Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Informações divulgadas pela empresa de antivírus Kaspersky Lab, com base em dados do Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) indica que, em 2011, um em cada três usuários de banda larga no Brasil foram vítimas de um ataque que redirecionou sites populares e clonou sites de banco com a finalidade de realizar fraudes bancárias pela internet. No entanto, a realidade do ataque ainda não está clara: o G1 não conseguiu explicações do CERT e operadoras de ADSL ainda não confirmam que houve um ataque.
Nos números exatos, teriam sido 4,5 milhões de vítimas. O ano de 2011 fechou com 16,8 milhões de usuários de banda larga fixa, segundo dados da Associação Brasileira de Telecomunicações (Telebrasil). Como há cerca de quatro milhões de usuários de conexão via cabo no Brasil, mais de um em cada três usuários de ADSL teriam sido vítimas.
O ataque envolvia a alteração das configurações de modems-roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modem-roteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos.
Como o ataque funcionava no modem-roteador e não no sistema do usuário, softwares de segurança não conseguiam fazer com que os redirecionamentos parassem.
A exploração da brecha começou em algum momento de 2011 e só foi divulgada publicamente em março de 2012, quando a coluna Segurança Digital do G1 publicou uma reportagem obre o problema.
Embora não existam dúvidas de que os ataques aconteceram, o número real de vítimas e outras informações ainda são desconhecidas. Não existe, por exemplo, uma lista clara de todos os modems-roteadores que possuem a brecha usada nos ataques.
Você foi atacado?
O problema pode ser percebido quando, ao visitar sites populares, como o Google, Facebook e portais de notícia, uma tela pede constantemente para que seja baixado e instalado um programa. A tela some e retorna. Se o arquivo for baixado, o antivírus pode detectar um vírus, porém a tela ainda não é removida, mesmo após a ação do software de segurança.
Modems de internet à cabo também podem ser sido alterados. Nesse caso, porém, foi usado um erro de configuração e não uma falha no modem. É preciso reconfigurar o aparelho e definir uma senha forte para o painel de administração.
4,5 milhões
O número de 4,5 milhões se refere aos modems alterados pelos criminosos e foi obtido pelo CERT.br em 2011, quando os ataques estavam em alta. Essa informação foi comunicada publicamente pela primeira vez em março, durante uma conferência de segurança. Em janeiro de 2012, o número de vítimas já havia baixado para 300 mil, também segundo o CERT.br.
No entanto, não se sabe como o CERT.br chegou a esse número. O G1 questionou o CERT.br sobre a metodologia usada, mas não recebeu resposta até a publicação desta reportagem.
No início de outubro, a fabricante de antivírus Kaspersky Lab enviou uma nota à imprensa informando que “4,5 milhões de modems” foram alterados “no Brasil”. Diversos veículos de imprensa no Brasil e fora do país divulgaram esse número. No entanto, nas informações públicas do CERT, não está claro se esse número de vítimas é apenas de internautas brasileiros.
O CERT.br afirma, no entanto, que registrou vítimas em outros países.
De uma forma ou outra, o número, se correto, rivaliza com as maiores epidemias já registradas. O vírus Conficker, que recebeu cobertura televisiva e ampla divulgação, teve entre 9 e 15 milhões de vítimas – 1% dos sistemas no mundo.
Provedores
No início do ano, o G1 ouviu os três principais provedores de ADSL do Brasil – Telefônica, GVT e Oi. A Telefônica (hoje Vivo) confirmou que sabia dos ataques e que detectou 800 vítimas entre os seus clientes.
GVT e Oi não confirmaram qualquer problema. A GVT disse ainda que não havia sido notificada por nenhum fabricante de modem sobre qualquer falha e que nenhuma “anormalidade” havia sido detectada na prestação de serviços. Ou seja, o problema que a Telefônica já estava resolvendo, não existia para GVT e Oi,.
O G1 solicitou um novo posicionamento da GVT e da Oi diante das informações do CERT.br. Até a publicação desta reportagem, somente a GVT respondeu. A empresa ainda não confirma que existiu qualquer e ataque, porém “realizou atualizações preventivas para minimizar possíveis vulnerabilidades existentes no acesso ao modem do cliente” e acrescentou que “monitora constantemente os equipamentos para prevenir ataques de hackers”.
Usuários da Oi e da GVT que foram atacados já escreveram relatos, alguns para a coluna Segurança Digital. Mesmo que a operadora não saiba, seus clientes foram vítimas.
Fabricantes de modems
A falha explorada pelos golpistas brasileiros é antiga e está facilmente disponível na internet desde março de 2011. Até o início de 2012, no entanto, muitos modems vulneráveis, de diversos fabricantes, não tinham atualização. Em março, quando o G1 publicou a reportagem sobre o assunto, fabricantes como a D-Link e a Intelbras estavam lançando atualizações para seus equipamentos.
A fabricante TP-Link afirmou ao G1 que o problema foi detectado “na fábrica” e que modelos vendidos no Brasil não continham a vulnerabilidade.
Outros fabricantes, como, Linksys, LG-Norte e Comtrend, não responderam ao G1, nem divulgaram pronunciamentos após a publicação da reportagem. Não se sabe, portanto, se os modems-roteadores dessas empresas estavam ou não vulneráveis.
Para saber se o seu modem é vulnerável, faça o teste descrito no final da reportagem publicada em março.
Quem possui um modem vulnerável precisa buscar uma atualização do “firmware” do dispositivo e instalá-la. Se não houver uma atualização, o modem-roteador precisa ser trocado.
A Anatel (Agência Nacional de Telecomunicações), que aprova cada modem-roteador vendido no Brasil, afirmou que apenas verifica a funcionalidade básica do aparelho e que não analisa a segurança do produto contra a ação de hackers, já que vulnerabilidades são muito variadas.
No escuro
Nada sobre o ataque foi informado aos internautas brasileiros em 2011, quando os ataques estavam ocorrendo, e, ainda hoje, informações são escassas.
Devido ao “blecaute” de informação, nem mesmo especialistas tinham conhecimento dos fatos. Em maio, Brian Cayanan, especialista da fabricante de antivírus Trend Micro, publicou umaanálise do ataque afirmando que não entendia como um vírus parecia estar hospedado em sites populares, como o Facebook e até mesmo na Globo.com. A explicação estava nos redirecionamentos realizados pelos criminosos, para que internautas acessassem sites falsos, ou seja, que nunca houve, na realidade, vírus nesses sites. O especialista da Trend Micro, no entanto, aparentemente desconhecia os ataques que explicariam como tanta gente estava sendo redirecionada.
As informações do ataque brasileiro só foram amplamente divulgadas em setembro, quando o especialista da Kaspersky Lab Fábio Assolini apresentou uma palestra sobre o assunto na conferência de antivírus Virus Bulletin. Imediatamente, o assunto fez parte da cobertura internacional de segurança – cerca de um ano depois de os ataques terem se iniciado.
Nesse tempo todo, internautas não receberem nenhuma informação sobre como se proteger desses ataques.
Proteção
Ainda hoje, proteger-se dos ataques desse tipo não é simples. Muitos modems-roteadores possuem falhas de segurança e algumas ainda não foram corrigidas. Embora elas não sejam tão críticas como a que foi explorada nessas invasões, elas ainda permitem a realização de ataques.
O mínimo que se pode fazer é trocar a senha padrão que está configurada no aparelho. Alguns provedores brasileiros, quando configuram o modem para o cliente, não realizam essa troca, deixando o internauta vulnerável.
A administração remota (às vezes chamada de “WAN”) do modem deve ser desativada.
O navegador web deve ser totalmente fechado após um acesso ao painel de administração do modem. Se o navegador permanecer aberto, é possível que outros sites enviem comandos ao painel, substituindo configurações como as senhas ou os servidores de DNS utilizados, e o internauta não perceberá que isso aconteceu.
Atualizar o software do modem-roteador pode ser uma tarefa complicada para alguns internautas. Quem souber fazer, no entanto, deve procurar fazê-lo. As informações dos fabricantes são bastante confusas e nem sempre é fácil determinar que existe uma atualização. Além disso, de acordo com o CERT.br, a falha explorada no Brasil chegou a ser consertada e depois “desconsertada” em outras atualizações – ou seja, quem não atualizou pode ter ficado mais seguro devido a um erro do fabricante. Mas o CERT não informou qual fabricante foi esse.
No entanto, os próprios provedores podem realizar remotamente essas atualizações usando uma tecnologia chamada de TR-69. Provavelmente foi esse o método usado para realizar as atualizações “preventivas” mencionadas pela GVT. Porém, como não havia uma atualização disponível dos fabricantes, internautas seguiram vulneráveis pelo menos até o início de 2012.
A coluna Segurança Digital do G1 ainda recebe dúvidas de internautas, na seção de comentários, sobre comportamentos ligados aos ataques.