassado este passo, o mais difícil de todos, é possível aos atacantes controlar remotamente este termóstato.
Por ter sido descoberta imediatamente antes de ser apresentada, os investigadores optaram por omitir a marca destes termóstatos. A empresa que o fabrica já foi contactada para resolver este problema e proteger os seus equipamentos contra estes ataques.
Esta é apenas mais uma prova que a Internet das Coisas e todos os equipamentos associados precisam de ser bem protegidos contra vulnerabilidades de segurança. É uma área nova e onde ainda se anda a descobrir como pode ser usada, mas estas preocupações devem estar presentes desde o primeiro dia!
Thermostat Ransomware: a lesson in IoT security
Leia também: Ransomware: Sabe o que é e como se previne?
Este artigo tem mais de um ano
Loading ...
“quantia simbólica de 1 bitcoin” portanto 539.5€ é simbólico.
+1
Sim é “simbólico” face aos valores que tem sido pedido (e por vezes pago) nos resgates de equipamentos empresariais.
“The majority of ransom demands range from a few hundred to a few thousand dollars with several companies paying upwards of $10,000 or more.”
Como vês, este ataque de facto ao pé desse valor é “simbólico”.
para ti pode nao ser simbolico, mas para mim já é….
Fixe, podes dar-me o valor simbólico de 539.5€? Aceito paypal, transferência, e bitcoin.
Quantia simbólica de 1 bitcoin? Sendo que a cotação actual do bitcoin anda à volta de 540 euros, onde está o simbólico nisso ?
“simbólica de 1 bitcoin”… parece me que nao ando a ganhar o suficiente
ja tou a ver ai os arrumadores a pedir 1 bitcoin 🙂
NOTA:
O valor do BITCoin é pequeno, o governos centrais é que imprimem em demasia fazendo o valor do BITCoin aumentar, pois é minerado menos Bitcoins do que é impressas notas de papel… just saying.
essa “quantia simbólica” foi ironia não foi? ahah
Por 1 bitcoin mais vale comprar uma centena de termostatos ……
“admitem que infectá-lo pode não ser tão simples como poderia ser esperado. Existe a necessidade de haver acesso físico ao equipamento, para que depois seja carregada, via cartão SD, a imagem infectada.”
LoL
Eu sei que esta não é uma página sobre língua portuguesa mas, que diabo, termóstato? Com acento? Cruzes, credo!
Provavelmente estava a pensar-se em termómetros…
Abraço.
Abre um bocadinho o expectro e aceita que possam ser usadas palavras que não estejas habituado a usar. Neste caso qualquer uma delas serve e ambas estão certas, logo, termóstato pode e dever ser usada.
http://www.infopedia.pt/dicionarios/lingua-portuguesa/term%C3%B3stato
http://www.priberam.pt/dlpo/term%C3%B3stato
Que eu saiba um termostato serve para controlar temperatura, aumentar e reduzir, já um termómetro serve para medir temperatura.
Ok, aceito a correcção e, de facto, estava errado. E também conheço a diferença entre um termóstato e um termómetro. Não era essa a ideia.
Mas já agora, abrir o expectro? O que é isso? “Expectro” não existe em nenhum dos dicionários acima referidos. Até fica sublinhado a vermelho quando escrevo aqui neste comentário.
Sugestão: Alargar horizontes…
Obrigado.
é a “beleza” do IoT….
Opá, se é preciso acesso físico ao equipamento qual é o problema?
Ou alguém está a ver um ácaro vir lá da Roménia ou da China ir a casa duma qualquer pessoa, sem deixar qualquer vestígio de o ter feito, só para instalar um crack no termóstato?
Se fosse uma falha explorável remotamente seria um problema, mas assim não é.
A Parte dos comentários relativamente ao valor do bitcoin, bla bla bla. Neste equipamentos há um obstáculo a ultrapassar pelo “hacker” e outro pela empresa que desenvolveu o equipamento.
Primeiro é necessário acesso físico ao equipamento para colocar um cartão de memória o que por si já torna o ataque difícil. Por outro lado a empresa que desenvolveu o equipamento não deveria ter dado permissões de root a tudo e mais alguma coisa. Mas atenção que isto mostra um problema que existe na generalidade dos projectos que a malta desenvolve em casa com base no raspberry pi (Não sei se ao arduino se aplica o mesmo) que normalmente mete tudo a correr como root porque não sabem/ não querem saber como fazer as diferentes aplicações correrem com users separados ainda que no mesmo grupo….
Aìnda não consegui perceber a utilidade destas notìcias. Toda a gente sabe que qq aoarelho que tenha software ou firmware pode ser atacado è tudo uma questão de programação…
Serei só eu a ver a gravidade que é alguém poder controlar estes equipamentos que são no fundo a ‘segurança’ de muito equipamento doméstico e industrial?
Mr. Robot…
pra que serve o termostato numa moldura digital?