Por David Sopas (*)


Grande parte dos ISPs em Portugal não se preocupa com a segurança dos routers fornecidos aos seus clientes. É um fato.

Não recomendam a troca de palavras de acesso ao painel de administração, desligar serviços que não utilizam, mudar a password de acesso Wi-Fi, etc. Esta pequena atenção que os ISPs poderiam dar aos seus clientes teria bastante impacto na segurança dos mesmos. Uma ideia interessante seria mesmo fornecer um manual de segurança por parte do ISP ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

No passado, e ainda é possível ver muitos casos em Portugal, muitos utilizadores aproveitavam-se de uma falha nos routers Alcatel/Thomson Speedtouch [distribuídos pela Vodafone, MEO e Clix] que a partir de um algoritmo era possível descobrir a senha de ligação ao Wi-Fi apenas sabendo o SSID. Havia geradores de passwords online, aplicações para telemóvel, tudo ao alcance de um simples clique e era possível ter acesso a uma rede Wi-Fi vulnerável.

Pedro Fernandes elaborou recentemente um estudo que visava os routers da ZON [NOS]. No software de administração do router [Jungo OpenRG], é possível ter acesso a páginas bloqueadas e escondidas ao utilizador comum. Basicamente fornece a possibilidade de ativar serviços, alguns deles para melhorar o desempenho do router. Além desta divulgação, o Pedro também demonstrou que é possível explorar o serviço FON ZON FREE, por parte do dono do router [criando o hotspot], modificando os DNS da ligação. Desta forma é possível redirecionar todos os utilizadores ligados a esta rede para páginas falsas. É uma falha bastante grave dado que existem milhares de hotspots FON ZON FREE.

Mas não são só os routers fornecidos pelos ISPs que têm problemas. Mesmo os routers adquiridos em lojas da especialidade podem ser alvo de ataques.
A falta de conhecimento por parte dos utilizadores também é um fator de risco mas convém estar sempre atentos às atualizações de firmware dos equipamentos.

Em novembro de 2014, Marco Vaz da empresa portuguesa Integrity, publicou um artigo onde demonstra a possibilidade de causar dano nos routers da BELKIN. O Marco conseguiu provar que é possível ter acesso root [o máximo dos privilégios] remotamente, e sem autenticação, aos routers BELKIN N750. Esta falha permitia ao utilizador malicioso ter o acesso completo do router e lançar futuros ataques ao utilizador e a todos aos que estão ligados na mesma rede.

Esta vulnerabilidade está atualmente na votação o Top10 das falhas do ano de 2014.

Praticamente todos os meses são disponibilizados publicamente novos relatórios de segurança de routers vulneráveis. A meu ver, os ISPs e fabricantes têm a responsabilidade de fazer chegar aos utilizadores estas informações.
Ataques como, a modificação dos DNS remotamente, são um dos ataques mais comuns atualmente. O que os utilizadores maliciosos fazem é, pesquisam por routers vulneráveis e trocam os endereços de DNS. Desta forma todo o tráfego passa por máquinas controladas pelos utilizadores maliciosos. Imaginem que pensa que está a entrar no site do seu banco e afinal está a entrar numa página clonada?

Quando o utilizador perceber que o seu router poderá ser uma via para ataques informáticos, é um passo para uma solução e diminuição de problemas, como por exemplo deixar de ser "cúmplice" em ataques DDoS.

A título de exemplo, alguns serviços, que geralmente estão ativos por default, são utilizados por utilizadores maliciosos para amplificar ataques de negação de serviço distribuido [DDoS]. Os protocolos NTP [Network Time Protocol] e SSDP [Simple Service Discovery Protocol] continuam a ser as técnicas favoritas para aumentar este tipo de ataques devastadores. São geralmente atribuídos em serviços de Booters e com preços bastante baixos, levando até os menos experientes a conseguir colocar offline muitos sites populares.

Ainda recentemente foram divulgados dados do leak da base de dados do Booter do grupo Lizard Squad, em que foram encontrados 12 portugueses na lista. Dos portugueses registados, apenas 2 efetivamente pagaram com Bitcoins o serviço. Fica por saber qual foi a finalidade destes portugueses. Atingir uma empresa concorrente? Danificar algum utilizador? Puro gozo?

Importante salientar que o serviço de Booter dos Lizard Squad era em grande parte constituído por um conjunto de routers vulneráveis em todo o mundo que forneciam aos atacantes uma força de tráfego de rede até os 20gbps.

A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, um ataque à empresa Cloudflare levou ao maior pico DDoS registado até à data - 400Gbps.

Para concluir queria focar que a melhor solução é acompanhar as últimas novidades na segurança - algo que o WebSegura.net poderá ajudar. Um utilizador atento e informado, é um utilizador consciente dos perigos que corre na web.

(*) editor do site Websegura.net