5 minute read
Segurança
from RTI-Agosto-2022
O ataque ao usuário remoto
Faz parte de qualquer manual de combate atacar os pontos fracos do oponente. Vale para uma guerra, artes marciais e para a segurança da informação. Historicamente, os usuários sempre foram o ponto mais fraco da cadeia de proteção dos dados, até porque, como já diz o termo, são usuários e não necessariamente pessoas com experiência técnica em informática. O perfil não mudou, por mais que as pessoas cada vez mais estejam familiarizadas com tecnologia em geral. Os últimos dois anos e meio, e certamente os próximos, colocaram os usuários de cara com seus inimigos, as quadrilhas de cibercriminosos e os hackers em geral. A contrapartida de empresas para seus funcionários trabalhando de casa, e autoridades e serviços para o público em geral, aposta nas campanhas de informação, instruindo o que o usuário deve ou não fazer em casa, além de todo um conjunto de software para blindar o computador pessoal.
No entanto, a briga nunca termina, e os adversários encontraram um bom ponto de entrada nas redes domésticas e de pequenas empresas: o roteador doméstico. Antes de entrarmos nos detalhes técnicos, cabe também uma discussão de estratégia. Poucas pessoas têm hoje apenas um computador solitário conectado à Internet, como era na época do modem e da conexão discada. A vasta maioria das casas possui redes de computadores com capacidades similares às de grandes empresas no passado, com vários computadores pessoais (esposo, esposa e filhos), dispositivos móveis como celulares e tablets, com a diferença de conectarem elementos de IoT – Internet das Coisas, como televisores, robôs aspiradores, balanças, luzes inteligentes, câmeras, etc. A velocidade da conexão melhora a cada ano com o barateamento, e as redes Wi-Fi ficam também cada vez mais rápidas, abrindo um excelente campo de trabalho para os invasores.
A questão com os roteadores foi exposta em junho pela Lumen, empresa de conectividade especializada na chamada Revolução Industrial 4.0 (https://bit.ly/3zwjOmE). De acordo com a empresa, hackers estão se aproveitando da pouca atenção que os roteadores SOHO recebem de seus usuários para invadi-los com um trojan da categoria RAT - Remote Access Trojan, estabelecer um ponto de acesso privilegiado à rede local e de lá acessar dispositivos locais diversos. O trojan foi chamado de ZuoRAT pela empresa, e foi visto por ela nos Estados Unidos e Europa, mas convém lembrar que é onde as operações da Lumen se concentram. Lembrando-se da máxima de que ausência de evidência não é evidência de ausência, eu não excluiria a possibilidade da presença do trojan no Brasil. A empresa tampouco identificou uma invasão em massa, mas vale o mesmo aviso anterior. A identificação de palavras e caracteres chineses sugere que os criadores do trojan são daquele país. Já o mapeamento de tráfego de comando e controle confirma que os operadores da campanha são também da China.
Roteadores são um excelente ponto de entrada e pivô para ataques. Os recebemos em casa e pequenos escritórios da mesma forma que o telefone, a luz e a água. O instalador instrui a configurar o Wi-Fi (que acompanha dez em dez roteadores hoje) e às vezes a mudar a senha de acesso ao equipamento. Muitos têm como senha de administrador o serial number do equipamento, que não é revelada ao usuário, cujo acesso se dá via de regra por alguma página HTML limitada. Faz sentido, pois trata-se de um serviço de massa das operadoras, e um usuário com acesso privilegiado ao equipamento poderia mudar configurações e interromper o serviço, exigindo a presença de um técnico local. Não é clara nos contratos a política de atualização de firmware e software dos roteadores, e na verdade não se sabe se, e quais, operadores o realizam. A situação piora com os dispositivos IoT. Ninguém se preocupa em atualizá-los com correções de vulnerabilidade, e alguns nem o permitem. São
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
equipamentos de baixo custo e sem muita preocupação por parte dos fabricantes.
É nesse ambiente complicado que o ZuoRAT tem êxito. O malware é um arquivo MIPS - Microprocessor Without Interlocked Pipeline Stages, arquitetura de processador bastante comum e muito utilizado também em pequenos roteadores. Uma vez instalado, ele passa a interceptar o tráfego de rede atuando como men-in-the-middle para o tráfego DNS e HTTPS. Há a suspeita de que seus desenvolvedores usaram como base o famoso Mirai, malware para dispositivos IoT e roteador que derrubou diversas redes em um ataque DDoS em 2016. O ZuoRAT possui também características avançadas de persistência e de se auto-remover. Permite, como era de supor, sua atualização remota. O segundo nível de ataque tem como alvo os computadores locais para a instalação de malware com fins variados, como Cbeacon para Windows e GOBeacon para Linux e MacOS. A empresa também identificou o ZuoRAT como um proxy para comunicação de comando e controle para o malware instalado nos computadores, um método de ocultação bastante eficiente já que a comunicação será sempre com o roteador, caso a rede esteja sendo monitorada.
A proteção contra esse ataque reside, para usuários SOHO, na segurança de seus computadores pessoais, dada a pouca possibilidade de eles monitorarem suas redes locais e controlar de fato seus roteadores. Não se pode exigir dos usuários mais do que podem de fato fazer, um princípio importante de segurança digital eficaz. O restante fica por conta das empresas. As grandes companhias devem implementar software de controle nos computadores pessoais utilizados por funcionários em casa, e de forma alguma permitir que atividades que manuseiem informações confidenciais sejam executadas de computadores compartilhados e sem controle. Os modernos sistemas de autenticação (na verdade nem tão modernos, pois existem já há algum tempo, apesar de pouco utilizados) se baseiam nas configurações do computador e status dos agentes de anti-malware para permitir ou não o acesso remoto do usuário, seja via VPN ou ZTNA. Há, claro, outras formas de garantir a proteção de quem está trabalhando remotamente, mas o foco no perfil do computador e do usuário tem se mostrado eficaz e acaba sendo mais barato.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
