IoT e Operational Technology: Superfícies de Ataque em Dispositivos Conectados
A Internet das Coisas não é mais promessa — é infraestrutura. Bilhões de dispositivos conectados monitoram lares, operam fábricas, controlam redes elétricas e gerenciam tráfego urbano. O problema: a maioria foi construída para funcionar, não para resistir a ataques. Quando um pentester olha para um ecossistema IoT, enxerga o paraíso — credenciais hardcoded, firmware desatualizado sem mecanismo de patch, protocolos inseguros e interfaces web expostas. No lado industrial, o cenário é ainda mais crítico: sistemas SCADA e PLCs que controlam usinas, refinarias e estações de tratamento de água foram projetados para operar em isolamento, não para sobreviver na internet.
Para o exame CEH v13, o domínio de IoT e OT é cada vez mais relevante. O exame testa desde a arquitetura de dispositivos conectados até técnicas de análise de firmware, enumeração via Shodan e exploração de protocolos industriais. Este artigo cobre a teoria e a prática — dos fundamentos ao hands-on com ferramentas reais.
1. A Revolução IoT e o Risco
O termo Internet of Things foi cunhado por Kevin Ashton em 1999, mas a explosão só aconteceu na última década. Em 2024, o número de dispositivos IoT ativos globalmente ultrapassou 18 bilhões, e projeções indicam mais de 30 bilhões até 2030. Cada um desses dispositivos é uma superfície de ataque potencial.
A IoT se divide em dois mundos com características radicalmente diferentes:
Consumer IoT
Smart TVs, câmeras IP, assistentes virtuais (Alexa, Google Home), geladeiras inteligentes, wearables, lâmpadas conectadas, termostatos, fechaduras eletrônicas, brinquedos conectados. Esse mercado é impulsionado por:
- Custo mínimo: Fabricantes competem por preço, não por segurança. Um componente de segurança que custa $0.50 pode ser cortado para reduzir o preço de varejo.
- Time-to-market: Primeiro a lançar, primeiro a vender. Segurança é feature de segunda prioridade — se é feature.
- Ciclo de vida curto: Dispositivos consumer são substituídos em 2-3 anos, mas permanecem conectados e vulneráveis por muito mais tempo.
- Ecosistema fragmentado: Dezenas de fabricantes, cada um com firmware próprio, atualizações inconsistentes (ou inexistentes).
Industrial IoT (IIoT) e OT
Sensors em plantas industriais, controladores de acesso, sistemas HVAC de grande porte, medidores inteligentes de energia, equipamentos médicos conectados, sistemas de irrigação agrícola. Características opostas:
- Ciclo de vida longo: Equipamentos industriais operam por 15-30 anos. Um PLC instalado em 2005 pode estar rodando firmware de fábrica.
- Disponibilidade acima de tudo: A regra da OT é “uptime is king”. Desligar um sistema para aplicar patches pode parar uma linha de produção e custar milhões.
- Protocolos proprietários: Muitos protocolos industriais foram projetados sem autenticação nem criptografia — porque operavam em redes fisicamente isoladas.
- Convergência IT/OT: A migração para redes IP e conectividade remota expôs sistemas que nunca foram projetados para internet. Essa convergência é o maior vetor de risco atual.
A matemática é implacável: bilhões de dispositivos + segurança negligenciada + exposição crescente à internet = superfície de ataque em expansão geométrica. O CEH precisa entender essa dinâmica porque ela define o campo de batalha.
2. Arquitetura IoT — Layers do Ecossistema
Um sistema IoT típico segue uma arquitetura em camadas. Cada camada introduz vetores de ataque específicos. Entender a arquitetura é o primeiro passo para identificar onde os gaps de segurança se formam.
Camada de Percepção (Perception Layer)
A camada mais próxima do mundo físico. Inclui sensores (temperatura, movimento, umidade, gás), atuadores (relés, motores, válvulas) e dispositivos de coleta de dados. Os componentes dessa camada geralmente operam com recursos extremamente limitados — processadores de 8 ou 16 bits, poucos KB de RAM, sem capacidade criptográfica nativa.
Vetores de ataque: Intercepção de sinais de sensores, spoofing de dados de sensores, tampering físico de dispositivos, side-channel attacks em chips de baixo custo.
Camada de Rede (Network Layer)
Responsável pela comunicação entre dispositivos e entre dispositivos e gateways/cloud. É aqui que os protocolos IoT operam — e onde as vulnerabilidades mais exploráveis residem.
Protocolos principais:
- Wi-Fi (802.11): Alta largura de banda, alto consumo de energia. Usado em câmeras IP, smart TVs, assistentes virtuais. Sujeito a todos os ataques wireless tradicionais.
- Bluetooth Low Energy (BLE): Baixo consumo, alcance limitado (~10-100m). Usado em wearables, beacons, sensores médicos. Vulnerável a sniffing passivo, spoofing e Man-in-the-Middle.
- Zigbee: Mesh networking de baixa potência (IEEE 802.15.4). Usado em automação residencial (lâmpadas, tomadas inteligentes, sensores). Suporta até 65.000 nós por rede.
- Z-Wave: Protocolo proprietário para automação residencial. Mesh de baixa potência. Cada rede suporta até 232 dispositivos.
- LoRaWAN: Long Range WAN para IoT. Alcance de até 15 km em área rural. Usado em smart cities, agricultura, logística. Baixa largura de banda (0.3-50 kbps).
- 6LoWPAN: IPv6 sobre redes de baixa potência (IEEE 802.15.4). Permite endereçamento IP direto em dispositivos constrained.
Vetores de ataque: Sniffing de tráfego não criptografado, jamming (interferência deliberada), replay attacks, spoofing de endereços MAC, exploração de keys de rede padrão.
Camada de Processamento (Processing Layer)
Inclui gateways, edge devices e a infraestrutura cloud que recebe, processa e armazena dados dos dispositivos. Gateways IoT são particularmente críticos — são o ponto de agregação onde múltiplos dispositivos constrained convergem para uma plataforma mais capaz.
Vetores de ataque: Comprometimento do gateway (ponto único de falha), exploração de APIs cloud mal protegidas, injeção de dados maliciosos na pipeline de processamento, ataques à infraestrutura cloud (buckets S3 expostos, databases sem autenticação).
Camada de Aplicação (Application Layer)
Aplicativos mobile, dashboards web, interfaces de gerenciamento, APIs REST/GraphQL que permitem controle remoto dos dispositivos. É a camada mais visível para o usuário e, muitas vezes, a mais mal protegida.
Vetores de ataque: APIs sem autenticação, interfaces web com vulnerabilidades comuns (XSS, SQLi, CSRF), apps mobile com credenciais hardcoded, sessões mal gerenciadas, falta de MFA.
3. Protocolos IoT — Por Que São Vulneráveis
Os protocolos de comunicação IoT foram projetados para eficiência, não para segurança. Em dispositivos com poucos kilobytes de RAM, cada byte conta — e criptografia é cara em termos computacionais. O resultado é uma coleção de protocolos com proteções frágeis ou inexistentes.
MQTT (Message Queuing Telemetry Transport)
O MQTT é o protocolo de mensagens mais usado em IoT. Usa modelo publish/subscribe sobre TCP (porta 1883 por padrão, 8883 para TLS). Leve, rápido, projetado para redes com alta latência e largura de banda limitada. Três componentes: broker (servidor central), publisher e subscriber.
Vulnerabilidades típicas:
- Autenticação ausente por padrão: Muitos brokers MQTT operam sem autenticação. Qualquer cliente pode publicar ou assinar qualquer topic.
- ACLs ausentes: Mesmo com autenticação habilitada, se não há controle de acesso por topic, qualquer usuário autenticado pode interagir com qualquer topic — incluindo os que controlam atuadores físicos.
- Tráfego em plaintext: Na porta 1883 (padrão), todas as mensagens são transmitidas sem criptografia. Credenciais, comandos de controle e dados sensíveis viajam em claro.
- Weak credentials: Quando autenticação existe, frequentemente usa credenciais fracas ou compartilhadas entre todos os dispositivos.
CoAP (Constrained Application Protocol)
Protocolo RESTful para dispositivos constrained, operando sobre UDP (porta 5683). Usa métodos semelhantes ao HTTP (GET, POST, PUT, DELETE) mas com headers muito menores. Suporta DTLS para criptografia, mas não é obrigatório.
Vulnerabilidades: Tráfego UDP sem criptografia, sem autenticação por padrão, suscetível a spoofing e amplification attacks (DTLS tem handshake pesado para dispositivos constrained).
Zigbee (IEEE 802.15.4)
Zigbee usa chaves de rede para criptografia AES-128, mas o processo de joining (um novo dispositivo entrando na rede) é o calcanhar de Aquiles. Muitas implementações usam uma network key padrão hardcoded pelo fabricante — e que nunca é alterada pelo usuário. O ZigBee Alliance Link Key padrão era publicamente conhecido, permitindo a qualquer dispositivo “falso” ingressar na rede.
Z-Wave
Protocolo proprietário que usa AES-128 para criptografia. A vulnerabilidade histórica era a S0 security frame que não era obrigatória — muitos dispositivos operavam sem criptografia. O Z-Wave Security 2 (S2 framework) corrigiu isso, mas dispositivos legados continuam vulneráveis. Em 2019, pesquisadores demonstraram um ataque de downgrade que forçava dispositivos S2 a usar S0.
BLE (Bluetooth Low Energy)
BLE usa pairing com troca de chaves, mas implementações falhas são comuns. O BLESA (Bluetooth Low Energy Spoofing Attack) demonstrado em 2020 permite que um atacante forje conexões com dispositivos previamente pareados. Ataques de sniffing com hardware barato (como Ubertooth ou mesmo dongles Bluetooth em monitor mode) podem capturar pairing e recuperar chaves em implementações com PIN fraco.
4. Vulnerabilidades IoT — Os Mesmos Erros de Sempre
As vulnerabilidades em dispositivos IoT são surpreendentemente consistentes. Independentemente do fabricante, categoria ou preço, os mesmos erros se repetem. O OWASP IoT Top 10 documenta os mais críticos.
Credenciais Padrão (Default Credentials)
O problema número um. Câmeras IP com admin/admin, roteadores com senha em branco, gateways IoT com credenciais hardcoded impossíveis de alterar. O Mirai botnet explorou exatamente isso — uma lista de 62 combinações default de usuário/senha foi suficiente para comprometer 600.000+ dispositivos.
Muitos dispositivos sequer permitem alterar as credenciais. O usuário final não tem interface para fazer isso, ou a funcionalidade existe mas é obscura, quebrada ou requer acesso shell.
Sem Criptografia
Dados transmitidos e armazenados em plaintext. HTTP em vez de HTTPS, MQTT na porta 1883 em vez de 8883, FTP em vez de SFTP, telnet em vez de SSH. O tráfego entre dispositivo e cloud frequentemente mistura canais criptografados e não-criptografados.
Sem Mecanismo de Atualização
O dispositivo sai de fábrica e nunca recebe uma atualização de firmware. Não há mecanismo de update automático, o fabricante não publica patches, ou o usuário não sabe como aplicar. Alguns dispositivos nem verificam integridade do firmware — permitindo injeção de firmware malicioso via update falso (man-in-the-middle no canal de distribuição).
Interfaces Web Sem Autenticação
Muitos dispositivos IoT expõem interfaces de gerenciamento via HTTP em portas padrão (80, 8080, 443). Essas interfaces frequentemente rodam servidores web minimalistas (como mini_httpd ou lighttpd) com vulnerabilidades conhecidas. Comandos de diagnóstico (ping, traceroute, logs) expostos sem autenticação permitem command injection direto.
UPnP (Universal Plug and Play)
O UPnP foi projetado para facilitar a vida — dispositivos mapeiam automaticamente portas no roteador sem intervenção do usuário. Um dispositivo IoT pede ao roteador “abre a porta 8080 para o meu IP” e pronto: o dispositivo está acessível da internet. Atacantes podem explorar vulnerabilidades no UPnP itself (buffer overflows no SSDP) ou usar o mapeamento automático para expor dispositivos internos.
Hardcoded Secrets
Chaves de criptografia, tokens de API, credenciais de cloud, chaves SSH — tudo hardcoded no firmware. Uma vez que o atacante extrai o firmware e analisa o binário, tem acesso a todos os secrets. Reverse engineering de firmware IoT é trivialmente simples (ver seção 6).
5. OT e ICS Security — Quando o Ataque Para Produção
Operational Technology (OT) é o termo guarda-chuva para hardware e software que detectam ou causam mudanças em processos industriais através de monitoramento e/ou controle direto de dispositivos físicos. Industrial Control Systems (ICS) é a categoria que engloba SCADA, DCS (Distributed Control Systems) e PLCs (Programmable Logic Controllers).
SCADA (Supervisory Control and Data Acquisition)
Sistemas SCADA monitoram e controlam processos distribuídos geograficamente — redes elétricas, oleodutos, sistemas de água e esgoto. Componentes típicos:
- MTU (Master Terminal Unit): O servidor central que coleta dados e envia comandos.
- RTU (Remote Terminal Unit): Dispositivos de campo que interfaceiam com sensores e atuadores.
- HMI (Human-Machine Interface): Interface visual para operadores humanos.
- Historian: Database que armazena dados históricos do processo.
PLCs (Programmable Logic Controllers)
Computadores industriais robustos que executam programas de controle em tempo real. Recebem entradas de sensores, executam lógica programada (ladder logic, structured text) e controlam saídas físicas (válvulas, motores, aquecedores). Fabricantes principais: Siemens, Rockwell/Allen-Bradley, Schneider Electric, ABB, Mitsubishi.
Protocolos Industriais
| Protocolo | Camada | Porta | Criptografia | Autenticação |
|---|---|---|---|---|
| Modbus TCP | Aplicação | 502 | Nenhuma | Nenhuma |
| DNP3 | Aplicação | 20000 | Nenhuma (Secure DNP3 existe) | Nenhuma |
| S7comm | Aplicação (Siemens) | 102 | Nenhuma | Senha fraca |
| OPC UA | Aplicação | 4840 | Opcional (TLS) | Certificados/X.509 |
| IEC 104 | Aplicação | 2404 | Nenhuma | Nenhuma |
| EtherNet/IP | Aplicação | 44818 | Nenhuma | Nenhuma |
| CIP | Aplicação (Rockwell) | 44818/2222 | Nenhuma | Nenhuma |
Observe: a maioria dos protocolos industriais não possui criptografia nem autenticação. Isso não é um bug — é um design decision. Esses protocolos nasceram em redes seriais isoladas, onde a segurança era garantida por air gap (isolamento físico). A conectividade IP e a convergência IT/OT destruíram essa premissa.
A Convergência IT/OT
A migração para redes IP trouxe benefícios reais: monitoramento remoto, coleta de dados em nuvem, manutenção preditiva, integração com sistemas ERP/MES. Mas eliminou o air gap que protegia os sistemas OT. Hoje, um atacante que compromete a rede corporativa IT pode pivotar para a rede OT — e vice-versa.
Casos reais de impacto:
- Stuxnet (2010): Worm que destruiu centrífugas de urânio no Irão, explorando vulnerabilities Windows e atacando PLCs Siemens via protocolo S7. O primeiro malware digital com impacto físico documentado.
- Ucrânia (2015 e 2016): Ataques à rede elétrica ucraniana. BlackEnergy e CrashOverride/Industroyer causaram apagões afetando centenas de milhares de pessoas.
- Colonial Pipeline (2021): Ransomware na rede IT forçou o fechamento do maior oleoduto dos EUA por 5 dias. O impacto foi na rede IT, mas o medo de propagação para OT levou ao shutdown preventivo. Prejuízo: ~$4.4 milhões em resgate + danos econômicos massivos.
- TRITON (2017): Malware que atacou Safety Instrumented Systems (SIS) de uma refinaria na Arábia Saudita. Primeiro malware documentado projetado para causar danos físicos via SIS — o último layer de defesa industrial.
6. Firmware Analysis — Dissecando Dispositivos IoT
A análise de firmware é a habilidade central do pentester IoT. O firmware é o software que roda no dispositivo — e contém tudo que o atacante precisa: configurações, credenciais, chaves criptográficas, vulnerabilidades em código e implementação.
Obtenção do Firmware
Vias de acesso:
- Site do fabricante: Muitos fabricantes disponibilizam firmware para download. Útil para análise prévia.
- Extração do dispositivo: Via UART/JTAG (requer acesso físico), desoldando chips flash (SPI NOR/NAND) e lendo com programadores como Bus Pirate ou CH341A.
- Interceptação de updates: Capturando o firmware durante uma atualização OTA (Over-The-Air) via proxy ou sniffing.
- Web interface: Alguns dispositivos permitem backup/download do firmware via interface de gerenciamento.
Binwalk — Extração Automática
O Binwalk é a ferramenta primária para análise de firmware. Ele escaneia binários procurando por signatures de arquivos embarcados — headers de filesystems, compressores, imagens, certificados.
# Análise básica — lista arquivos embarcados
binwalk firmware.bin
# Extração automática — cria diretório _firmware.extracted
binwalk -Me firmware.bin
# Escaneamento profundo com entropia
binwalk -E firmware.bin
# Procurar por strings específicas (credenciais)
binwalk -y "password" firmware.bin
binwalk -y "admin" firmware.bin
# Procurar por filesystems conhecidos
binwalk --dd='squashfs:ext:0' firmware.bin
O output típico revela a estrutura interna do firmware:
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 uImage header, Linux kernel
138032 0x21AB0 LZMA compressed data
1572864 0x180000 Squashfs filesystem, little endian
3145728 0x300000 JFFS2 filesystem, little endian
A flag -Me extrai automaticamente os filesystems encontrados, permitindo análise do filesystem completo como se fosse um diretório normal.
Firmwalker — Varredura de Vulnerabilidades
O Firmwalker automatiza a busca por padrões de vulnerabilidade no firmware extraído:
# Após extração com Binwalk
python3 firmwalker.py ./_firmware.extracted/
# Procura automaticamente por:
# - Arquivos de senha (/etc/passwd, /etc/shadow)
# - Credenciais hardcoded
# - Chaves SSH/SSL
# - Binários setuid
# - Arquivos de configuração de serviços
# - Scripts de inicialização
# - URLs e IPs hardcoded
Strings e Análise Manual
# Buscar strings ASCII no firmware
strings firmware.bin | grep -i "password\|passwd\|admin\|root\|secret"
# Buscar URLs hardcoded
strings firmware.bin | grep -E "http[s]?://"
# Buscar endereços IP
strings firmware.bin | grep -oE '([0-9]{1,3}\.){3}[0-9]{1,3}'
# Buscar paths de filesystem
strings firmware.bin | grep -E "^/"
Ghidra — Reverse Engineering
Quando é necessário ir além de strings e entender a lógica do firmware, o Ghidra (NSA) é a ferramenta de escolha. Decompila binários ARM, MIPS, x86 e outros para C pseudocode, permitindo análise de funções de autenticação, rotinas de criptografia e lógica de controle.
# Abertura do Ghidra (GUI)
ghidra
# Via headless (automatizado)
analyzeHeadless /tmp/project proj -import firmware.bin \
-postScript DecompileAllFunctions.java
binwalk para identificar. A arquitetura correta é essencial para descompilação precisa.
7. Caso Mirai — O Botnet que Derrubou a Internet
O Mirai botnet é o caso mais emblemático de exploração IoT em escala. Lançado em setembro de 2016 por um jovem de 20 anos (Paras Jha, aka “anna-senpai”), o Mirai comprometeu mais de 600.000 dispositivos IoT — predominantemente câmeras IP e roteadores domésticos — e os usou para montar o maior ataque DDoS até então.
Como o Mirai Funcionava
O Mirai operava em três fases:
- Scanner: Varredura massiva da internet na porta 23 (telnet) e 80 (HTTP). Ao encontrar um dispositivo, tentava login com uma lista de 62 combinações default de credenciais (admin/admin, root/password, guest/guest, etc.).
- Loader: Após acesso via telnet, o loader determinava a arquitetura do dispositivo (ARM, MIPS, x86, etc.) e baixava o binário correspondente do bot malware.
- Bot: O bot conectava-se ao C2 (Command & Control) via TCP e aguardava comandos. Capaz de lançar ataques DDoS em múltiplas modalidades: UDP flood, TCP SYN flood, HTTP flood, GRE flood, DNS amplification.
O Ataque DYN (21 de outubro de 2016)
O ataque que colocou o Mirai no mapa global. Um DDoS de 1.2 Tbps contra a DYN, um dos maiores provedores de DNS do mundo. O ataque durou grande parte do dia e derrubou serviços como Twitter, Netflix, Reddit, Spotify, Airbnb, GitHub, The New York Times e dezenas de outros. Para os usuários finais, era como se “a internet estivesse quebrada”.
O impacto econômico foi estimado em $110 milhões em perdas de receita e produtividade.
Lições do Mirai
- Credenciais default são o vetor mais eficaz em escala. Não requer zero-day, não requer técnica sofisticada — só enumeração automática e força bruta com um dicionário pequeno.
- Dispositivos IoT são computadores com pior segurança. Mesma arquitetura, mesmas vulnerabilidades, sem patches, sem firewalls, sem monitoramento.
- O código-fonte do Mirai foi publicado online (em dezembro de 2016), gerando uma onda de variantes: Mozi, Hajime, Hide ‘N Seek, Echobot. A barra de entrada para criar botnets IoT caiu para zero.
- O problema é sistêmico, não individual. Não basta culpar um fabricante. A cadeia de suprimentos IoT inteira precisa mudar — desde o design até o descarte.
8. Ferramentas — Arsenal do Pentester IoT
| Ferramenta | Função | Uso |
|---|---|---|
| Shodan | Search engine para dispositivos conectados | Descoberta: câmeras, PLCs, brokers MQTT, dispositivos SCADA expostos |
| Censys | Plataforma de análise de superfície de ataque | Varredura de hosts, certificados TLS, banners de serviço |
| Binwalk | Análise e extração de firmware | Identificar filesystems, extrair conteúdo, buscar signatures |
| Firmwalker | Varredura automatizada de firmware | Buscar credenciais, chaves, binários suspeitos em firmware extraído |
| Firmadyne | Emulação de firmware | Executar firmware em sandbox para análise dinâmica e exploração |
| Ghidra | Reverse engineering | Decompilação de binários ARM/MIPS, análise de lógica e vulnerabilidades |
| MQTT Explorer | Cliente gráfico MQTT | Conectar a brokers, listar topics, publicar/assinar mensagens |
| mosquitto-cli | Cliente CLI MQTT | mosquitto_sub e mosquitto_pub para interação direta |
| Nmap | Port scanner | Identificar serviços, versões e banners em dispositivos IoT |
| UBERTOOTH | Sniffer Bluetooth/BLE | Captura de tráfego BLE, monitor mode, sniffing de pairing |
| KillerBee | Framework Zigbee | Sniffing, fuzzing e spoofing de redes Zigbee |
| Bettercap | Framework de ataque de rede | MITM, spoofing, sniffing — útil para protocolos IoT em redes locais |
9. Hands-on — Shodan + Binwalk Workflow
Este walkthrough demonstra o fluxo completo de reconhecimento e análise de um dispositivo IoT hipotético. Todos os passos devem ser executados apenas contra dispositivos de sua propriedade ou com autorização explícita.
Passo 1: Reconhecimento com Shodan
O Shodan é o ponto de partida. Ele indexa banners de serviço expostos à internet, permitindo encontrar dispositivos IoT com configurações vulneráveis.
# Instalação
pip install shodan
# API key setup
shodan init YOUR_API_KEY
# Buscar câmeras Hikvision expostas
shodan search "Hikvision" --fields ip_str,port,org
# Buscar brokers MQTT sem autenticação
shodan search "port:1883 MQTT" --fields ip_str,port
# Buscar dispositivos Modbus TCP
shodan search "port:502 Modbus" --fields ip_str,port
# Buscar interfaces web de roteadores
shodan search "title:\"Router\" port:80" --fields ip_str,port,org
# Buscar dispositivos com UPnP exposto
shodan search "port:1900 SSDP" --fields ip_str,port
# Contar resultados
shodan count "webcam"
# Estatísticas por país
shodan count "webcam" --facets country
O Shodan também suporta filtros avançados:
# Dispositivos com versão específica vulnerável
shodan search "Server: mini_httpd/1.19"
# Dispositivos com banner de telnet ativo
shodan search "port:23 Linux"
# Dispositivos por geolocalização
shodan search "city:Lisbon port:1883 MQTT"
Passo 2: Enumeração com Nmap
# Scan completo do dispositivo
nmap -sV -sC -p- -T4 TARGET_IP
# Scan focado em portas IoT comuns
nmap -sV -p 23,80,443,1883,5683,502,8080,8443,102,1900,47808 TARGET_IP
# Detecção de serviço em broker MQTT
nmap -sV -p 1883 TARGET_IP --script mqtt-info
# Enumeração de UPnP
nmap -sV -p 1900 TARGET_IP --script upnp-info
Passo 3: Exploração MQTT
# Listar todos os topics (broker sem autenticação)
mosquitto_sub -h TARGET_IP -t "#" -v
# Publicar mensagem em topic de controle
mosquitto_pub -h TARGET_IP -t "home/living/light" -m "ON"
# Assinar topic de telemetria
mosquitto_sub -h TARGET_IP -t "sensors/#" -v
A flag -v (verbose) mostra o topic junto com a mensagem. O character # é wildcard que assina todos os subtopics.
Passo 4: Download e Análise de Firmware
# Download do firmware (site do fabricante)
wget https://manufacturer.com/firmware/model-x/firmware_v1.2.bin
# Análise inicial
binwalk firmware_v1.2.bin
# Extração completa
mkdir firmware_analysis
cd firmware_analysis
binwalk -Me ../firmware_v1.2.bin
# Explorar filesystem extraído
cd _firmware_v1.2.bin.extracted/
ls -la
# Buscar credenciais
grep -r "password\|passwd\|admin" . --include="*" 2>/dev/null
# Buscar chaves e certificados
find . -name "*.pem" -o -name "*.key" -o -name "*.crt"
find . -name "authorized_keys"
# Rodar Firmwalker
python3 /opt/firmwalker/firmwalker.py ./squashfs-root/
Passo 5: Identificar Vulnerabilidades
# Buscar CGI scripts com command injection potencial
find . -name "*.cgi" -o -name "*.sh"
grep -r "system(" . --include="*.cgi"
grep -r "exec(" . --include="*.cgi"
# Verificar permissões perigosas
find . -perm -4000 # Binários setuid
find . -name "shadow" # Arquivos de senha
find . -name ".rhosts" # Trust relationships
Esse workflow cobre o ciclo completo: descoberta → enumeração → exploração → análise de firmware. Em um engagement real, cada passo gera dados para o próximo — Shodan encontra o alvo, Nmap identifica serviços, MQTT tools exploram a comunicação, e Binwalk/Firmwalker dissecam o firmware para encontrar vulnerabilidades mais profundas.
10. Contra-medidas IoT — Defendendo o Ecossistema
Proteger dispositivos IoT requer uma abordagem em múltiplas camadas. Não existe solução única — são dezenas de medidas que, combinadas, reduzem significativamente a superfície de ataque.
Mudar Credenciais Padrão
A medida mais básica e mais negligenciada. Toda credencial default deve ser alterada antes do dispositivo entrar em produção. Políticas de senha devem ser aplicáveis: comprimento mínimo, complexidade, rotação. Para dispositivos que não permitem alteração de credenciais — o que já deveria ser um critério de compra eliminatório.
Segmentação de Rede (VLANs)
Dispositivos IoT devem operar em VLANs dedicadas, isoladas da rede corporativa e da internet. Apenas o tráfego necessário deve ser permitido entre VLANs via firewall. Um dispositivo IoT comprometido em uma VLAN isolada não pode pivotar para a rede principal.
# Exemplo de segmentação
# VLAN 10 - Rede corporativa (laptops, desktops)
# VLAN 20 - IoT devices (câmeras, sensores)
# VLAN 30 - Guest Wi-Fi
# VLAN 40 - OT/ICS (PLCs, SCADA)
# VLAN 50 - DMZ (servidores públicos)
# Firewall rules: deny all inter-VLAN, allow specific
iptables -A FORWARD -s 10.0.20.0/24 -d 10.0.10.0/24 -j DROP
iptables -A FORWARD -s 10.0.20.0/24 -d 0.0.0.0/0 -j DROP # IoT sem internet
iptables -A FORWARD -s 10.0.10.0/24 -d 10.0.20.0/24 -p tcp --dport 554 -j ACCEPT # Acesso CCTV apenas
Desabilitar UPnP
UPnP nunca deve estar habilitado em redes com dispositivos IoT. O mapeamento automático de portas é um risco inaceitável. Desabilite no roteador e bloqueie SSDP (porta 1900/UDP) no firewall.
Política de Atualização
Estabeleça um processo formal de patch management para dispositivos IoT: inventário de todos os dispositivos, monitoramento de atualizações do fabricante, janela de manutenção para aplicar patches, processo de rollback. Dispositivos sem suporte de atualização devem ser substituídos ou isolados.
Zero Trust para IoT
Adotar princípios de Zero Trust no ecossistema IoT: nunca confiar, sempre verificar. Cada dispositivo deve autenticar antes de acessar recursos. Monitorar todo tráfego de rede para anomalias. Segmentar por função, não por localização. Assumir que qualquer dispositivo pode estar comprometido.
Monitoramento Contínuo
- Network traffic analysis: Detectar padrões anormais de comunicação (ex: dispositivo IoT iniciando conexão outbound para IP desconhecido).
- Shodan monitoring: Verificar periodicamente se dispositivos da organização aparecem indexados no Shodan.
- Firmware integrity: Hash dos firmwares conhecidos e alerta sobre modificações.
- Asset inventory: Manter inventário atualizado de todos os dispositivos IoT com versão de firmware, localização e criticidade.
11. Contra-medidas OT — Protegendo a Produção
Segurança OT é fundamentalmente diferente de segurança IT. A disponibilidade e a segurança física são prioritárias — um firewall que bloqueia tráfego legítimo e causa shutdown de produção é pior que a ameaça que estava tentando prevenir.
Preservar o Air Gap (quando possível)
O isolamento físico entre redes IT e OT continua sendo a defesa mais eficaz. Quando não é possível, minimize as conexões: uma única via de comunicação controlada, nunca conectividade bidirecional irrestrita.
Segmentação OT
Modelo Purdue Enterprise Reference Architecture (ISA-95):
- Nível 0-1: Sensores e atuadores, controladores (PLCs, RTUs). Rede de campo isolada.
- Nível 2: Sistemas de supervisão (HMI, SCADA). Comunicação com Nível 1 via DMZ industrial.
- Nível 3-4: Sistemas de gerenciamento (Historian, MES, ERP). Conectividade controlada com Nível 2.
Cada transição entre níveis deve passar por um firewall industrial com regras whitelisting — permita apenas o tráfego estritamente necessário.
Protocol-Aware Firewalls
Firewalls tradicionais operam na camada de rede/transporte (IP, portas). Firewalls protocol-aware para OT entendem a semântica dos protocolos industriais (Modbus, DNP3, S7comm) e podem inspecionar o conteúdo das mensagens:
- Blockar funções Modbus perigosas (Function Code 05/06 — write single coil/register) vindas de origens não autorizadas.
- Detectar anomalias em comandos DNP3 (valores fora de range, comandos para dispositivos inexistentes).
- Inspecionar sessões S7 para detectar comandos de STOP ou download de programa para PLCs.
Ferramentas comerciais com essa capacidade: Claroty, Nozomi Networks, Dragos, Tenable OT, Fortinet FortiGate Industrial.
Monitoramento de Anomalias OT
Sistemas de anomaly detection específicos para OT aprendem o comportamento normal da rede industrial (baseline) e alertam sobre desvios — um PLC enviando dados para IP externo, um HMI recebendo comandos de uma estação não registrada, um sensor reportando valores fisicamente impossíveis.
O CEH v13 incorpora IA e machine learning como ferramentas de detecção e análise em ambientes OT/ICS. Plataformas como Nozomi Networks, Dragos e Claroty utilizam ML para:
- Detecção de anomalias em protocolos industriais — aprendizado do baseline de Modbus, DNP3, S7comm e CIP para identificar comandos atípicos em tempo real.
- Classificação de tráfego OT — ML diferencia dispositivos, firmware versions e comportamentos normais vs. maliciosos sem assinaturas pré-definidas.
- Análise de firmware assistida por IA — modelos treinados em vulnerabilidades conhecidas de dispositivos IoT identificam padrões em binários desconhecidos.
ICS-CERT e Inteligência de Ameaças
O CISA ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) publica advisories regulares sobre vulnerabilidades em sistemas industriais. Todo operador de OT deve:
- Assinar feeds do ICS-CERT e de fabricantes de equipamentos.
- Monitorar vulnerabilidades CVEs relevantes para seus componentes.
- Participar de informações compartilhadas (ISACs — Information Sharing and Analysis Centers).
- Implementar um processo formal de threat intelligence aplicada ao ambiente OT.
Plano de Resposta para Incidentes OT
O plano de resposta OT é diferente do IT. Prioridades invertidas:
- Segurança física primeiro: Se um processo industrial está comprometido, a prioridade é evitar danos físicos, não preservar evidências digitais.
- Procedimentos de fallback: Controle manual, shutdown seguro, procedimentos de emergência documentados e testados.
- Isolamento sem pânico: Desconectar sistemas da rede pode causar mais danos que o ataque. Siga procedimentos documentados — nunca improvise em produção.
- Comunicação: Notificar operadores, engenheiros de processo, gerência e autoridades relevantes. Atraso na comunicação em incidentes OT pode ter consequências regulatórias graves.
Conclusão
A superfície de ataque IoT/OT é um dos desafios mais urgentes da cibersegurança contemporânea. Bilhões de dispositivos com segurança deficiente conectados à internet, combinados com sistemas industriais críticos que nunca foram projetados para resistir a ataques cibernéticos, criam um cenário de risco sem precedentes.
Para o CEH, o domínio IoT/OT é cada vez mais central no exame. Os conceitos deste artigo — arquitetura IoT, vulnerabilidades de protocolos, análise de firmware com Binwalk, reconhecimento via Shodan, exploração MQTT e segurança OT com Purdue model — cobrem o que você precisa saber para o exame e, mais importante, para atuar como pentester nesse ambiente.
A realidade é pragmática: até que a indústria IoT leve segurança a sério por padrão (o que pode levar décadas), cabe ao pentester e ao security professional encontrar e reportar essas vulnerabilidades antes que sejam exploradas por quem busca causar dano real.