Divulgado em março deste ano, o ataque em massa que chegou a atingir 4,5 milhões de modems DSL no Brasil ainda parece estar em andamento, mesmo que em proporções muito menores. E, a julgar pelo que afirma o especialista em segurança da Kaspersky, Fábio Assolini, o problema pode continuar por um bom tempo. Até porque está sendo difícil encontrar um responsável pela solução do problema.
O ataque, que segundo uma fonte ouvida por TELETIME explora um "erro básico de programação" em um chipset da Broadcom, permitia a visualização da senha do modem do usuário de forma remota. O cibercriminoso poderia então aproveitar para mudar as configurações do aparelho, colocando um número de DNS malicioso para levar o usuário a sites falsos inadvertidamente, tentando fazer com que ele explorasse um suposto plugin que, na verdade, era um software malicioso (malware) e que, por sua vez, roubava senhas e informações bancárias das vítimas. Uma atualização de firmware resolveria a questão, mas essa não é uma prática comum em usuários leigos, o que só facilitou o golpe "silencioso".
"O problema ainda ocorre", enfatiza Fábio Assolini. Ele diz que, atualmente, os criminosos aprimoraram o golpe ao utilizar uma brecha no software Java, um complemento utilizado em inúmeros sites. Caso o usuário tenha o programa desatualizado, o malware consegue se aproveitar disso para contaminar a máquina sem sequer precisar induzir a pessoa a clicar ou baixar algo – tudo é feito automaticamente ao se visitar um site infectado. Em janeiro deste ano, o CERT.br divulgou que as infecções já haviam caído para 300 mil modems. "Hoje não sei quantos existem, mas sei que o problema ainda persiste, ainda vemos casos de usuários atacados", explica o executivo, revelando que interceptou conversas em chats IRC entre os criminosos nos quais eles até comentavam sobre o destino da quantia roubada de usuários."Eles falavam que roubaram R$ 100 mil e que iriam para o Rio de Janeiro gastar com prostitutas."
A ação foi acompanhada pela Kaspersky por um ano, segundo Assolini. "Começamos a monitorar vários usuários em diferentes fóruns relatando problema semelhante: na hora de acessar o Google, Facebook e Orkut, aparecia uma mensagem pedindo para instalar um plugin", explica. O suporte técnico da própria companhia de segurança também foi utilizado como fonte, que percebeu que, em comum, as vítimas costumavam apresentar um computador sem infecções. A empresa chegou a cogitar que poderia ser um ataque ao provedor de Internet, mas logo descartaram isso e descobriram que o problema era no modem, que apresentava um DNS desconhecido, com um número que não pertencia a nenhum provedor.
Os C Sirts (times de resposta a tratamento de incidentes de segurança, na sigla em inglês) de bancos brasileiros confirmaram que o problema estava ocorrendo de fato e era massivo. "Houve uma cooperação de informação entre as partes e chegamos a um cenário de 40 servidores DNS maliciosos, dois scripts, as falhas exploradas, quais os modelos de modems afetados, o que o criminoso fazia com o aparelho comprometido e o que ele dava para o usuário instalar", afirma o especialista da Kaspersky. Ele explica que não chegou a falar diretamente com provedores de Internet, mas que os C Sirts de bancos tiveram reuniões.
TELETIME procurou Telefônica, GVT e Oi, três das principais empresas de Internet fixa no País, para comentar o episódio. A GVT respondeu dizendo que, "até o momento, a empresa não identificou qualquer anormalidade na prestação do serviço de banda larga aos seus clientes". A companhia afirmou ainda que "realizou atualizações preventivas para minimizar possíveis vulnerabilidades existentes no acesso ao modem do cliente" e que "monitora constantemente os equipamentos para prevenir ataques de hackers".
Até o momento, Oi e Telefônica não retornaram contato com posicionamento.
Responsabilidade
Fábio Assolini explica que os nomes dos modelos e fabricantes não foram divulgados por uma razão: não alarmar as pessoas. "Todas [as empresas] estão cientes do problema. Divulgar a lista iria criar pânico. Todos os fabricantes estão cientes há algum tempo e foram notificados por bancos ou C Sirts", justifica, dizendo que revelar quais aparelhos tinham a brecha de segurança "não iria ajudar muito" até pela dificuldade no processo de atualização de firmware dos equipamentos para um usuário iniciante. Ele também ressalta que existe um problema sobre a responsabilidade, já que muitos dos modelos afetados são disponibilizados gratuitamente pelos provedores de Internet. "Você não paga diretamente pelo modem, quem faz isso é o provedor. De quem é a responsabilidade? É uma questão complexa e difícil de resolver."
A recomendação de Assolini é procurar as empresas provedoras de Internet e, se não houver atualização disponível, trocar de companhia. Para administradores de rede, o correto é manter atualizado o firmware dos dispositivos e verificar sempre se o DNS está configurado corretamente.