Falha de segurança nos modems ainda ocorre, diz Kaspersky

0

Divulgado em março deste ano, o ataque em massa que chegou a atingir 4,5 milhões de modems DSL no Brasil ainda parece estar em andamento, mesmo que em proporções muito menores. E, a julgar pelo que afirma o especialista em segurança da Kaspersky, Fábio Assolini, o problema pode continuar por um bom tempo. Até porque está sendo difícil encontrar um responsável pela solução do problema.

O ataque, que segundo uma fonte ouvida por TELETIME explora um "erro básico de programação" em um chipset da Broadcom, permitia a visualização da senha do modem do usuário de forma remota. O cibercriminoso poderia então aproveitar para mudar as configurações do aparelho, colocando um número de DNS malicioso para levar o usuário a sites falsos inadvertidamente, tentando fazer com que ele explorasse um suposto plugin que, na verdade, era um software malicioso (malware) e que, por sua vez, roubava senhas e informações bancárias das vítimas. Uma atualização de firmware resolveria a questão, mas essa não é uma prática comum em usuários leigos, o que só facilitou o golpe "silencioso".

"O problema ainda ocorre", enfatiza Fábio Assolini. Ele diz que, atualmente, os criminosos aprimoraram o golpe ao utilizar uma brecha no software Java, um complemento utilizado em inúmeros sites. Caso o usuário tenha o programa desatualizado, o malware consegue se aproveitar disso para contaminar a máquina sem sequer precisar induzir a pessoa a clicar ou baixar algo – tudo é feito automaticamente ao se visitar um site infectado. Em janeiro deste ano, o CERT.br divulgou que as infecções já haviam caído para 300 mil modems. "Hoje não sei quantos existem, mas sei que o problema ainda persiste, ainda vemos casos de usuários atacados", explica o executivo, revelando que interceptou conversas em chats IRC entre os criminosos nos quais eles até comentavam sobre o destino da quantia roubada de usuários."Eles falavam que roubaram R$ 100 mil e que iriam para o Rio de Janeiro gastar com prostitutas."

A ação foi acompanhada pela Kaspersky por um ano, segundo Assolini. "Começamos a monitorar vários usuários em diferentes fóruns relatando problema semelhante: na hora de acessar o Google, Facebook e Orkut, aparecia uma mensagem pedindo para instalar um plugin", explica. O suporte técnico da própria companhia de segurança também foi utilizado como fonte, que percebeu que, em comum, as vítimas costumavam apresentar um computador sem infecções. A empresa chegou a cogitar que poderia ser um ataque ao provedor de Internet, mas logo descartaram isso e descobriram que o problema era no modem, que apresentava um DNS desconhecido, com um número que não pertencia a nenhum provedor.

Os C Sirts (times de resposta a tratamento de incidentes de segurança, na sigla em inglês) de bancos brasileiros confirmaram que o problema estava ocorrendo de fato e era massivo. "Houve uma cooperação de informação entre as partes e chegamos a um cenário de 40 servidores DNS maliciosos, dois scripts, as falhas exploradas, quais os modelos de modems afetados, o que o criminoso fazia com o aparelho comprometido e o que ele dava para o usuário instalar", afirma o especialista da Kaspersky. Ele explica que não chegou a falar diretamente com provedores de Internet, mas que os C Sirts de bancos tiveram reuniões.

TELETIME procurou Telefônica, GVT e Oi, três das principais empresas de Internet fixa no País, para comentar o episódio. A GVT respondeu dizendo que, "até o momento, a empresa não identificou qualquer anormalidade na prestação do serviço de banda larga aos seus clientes". A companhia afirmou ainda que "realizou atualizações preventivas para minimizar possíveis vulnerabilidades existentes no acesso ao modem do cliente" e que "monitora constantemente os equipamentos para prevenir ataques de hackers".

Até o momento, Oi e Telefônica não retornaram contato com posicionamento.

Responsabilidade

Fábio Assolini explica que os nomes dos modelos e fabricantes não foram divulgados por uma razão: não alarmar as pessoas. "Todas [as empresas] estão cientes do problema. Divulgar a lista iria criar pânico. Todos os fabricantes estão cientes há algum tempo e foram notificados por bancos ou C Sirts", justifica, dizendo que revelar quais aparelhos tinham a brecha de segurança "não iria ajudar muito" até pela dificuldade no processo de atualização de firmware dos equipamentos para um usuário iniciante. Ele também ressalta que existe um problema sobre a responsabilidade, já que muitos dos modelos afetados são disponibilizados gratuitamente pelos provedores de Internet. "Você não paga diretamente pelo modem, quem faz isso é o provedor. De quem é a responsabilidade? É uma questão complexa e difícil de resolver."

A recomendação de Assolini é procurar as empresas provedoras de Internet e, se não houver atualização disponível, trocar de companhia. Para administradores de rede, o correto é manter atualizado o firmware dos dispositivos e verificar sempre se o DNS está configurado corretamente.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.