Ataque hacker brasileiro teria afetado 1 em cada 3 usuários de ADSL
seg, 22/10/12
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação
(antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da
reportagem e utilize a seção de comentários. A coluna responde perguntas
deixadas por leitores todas as quartas-feiras.
Alguns modems ADSL têm uma vulnerabilidade grave que permite descobrir a senha de acesso. (Foto: Altieres Rohr/G1)
Informações divulgadas pela empresa de antivírus Kaspersky Lab, com
base em dados do Centro de Estudo, Resposta e Tratamento de Incidentes
de Segurança no Brasil (CERT.br) indica que, em 2011, um em cada três
usuários de banda larga no Brasil foram vítimas de um ataque que
redirecionou sites populares e clonou sites de banco com a finalidade de
realizar fraudes bancárias pela internet. No entanto, a realidade do
ataque ainda não está clara: o G1 não conseguiu explicações do CERT e operadoras de ADSL ainda não confirmam que houve um ataque.
Nos números exatos, teriam sido 4,5 milhões de vítimas. O ano de 2011
fechou com 16,8 milhões de usuários de banda larga fixa, segundo dados
da Associação Brasileira de Telecomunicações (Telebrasil). Como há
cerca de quatro milhões de usuários de conexão via cabo no Brasil, mais
de um em cada três usuários de ADSL teriam sido vítimas.
O ataque envolvia a alteração das configurações de modems-roteadores
ADSL com o uso de uma falha de segurança existente em alguns modelos de
equipamento. Na prática, o problema permitia que um hacker alterasse o
modem-roteador para utilizar um determinado serviço fornecido pelo
criminoso em vez do fornecido pelo provedor, redirecionando internautas
para sites falsos.
Como o ataque funcionava no modem-roteador e não no sistema do
usuário, softwares de segurança não conseguiam fazer com que os
redirecionamentos parassem.
A exploração da brecha começou em algum momento de 2011 e só foi
divulgada publicamente em março de 2012, quando a coluna Segurança
Digital do G1 publicou uma reportagem obre o problema.
Embora não existam dúvidas de que os ataques aconteceram, o número
real de vítimas e outras informações ainda são desconhecidas. Não
existe, por exemplo, uma lista clara de todos os modems-roteadores que
possuem a brecha usada nos ataques.
Você foi atacado?
O problema pode ser percebido quando, ao visitar sites populares, como o Google, Facebook e portais de notícia, uma tela pede constantemente para que seja baixado e instalado um programa. A tela some e retorna. Se o arquivo for baixado, o antivírus pode detectar um vírus, porém a tela ainda não é removida, mesmo após a ação do software de segurança.
O problema pode ser percebido quando, ao visitar sites populares, como o Google, Facebook e portais de notícia, uma tela pede constantemente para que seja baixado e instalado um programa. A tela some e retorna. Se o arquivo for baixado, o antivírus pode detectar um vírus, porém a tela ainda não é removida, mesmo após a ação do software de segurança.
Modems de internet à cabo também podem ser sido alterados. Nesse
caso, porém, foi usado um erro de configuração e não uma falha no modem.
É preciso reconfigurar o aparelho e definir uma senha forte para o
painel de administração.
Tela de redirecionamento no Google. (Foto: Reprodução)
4,5 milhões
O número de 4,5 milhões se refere aos modems alterados pelos criminosos e foi obtido pelo CERT.br em 2011, quando os ataques estavam em alta. Essa informação foi comunicada publicamente pela primeira vez em março, durante uma conferência de segurança. Em janeiro de 2012, o número de vítimas já havia baixado para 300 mil, também segundo o CERT.br.
O número de 4,5 milhões se refere aos modems alterados pelos criminosos e foi obtido pelo CERT.br em 2011, quando os ataques estavam em alta. Essa informação foi comunicada publicamente pela primeira vez em março, durante uma conferência de segurança. Em janeiro de 2012, o número de vítimas já havia baixado para 300 mil, também segundo o CERT.br.
No entanto, não se sabe como o CERT.br chegou a esse número. O G1 questionou o CERT.br sobre a metodologia usada, mas não recebeu resposta até a publicação desta reportagem.
No início de outubro, a fabricante de antivírus Kaspersky Lab enviou
uma nota à imprensa informando que “4,5 milhões de modems” foram
alterados “no Brasil”. Diversos veículos de imprensa no Brasil e fora do
país divulgaram esse número. No entanto, nas informações públicas do
CERT, não está claro se esse número de vítimas é apenas de internautas
brasileiros.
O CERT.br afirma, no entanto, que registrou vítimas em outros países.
De uma forma ou outra, o número, se correto, rivaliza com as maiores
epidemias já registradas. O vírus Conficker, que recebeu cobertura
televisiva e ampla divulgação, teve entre 9 e 15 milhões de vítimas – 1%
dos sistemas no mundo.
Provedores
No início do ano, o G1 ouviu os três principais provedores de ADSL do Brasil – Telefônica, GVT e Oi. A Telefônica (hoje Vivo) confirmou que sabia dos ataques e que detectou 800 vítimas entre os seus clientes.
No início do ano, o G1 ouviu os três principais provedores de ADSL do Brasil – Telefônica, GVT e Oi. A Telefônica (hoje Vivo) confirmou que sabia dos ataques e que detectou 800 vítimas entre os seus clientes.
GVT e Oi não confirmaram qualquer problema. A GVT disse ainda que não
havia sido notificada por nenhum fabricante de modem sobre qualquer
falha e que nenhuma “anormalidade” havia sido detectada na prestação de
serviços. Ou seja, o problema que a Telefônica já estava resolvendo, não
existia para GVT e Oi,.
O G1 solicitou um novo posicionamento da GVT e da Oi
diante das informações do CERT.br. Até a publicação desta reportagem,
somente a GVT respondeu. A empresa ainda não confirma que existiu
qualquer e ataque, porém “realizou atualizações preventivas para
minimizar possíveis vulnerabilidades existentes no acesso ao modem do
cliente” e acrescentou que “monitora constantemente os equipamentos para
prevenir ataques de hackers”.
Usuários da Oi e da GVT que foram atacados já escreveram relatos, alguns para a coluna Segurança Digital. Mesmo que a operadora não saiba, seus clientes foram vítimas.
Fabricantes de modems
A falha explorada pelos golpistas brasileiros é antiga e está facilmente disponível na internet desde março de 2011. Até o início de 2012, no entanto, muitos modems vulneráveis, de diversos fabricantes, não tinham atualização. Em março, quando o G1 publicou a reportagem sobre o assunto, fabricantes como a D-Link e a Intelbras estavam lançando atualizações para seus equipamentos.
A falha explorada pelos golpistas brasileiros é antiga e está facilmente disponível na internet desde março de 2011. Até o início de 2012, no entanto, muitos modems vulneráveis, de diversos fabricantes, não tinham atualização. Em março, quando o G1 publicou a reportagem sobre o assunto, fabricantes como a D-Link e a Intelbras estavam lançando atualizações para seus equipamentos.
A fabricante TP-Link afirmou ao G1 que o problema foi detectado “na fábrica” e que modelos vendidos no Brasil não continham a vulnerabilidade.
Outros fabricantes, como, Linksys, LG-Norte e Comtrend, não responderam ao G1,
nem divulgaram pronunciamentos após a publicação da reportagem. Não se
sabe, portanto, se os modems-roteadores dessas empresas estavam ou não
vulneráveis.
Para saber se o seu modem é vulnerável, faça o teste descrito no final da reportagem publicada em março.
Quem possui um modem vulnerável precisa buscar uma atualização do
“firmware” do dispositivo e instalá-la. Se não houver uma atualização, o
modem-roteador precisa ser trocado.
A Anatel (Agência Nacional de Telecomunicações), que aprova cada
modem-roteador vendido no Brasil, afirmou que apenas verifica a
funcionalidade básica do aparelho e que não analisa a segurança do
produto contra a ação de hackers, já que vulnerabilidades são muito
variadas.
No escuro
Nada sobre o ataque foi informado aos internautas brasileiros em 2011, quando os ataques estavam ocorrendo, e, ainda hoje, informações são escassas.
Nada sobre o ataque foi informado aos internautas brasileiros em 2011, quando os ataques estavam ocorrendo, e, ainda hoje, informações são escassas.
Devido ao “blecaute” de informação, nem mesmo especialistas tinham
conhecimento dos fatos. Em maio, Brian Cayanan, especialista da
fabricante de antivírus Trend Micro, publicou uma análise do ataque
afirmando que não entendia como um vírus parecia estar hospedado em
sites populares, como o Facebook e até mesmo na Globo.com. A explicação
estava nos redirecionamentos realizados pelos criminosos, para que
internautas acessassem sites falsos, ou seja, que nunca houve, na
realidade, vírus nesses sites. O especialista da Trend Micro, no
entanto, aparentemente desconhecia os ataques que explicariam como tanta
gente estava sendo redirecionada.
As informações do ataque brasileiro só foram amplamente divulgadas em
setembro, quando o especialista da Kaspersky Lab Fábio Assolini
apresentou uma palestra sobre o assunto na conferência de antivírus
Virus Bulletin. Imediatamente, o assunto fez parte da cobertura
internacional de segurança – cerca de um ano depois de os ataques terem
se iniciado.
Nesse tempo todo, internautas não receberem nenhuma informação sobre como se proteger desses ataques.
Proteção
Ainda hoje, proteger-se dos ataques desse tipo não é simples. Muitos modems-roteadores possuem falhas de segurança e algumas ainda não foram corrigidas. Embora elas não sejam tão críticas como a que foi explorada nessas invasões, elas ainda permitem a realização de ataques.
Ainda hoje, proteger-se dos ataques desse tipo não é simples. Muitos modems-roteadores possuem falhas de segurança e algumas ainda não foram corrigidas. Embora elas não sejam tão críticas como a que foi explorada nessas invasões, elas ainda permitem a realização de ataques.
O mínimo que se pode fazer é trocar a senha padrão que está
configurada no aparelho. Alguns provedores brasileiros, quando
configuram o modem para o cliente, não realizam essa troca, deixando o
internauta vulnerável.
A administração remota (às vezes chamada de “WAN”) do modem deve ser desativada.
O navegador web deve ser totalmente fechado após um acesso ao painel
de administração do modem. Se o navegador permanecer aberto, é possível
que outros sites enviem comandos ao painel, substituindo configurações
como as senhas ou os servidores de DNS utilizados, e o internauta não
perceberá que isso aconteceu.
Atualizar o software do modem-roteador pode ser uma tarefa complicada
para alguns internautas. Quem souber fazer, no entanto, deve procurar
fazê-lo. As informações dos fabricantes são bastante confusas e nem
sempre é fácil determinar que existe uma atualização. Além disso, de
acordo com o CERT.br, a falha explorada no Brasil chegou a ser
consertada e depois “desconsertada” em outras atualizações – ou seja,
quem não atualizou pode ter ficado mais seguro devido a um erro do
fabricante. Mas o CERT não informou qual fabricante foi esse.
No entanto, os próprios provedores podem realizar remotamente essas
atualizações usando uma tecnologia chamada de TR-69. Provavelmente foi
esse o método usado para realizar as atualizações “preventivas”
mencionadas pela GVT. Porém, como não havia uma atualização disponível
dos fabricantes, internautas seguiram vulneráveis pelo menos até o
início de 2012.
A coluna Segurança Digital do G1 ainda recebe dúvidas de internautas, na seção de comentários, sobre comportamentos ligados aos ataques.
Fonte: http://g1.globo.com/platb/seguranca-digital/
Nenhum comentário:
Postar um comentário