Tecnologia

Falha de segurança nos modems ainda ocorre, diz Kaspersky

Ataque em massa chegou a atingir 4,5 milhões de modems DSL no Brasil

Modem DSL: ataques exploram um erro básico de programação (Wikimedia Commons)

Modem DSL: ataques exploram um erro básico de programação (Wikimedia Commons)

DR

Da Redação

Publicado em 5 de outubro de 2012 às 16h16.

São Paulo - Divulgado em março deste ano, o ataque em massa que chegou a atingir 4,5 milhões de modems DSL no Brasil ainda parece estar em andamento, mesmo que em proporções muito menores.

E, a julgar pelo que afirma o especialista em segurança da Kaspersky, Fábio Assolini, o problema pode continuar por um bom tempo. Até porque está sendo difícil encontrar um responsável pela solução do problema.

O ataque, que segundo uma fonte ouvida por TELETIME explora um "erro básico de programação" em um chipset da Broadcom, permitia a visualização da senha do modem do usuário de forma remota.

O cibercriminoso poderia então aproveitar para mudar as configurações do aparelho, colocando um número de DNS malicioso para levar o usuário a sites falsos inadvertidamente, tentando fazer com que ele explorasse um suposto plugin que, na verdade, era um software malicioso (malware) e que, por sua vez, roubava senhas e informações bancárias das vítimas.

Uma atualização de firmware resolveria a questão, mas essa não é uma prática comum em usuários leigos, o que só facilitou o golpe "silencioso".


"O problema ainda ocorre", enfatiza Fábio Assolini. Ele diz que, atualmente, os criminosos aprimoraram o golpe ao utilizar uma brecha no software Java, um complemento utilizado em inúmeros sites. Caso o usuário tenha o programa desatualizado, o malware consegue se aproveitar disso para contaminar a máquina sem sequer precisar induzir a pessoa a clicar ou baixar algo – tudo é feito automaticamente ao se visitar um site infectado.

Em janeiro deste ano, o CERT.br divulgou que as infecções já haviam caído para 300 mil modems. "Hoje não sei quantos existem, mas sei que o problema ainda persiste, ainda vemos casos de usuários atacados", explica o executivo, revelando que interceptou conversas em chats IRC entre os criminosos nos quais eles até comentavam sobre o destino da quantia roubada de usuários."Eles falavam que roubaram R$ 100 mil e que iriam para o Rio de Janeiro gastar com prostitutas."

A ação foi acompanhada pela Kaspersky por um ano, segundo Assolini. "Começamos a monitorar vários usuários em diferentes fóruns relatando problema semelhante: na hora de acessar o Google, Facebook e Orkut, aparecia uma mensagem pedindo para instalar um plugin", explica.

O suporte técnico da própria companhia de segurança também foi utilizado como fonte, que percebeu que, em comum, as vítimas costumavam apresentar um computador sem infecções.

A empresa chegou a cogitar que poderia ser um ataque ao provedor de Internet, mas logo descartaram isso e descobriram que o problema era no modem, que apresentava um DNS desconhecido, com um número que não pertencia a nenhum provedor.


Os C Sirts (times de resposta a tratamento de incidentes de segurança, na sigla em inglês) de bancos brasileiros confirmaram que o problema estava ocorrendo de fato e era massivo."Houve uma cooperação de informação entre as partes e chegamos a um cenário de 40 servidores DNS maliciosos, dois scripts, as falhas exploradas, quais os modelos de modems afetados, o que o criminoso fazia com o aparelho comprometido e o que ele dava para o usuário instalar", afirma o especialista da Kaspersky. 

Ele explica que não chegou a falar diretamente com provedores de Internet, mas que os C Sirts de bancos tiveram reuniões.

TELETIME procurou Telefônica, GVT e Oi, três das principais empresas de Internet fixa no País, para comentar o episódio. A GVT respondeu dizendo que, "até o momento, a empresa não identificou qualquer anormalidade na prestação do serviço de banda larga aos seus clientes".

A companhia afirmou ainda que "realizou atualizações preventivas para minimizar possíveis vulnerabilidades existentes no acesso ao modem do cliente" e que "monitora constantemente os equipamentos para prevenir ataques de hackers".

Até o momento, Oi e Telefônica não retornaram contato com posicionamento.


Responsabilidade

Fábio Assolini explica que os nomes dos modelos e fabricantes não foram divulgados por uma razão: não alarmar as pessoas. "Todas [as empresas] estão cientes do problema. Divulgar a lista iria criar pânico. Todos os fabricantes estão cientes há algum tempo e foram notificados por bancos ou C Sirts", justifica, dizendo que revelar quais aparelhos tinham a brecha de segurança "não iria ajudar muito" até pela dificuldade no processo de atualização de firmware dos equipamentos para um usuário iniciante. 

Ele também ressalta que existe um problema sobre a responsabilidade, já que muitos dos modelos afetados são disponibilizados gratuitamente pelos provedores de Internet. "Você não paga diretamente pelo modem, quem faz isso é o provedor.

De quem é a responsabilidade? É uma questão complexa e difícil de resolver."

A recomendação de Assolini é procurar as empresas provedoras de Internet e, se não houver atualização disponível, trocar de companhia.

Para administradores de rede, o correto é manter atualizado o firmware dos dispositivos e verificar sempre se o DNS está configurado corretamente.

Acompanhe tudo sobre:Computadoresseguranca-digital

Mais de Tecnologia

Segurança de dados pessoais 'não é negociável', diz CEO do TikTok

UE multa grupo Meta em US$ 840 milhões por violação de normas de concorrência

Celebrando 25 anos no Brasil, Dell mira em um futuro guiado pela IA

'Mercado do amor': Meta redobra esforços para competir com Tinder e Bumble