O ano de 2016 pode ficar marcado como o da disseminação de ataques distribuídos de negação de serviço (DDoS) usando objetos conectados à internet das coisas (IoT). Dados atualizados dos sensores do CERT.br mostram uma explosão de endereços IP únicos infectados com Mirai, desde sua primeira aparição em agosto deste ano. No mês seguinte, entre dias 20 e 22/09, o ataque DDoS ao blog Brian Krebs de 620 Gbps chamou atenção por ter sido mais que o dobro do maior ataque de negação de serviço até então, que havia sido 00 Gbps. O ataque ao blog partiu principalmente de câmeras envolvidas, explicou Miriam von Zuben, do NIC.br, durante painel no IX (PTT) Fórum 10, que ocorre durante a a VI Semana de Infraestrutura da Internet no Brasil, evento realizado entre os dias 5 e 9 de dezembro em São Paulo. O aumento dos ataques usando dispositivos IoT está relacionado a falhas de segurança por parte dos fabricantes que não têm demonstrado preocupação com a segurança e com a autenticação tanto para conectar e receber comandos como para fazer atualizações. Há ainda um desafio adicional em IoT, que é o fato de haver um chipset ligado a diversos fabricantes. Como exemplo, Miriam von Zuben citou que dentre os fabricantes nacionais de câmeras, são encontrados somente chipsets Dahua e Xiongmai.   Os ataques DDoS têm sido objeto de estudo do CERT.br. Em 2014, a entidade registrou um aumento de 217 vezes nas notificações de ataques DDoS em relação a 2013, sendo a maior parte das notificações de ataques DRDoS a partir do Brasil. Em 2015, notificação de ataques DDoS foram 89% menor que 2014, mas apesar de ter diminuído houve registro de comportamento mais relacionado à internet das coisas, com aumento de scans de Telnet — scans visando a equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi.  Agora, o foco dos ataques mira dispositivos com versões “enxutas” de Linux para sistemas embarcados e arquiteturas ARM, MIPS, PowerPC etc. A especialista ressaltou que existe uma grande base IoT vulnerável, sem gerência remota, sem instalação de patches, com autenticação fraca e backdoors do fabricante, além de configurações padrão de fábrica inseguras. “Os ataques acontecem devido à vulnerabilidade das máquinas”, apontou, explicando que a propagação do malware ocorre via Telnet (23/TCP e 2323/TCP) explorando senhas fracas ou padrão e via protocolos vulneráveis (7547/TCP e 5555/TCP). Como prevenção, Miriam von Zuben sugere ser criterioso ao escolher o fornecedor, verificando se possui política de atualização de firmware, o histórico de tratamento de vulnerabilidades e identificando qual é o chipset. Verificar histórico de tratamento de vulnerabilidades do fabricante do chipset, fazer testes antes de comprar e checar se é possível desabilitar serviços desnecessários e trocar senhas são outras recomendações.   Além disto, deve-se desabilitar serviços desnecessários, mudar senhas padrão e manter os equipamentos atualizados.