O Aquário inimigo

março 7, 2022 Editor

Reza a lenda que em meados de 2018 um cassino muito popular nos Estados Unidos resolveu instalar um aquário “Inteligente” de peixes em seu salão principal.

Basicamente a sobrevivência dos peixes estava nas mãos dessa inteligência artificial.

O ESQUEMA ERA O SEGUINTE:

O cronograma de alimentação dos peixes, assim como os níveis de sal e temperatura, eram automaticamente regulados, e o termostato podia enviar uma mensagem para o dono caso a água ficasse muito quente ou fria.
O dispositivo estava escondido em uma VPN, obviamente na tentativa de protegê-lo contra invasores.
Mas isso infelizmente não foi suficiente – o termostato, aparentemente inofensivo serviu como uma”porta de entrada” para outros pontos da rede local.

FINAL DA HISTÓRIA: O ESPIÃO VENCEU!

Constatou-se que o aquário vira-casaca tinha enviado 10GB de dados para algum lugar da Noruega.

A equipe de segurança penou para descobrir quais informações haviam caído nas mãos dos hackers, e a resposta foi:

a base de dados dos grandes apostadores do cassino.

Não se sabe especificamente que tipo de informação, mas sejam apenas nomes ou, em um cenário mais sério, dados de contato ou até números de cartões de crédito, o dano de reputação é incalculável.

O nome do cassino não foi divulgado, mas a casa de jogos foi obrigada a reportar o incidente para as vítimas do vazamento. A conclusão que podemos chegar, diante dessa história é meio óbvia, mas que, ainda assim, precisa ser dita: segurança está em TUDO, até naquilo que você NÃO VÊ!

As empresas que não querem colocar em risco os seus clientes – como fez este cassino desconhecido – não podem esquecer de algumas regras:

  • Proteger apenas dispositivos finais não é suficiente. Invasores podem atacar por meio de qualquer aparelho, por isso, soluções de segurança também devem ser instaladas em servidores e gateways. No mundo ideal, devem bloquear todos os contatos com o mundo externo que visem acesso por meio de portas desconhecidas ou protocolos ocultos.
  • Não permitir o acesso à internet para equipamentos que não precisem de conexão para realização de suas tarefas principais.
    Configurar todos os dispositivos IoT cuidadosamente, uma vez que ainda não suportam a instalação de soluções de segurança.
  • Realizar testes de penetração periódicos. Essas avaliações vão ajudar a encontrar problemas de segurança em estágios em que alguma medida de reparação seja possível, o que inclui falhas menos óbvias que podem levar a grandes problemas.

Ou, para facilitar a vida, você pode contratar uma Empresa de Segurança de Dados – já pensou sobre isso?

  • Nós da IT2S desenvolvemos um modelo próprio de serviço no qual atuamos como o time de privacidade e proteção de dados dos nossos clientes.

Nosso modelo de negócios foi desenvolvido pensando em startups e PMEs que não possuem um time especializado na área, mas precisam atender normas, regulamentações e exigências de mercado.

O serviço é composto por 6 módulos, cada módulo correspondendo a uma função em uma equipe de segurança, desde atividades estratégicas até atividades técnicas.

O cliente pode optar quais módulos são necessários no seu momento atual.

Dentre as atividades desenvolvidas estão:

-conformidade com as regulamentações de privacidade de dados;
– análise de risco;
– teste de intrusão;
– avaliação de segurança em fornecedores;
– conscientização dos colaboradores;
– implantação de um processo de desenvolvimento seguro, entre outras – até mesmo verificação de um “aquário inteligente”, caso você seja tenha um!

Solicitem um orçamento! Fale com a gente.

× Como posso te ajudar?