Se você tem alguma dúvida sobre segurança da informação
(antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da
reportagem e utilize a seção de comentários. A coluna responde perguntas
deixadas por leitores todas as quartas-feiras.
 |
| Alguns modems ADSL têm uma vulnerabilidade grave que permite descobrir a senha de acesso (Foto: Altieres Rohr/G1) |
Criminosos virtuais estão usando uma falha presente em diversos
modems ADSL para realizar redirecionamentos que podem permitir, por
exemplo, o roubo de senhas bancárias mesmo sem instalar qualquer tipo de
vírus no computador da vítima. A brecha permite que a configuração do
modem seja trocada e é reconhecida por dois dos principais fabricantes
desse tipo de modem do Brasil, a D-Link e a Intelbrás.
Em 2011, o G1 revelou que os criminosos brasileiros estavam atacando provedores e também
modems quando a senha padrão deste último não era trocada. Agora o
risco não está apenas nas senhas fracas, mas em uma falha que permite o
acesso irrestrito a alguns modems mesmo sem a senha de acesso.
Sem muito alarde, a vulnerabilidade foi divulgada em março de 2011 na
internet. Não se sabe quando os criminosos começaram a explorá-la. O
problema não está em um modem específico, mas sim no chipset,
controlador que realiza as principais funções do equipamento e é
comprado pelos fabricantes de modems, que dão a ele forma em um produto
final utilizável pelos consumidores. A falha é de um chipset da
Broadcom, que é usado por vários fabricantes, inclusive em modems
vendidos no Brasil e homologados pela Agência Nacional de
Telecomunicações (Anatel).
Nem todos os chips da Broadcom têm o problema, mas não existem dados
precisos a respeito das versões e equipamentos afetados. Essas
informações dependem dos fabricantes.
A fabricante D-Link confirmou que 2 modelos estão vulneráveis: o 500B
e o 2640B. A empresa disponibilizou no início de março uma atualização
que pode ser instalada pelos clientes para corrigir o problema (clique aqui para ver, no site da empresa).
A companhia disse ainda que havia identificado o problema
“recentemente”, em um teste de segurança realizado no equipamento, e que
a falha é “originada em peças produzidas por terceiros”.
A Intelbrás confirmou a existência da falha no modem GKM-1220. A empresa foi a primeira a comunicar ao G1 que lançou uma atualização para corrigir o erro, disponível na página oficial do produto.
A TP-Link informou que teria encontrado o problema ainda na fábrica,
mas que nenhum equipamento da empresa que foi vendido no Brasil teria a
falha e que nenhum modem atualmente em venda possui chipset da Broadcom.
A coluna, porém, encontrou várias fontes afirmando que os modelos
TD-W8950ND e TD-W8950N, vendidos no Brasil e homologados pela Anatel,
possuem chip Broadcom, embora não seja possível saber se eles têm a
vulnerabilidade. A TP-Link adicionou que “como não há nenhuma
confirmação de que os equipamentos da TP-Link possuem este problema, não
houve nenhuma necessidade de resposta à população”.
Linksys, Comtrend e LG-Ericsson (herdeira da marca LG-Nortel) também
foram procuradas, mas não responderam. Os responsáveis pela divulgação
da falha na internet, em março de 2011, revelaram o problema como sendo
de um modem da Comtrend. Todos esses fabricantes trabalham com chips da
Broadcom em algum equipamento, porém não necessariamente em ADSL. É
possível que ainda outros fabricantes tenham produzido modelos
vulneráveis e que equipamentos não vendidos oficialmente no Brasil
também tenham a falha. A melhor maneira de verificar se o seu modem é
vulnerável é por meio do teste ao final do texto.
Em comunicado, a Anatel disse que “os requisitos estabelecidos pela
agência verificam as funcionalidades mínimas que permitem o
funcionamento do produto, mas não verificam questões de vulnerabilidade
quanto à segurança da informação”, alegando que ataques de hackers “não
seguem um padrão”.
Responsabilidade
Renato Leite Monteiro, advogado especializado em direito eletrônico, diz que as empresas podem ser consideradas responsáveis por danos que tenham como causa um erro na prestação do serviço. “Caso esse modem venha a apresentar qualquer problema que cause um prejuízo ao consumidor, a empresa que o cedeu ou fabricou será responsável e deverá ressarcir o cliente pelos danos”, afirmou. Essa responsabilidade, diz Monteiro, vale tanto para os fabricantes e fornecedores quanto para a operadora de telefonia, quando esta cedeu o equipamento usado.
“São eles responsáveis por eventuais danos causados aos clientes que
sofreram ataques por uma brecha nos modems. Todavia, cabe ao consumidor
escolher quem irá processar, se o fornecedor ou o fabricante. Quem
destes dois posteriormente se sentir lesado poderá entrar com uma ação
contra o outro, para ter os valores perdidos ressarcidos”, explica o
advogado.
O que dizem as operadoras
O G1 procurou a Oi, a GVT e a Telefônica, principais empresas do país que promovem conexão via ADSL, embora outras menores também usem essa tecnologia, e questionou se elas sabiam dos ataques e estavam orientando clientes de alguma forma. As respostas foram dadas ainda em fevereiro, quando os ataques estavam ocorrendo.
Apenas a Telefônica afirmou ter conhecimento da falha, revelando que
foram detectados problemas em cerca de 800 modems em sua rede, todos em
clientes com IP fixo (usados principalmente por clientes de linhas
empresariais). A operadora disse que estava trabalhando para atualizar
os softwares ou trocar os equipamentos vulneráveis e acrescentou que o
Speedy tem quatro milhões de clientes, e que o número de consumidores
com problema representaria apenas 0,02% da base de usuários.
A Oi disse que “os modems citados pela reportagem não fazem parte do
portfólio das soluções fornecidos no modelo de comodato” e que está
“reforçando a verificação de segurança dos seus modems”. A reportagem,
porém, não tinha nenhuma lista em fevereiro, apenas algumas suspeitas. A
coluna pediu uma lista dos equipamentos que a empresa fornecia em
comodato, mas a solicitação não foi atendida.
A GVT afirmou que não havia sido notificada a respeito de nenhuma
falha por nenhum fabricante e que “não identificou até o presente
momento [início de fevereiro] qualquer anormalidade na prestação do
serviço de banda larga aos seus clientes”.
A Anatel diz que, “num primeiro momento, o assunto deve ser analisado
pela empresa prestadora do serviço, para que junto aos fabricantes,
possa avaliar quais as causas do problema.” A agência afirma que
entraria na questão se, após a análise das causas, ficasse evidenciado
que, no processo de avaliação da conformidade do produto, poderia ser
tomada alguma atitude quanto a incluir novos requisitos de avaliação que
minimizassem este tipo de problema.
Como funciona o ataque
Os criminosos varrem a internet em busca de modems que estejam expostos na rede. Isso acontece principalmente com clientes de linhas empresariais de ADSL, porque as linhas ADSL domésticas, mais baratas, muitas vezes bloqueiam o acesso ao modem, se este for liberado de forma acidental.
Quando um modem é encontrado, uma tentativa para explorar a falha é
realizada. A vulnerabilidade é muito simples e vai revelar a senha de
administração cadastrada no modem. Com a senha, o criminoso entra no
painel de administração do modem e altera a configuração do Domain Name
System (DNS).
O DNS é a “lista telefônica” da internet e é responsável por
converter um endereço como “g1.com.br” em um número de endereço IP no
qual o computador pode se conectar. Como os criminosos controlam a
“lista”, eles podem fazer o site dos bancos serem direcionados para
servidores que irão registrar a senha da vítima e realizar a fraude.
Outra ação que pode ocorrer é o redirecionamento de anúncios de sites.
Os golpistas trocavam a senha de muitos modems, após realizar o
ataque, deixando cadastrada a senha “dnschange” (“troca de DNS”, em
inglês).
Como saber se o seu modem é vulnerável
Abra o seu navegador de internet e digite o IP do seu modem e acrescente “/password.cgi”. Se o IP for 10.0.0.1, o link será “http://10.0.0.1/password.cgi“. Ao abrir a página, visualize o código fonte (CTRL-U no Firefox e no Chrome; no Internet Explorer, aperte a tecla ALT, vá ao menu Exibir e selecione Código-Fonte).
Se o modem for vulnerável, no meio do código será possível ver a
senha de administração configurada no modem. As senhas padrão costumam
ser “admin”, “1234″, “epicrouter”, “root”, entre outros.
Se você não sabe o IP do seu modem, segure a tecla Windows no teclado
e aperte a tecla R (combinação Win+R). A caixa do “Executar” vai se
abrir. Digite o “cmd” e clique em OK. Na tela que aparece, digite o
comando “ipconfig”. Procure o “Gateway Padrão”. Feche a janela e digite
aquele IP no seu navegador web, conforme as instruções acima.
 |
| Verificando IP do modem e acessando arquivo que com a falha. (Foto: Reprodução) |
Via: G1Tecnologia
Nenhum comentário:
Postar um comentário