quarta-feira, 3 de outubro de 2012

Ataque compromete 4,5 milhões de modems ADSL no Brasil

Infelizmente alertas de segurança têm pululado intensamente nos último dias, semanas e meses. As empresas de segurança têm nos alertado sobre diferentes tipos de ameaças, perigos e vulnerabilidades. Desta vez quem nos alerta é Fábio Assolini, analista de malware da empresa Kaspersky, cujo texto está replicado abaixo na íntegra.

Nestas ocasiões eu tenho o hábito de fazer um preâmbulo do texto e repassar a nota divulgada pela empresa. Porém dessa vez vou me permitir explicar um pouco mais alguns conceitos porque julgo extremamente perigoso o que foi divulgado.

Essencialmente trata-se de um "envenenamento de DNS", mas feito de forma genial e diabólica. DNS é um serviço que existe na Internet que eu compararia à lista Telefônica. Você procura pelo nome de alguém e a lista informa o número que deve ser discado, fácil assim. Na Internet para qualquer tipo de acesso a "lista telefônica" tem que ser pesquisada pois computadores só se comunicam por endereços IP e não por endereços como www.fxreview.com.br.

Uma das ações mais comuns entre vírus e malwares é desviar a "lista telefônica" do seu computador para que ela efetue a comunicação com sites falsos (notadamente serviços financeiros) e leve o incauto usuário a telas que o fazem entregar seus dados para os bandidos virtuais. Porém os antivírus e mesmo medidas de segurança dos sistemas operacionais já há algum tempo sabem muito bem defender o computador deste tipo de ataque de DNS. Em tese isso não seria mais problema.

Porém o que a Kaspersky Labs por meio de seu analista Fabio Assolini divulgou é uma forma nova, genial e terrível de ataque. O texto abaixo replicado explica com mais detalhes, mas essencialmente os gatunos cibernéticos descobriram que os modems ADSL, estes que ficam nas casas e empresas provendo a comunicação têm vulnerabilidades que permitem que as pessoas mal intencionadas entrem em suas configurações e alterem, por exemplo, o endereço do servidor de DNS, ou seja, eles alteram a "lista telefônica" que seu roteador utiliza e direciona para un DNS falso, propositalmente adulterado para que leve o usuário a sites falsos onde ele terá seus dados e senhas roubadas.

Como isso ocorre fora do ambiente do computador, o antivírus não tem como atuar e salvar o usuário desta primeira fase do ataque. Um bom  antivírus ainda pode ajudar mesmo nesta hora porque estes fazem "análise comportamental" das ações e podem inferir uma ação maliciosa e alertar o usuário.

A leitura da nota abaixo da Kasperky Labs é essencial!!

Flavio Xandó





Ataque compromete 4,5 milhões de modems ADSL no Brasil
By Fabio Assolini

Após um ano de pesquisa, a Kaspersky Lab divulga (com detalhes) a atuação de um ataque contra modems ADSL em atividade no Brasil desde 2011, que infectou mais de 4,5 milhões de modems, segundo o último informativo da CERT Brasil, para isso utilizando 40 servidores maliciosos de DNS (sistemas de nomes de domínio) para roubar dados de usuários de internet banking de forma massiva e silenciosa.

Diferentemente dos ataques comuns, que visam atacar o PC, este tinha como objetivo infectar e alterar as configurações de dispositivos de redes (os modems de internet) domésticos desatualizados por meio de uma vulnerabilidade presente no firmware dos equipamentos. A eficácia e tempo prolongado de atuação do ataque (que ainda está ativo) justifica-se pela negligência generalizada dos fabricantes do hardware e provedores de internet e por falta de conhecimento técnico por parte dos proprietários, que uma vez que instalam o modem, não se preocupam com a aplicação de atualizações de firmware fornecidos pelos fabricantes. Vale ressaltar que a atualização do firmware do modem é uma operação avançada e que, caso realizada erroneamente, pode inutilizar o equipamento.

Exemplo de modem ADSL


Sem muito alarde, uma falha em um modelo específico de modem, descoberta em março de 2011, permitiu o acesso e roubo da senha de administrador no equipamento. entretanto, não se sabe exatamente quando os criminosos começaram a explorá-la. Ao acessar o modem, o cibercriminoso alterava a configuração do sistema de nomes de domínio (DNS) e mudava a senha para impedir que o proprietário pudesse remover as alterações feitas no equipamento. Aparentemente, a falha não está relacionada a um modelo ou fabricante, mas sim ao driver do chipset que executa as principais funções do equipamento e é comprado por fabricantes de modems domésticos. Todos os dispositivos afetados têm em comum chipset Broadcom, inclusive em modems aprovados pela Agência Nacional de Telecomunicações do governo brasileiro. Curiosamente, nem todos os dispositivos que usam esse chip apresentam a falha.

Para concluir o golpe, os criminosos brasileiros registraram 40 servidores DNS maliciosos em diferentes serviços de hospedagem (quase todos fora do Brasil), que eram configurados como DNS primário, mantendo-se o servidor secundário do provedor de internet ou DNS público do Google como endereço alternativo. Desta forma, os atacantes poderiam controlar o tráfego e manter a discrição do ataque, pois os DNSs maliciosos eram ativados apenas em alguns momentos de cada dia, em horários específicos. Uma vez em funcionamento, o DNS malicioso dirigia as vítimas para páginas falsas de bancos brasileiros. Outros bandidos também aproveitaram os redirecionamentos para instalar malware em máquinas das vítimas.

A situação é agravada pelo fato de que, mesmo sem a vulnerabilidade, diversos modems são comercializados com senhas padrões e os usuários muitas vezes não as alteram. Já outros dispositivos são criados quando os provedores de internet habilitam contas de acesso remoto e as credenciais são conhecidas por criminosos. Para piorar, ainda há a negligência por parte dos fabricantes que, mesmo depois de serem alertados, demoram a liberar as atualizações de firmware necessárias para resolver o problema.

Esta situação levou bancos, provedores de internet, fabricantes de hardware e agências governamentais a se reunir para discutir uma solução para o problema. Porém, a apatia dos fabricantes e provedores de serviços, somado à ignorância dos órgãos oficiais brasileiros (que não avaliam medidas de segurança dos dispositivos), criaram uma "tempestade perfeita" e permitiram que os cibercriminosos atacassem livremente. Em março de 2012, o CERT.br havia registrado um total de 300 mil modems ainda estavam comprometidos.

Mais informações sobre a pesquisa, acesse o artigo original (em inglês) no Securelist: http://www.securelist.com/en/blog/208193852/The_tale_of_one_thousand_and_one_DSL_modems.

Nenhum comentário:

Postar um comentário