Criminosos virtuais estão usando uma falha presente em diversos modems ADSL para realizar redirecionamentos que podem permitir, por exemplo, o roubo de senhas bancárias mesmo sem instalar qualquer tipo de vírus no computador da vítima.
A brecha permite que a configuração do modem seja trocada e é reconhecida por dois dos principais fabricantes desse tipo de modem do Brasil, a D-Link e a Intelbrás.
Em 2011, se revelou que os criminosos brasileiros estavam atacando provedores e também modems quando a senha padrão deste último não era trocada. Agora o risco não está apenas nas senhas fracas, mas em uma falha que permite o acesso irrestrito a alguns modems mesmo sem a senha de acesso.
Sem muito alarde, a vulnerabilidade foi divulgada em março de 2011 na internet. Não se sabe quando os criminosos começaram a explorá-la.
O problema não está em um modem específico, mas sim no chipset, controlador que realiza as principais funções do equipamento e é comprado pelos fabricantes de modems, que dão a ele forma em um produto final utilizável pelos consumidores.
A falha é de um chipset da Broadcom, que é usado por vários fabricantes, inclusive em modems vendidos no Brasil e homologados pela Agência Nacional de Telecomunicações (Anatel).
Nem todos os chips da Broadcom têm o problema, mas não existem dados precisos a respeito das versões e equipamentos afetados. Essas informações dependem dos fabricantes.
A fabricante D-Link confirmou que 2 modelos estão vulneráveis: o 500B e o 2640B.
A companhia disse ainda que havia identificado o problema “recentemente”, em um teste de segurança realizado no equipamento, e que a falha é “originada em peças produzidas por terceiros”.
A TP-Link informou que teria encontrado o problema ainda na fábrica, mas que nenhum equipamento da empresa que foi vendido no Brasil teria a falha e que nenhum modem atualmente em venda possui chipset da Broadcom. A coluna, porém, encontrou várias fontes afirmando que os modelos TD-W8950ND e TD-W8950N, vendidos no Brasil e homologados pela Anatel, possuem chip Broadcom, embora não seja possível saber se eles têm a vulnerabilidade. A TP-Link adicionou que “como não há nenhuma confirmação de que os equipamentos da TP-Link possuem este problema, não houve nenhuma necessidade de resposta à população”.
Linksys, Comtrend e LG-Ericsson (herdeira da marca LG-Nortel) também foram procuradas, mas não responderam. Os responsáveis pela divulgação da falha na internet, em março de 2011, revelaram o problema como sendo de um modem da Comtrend. Todos esses fabricantes trabalham com chips da Broadcom em algum equipamento, porém não necessariamente em ADSL. É possível que ainda outros fabricantes tenham produzido modelos vulneráveis e que equipamentos não vendidos oficialmente no Brasil também tenham a falha. A melhor maneira de verificar se o seu modem é vulnerável é por meio do teste ao final do texto.
Em comunicado, a Anatel disse que “os requisitos estabelecidos pela agência verificam as funcionalidades mínimas que permitem o funcionamento do produto, mas não verificam questões de vulnerabilidade quanto à segurança da informação”, alegando que ataques de hackers “não seguem um padrão”.
Responsabilidade
Renato Leite Monteiro, advogado especializado em direito eletrônico, diz que as empresas podem ser consideradas responsáveis por danos que tenham como causa um erro na prestação do serviço.
“Caso esse modem venha a apresentar qualquer problema que cause um prejuízo ao consumidor, a empresa que o cedeu ou fabricou será responsável e deverá ressarcir o cliente pelos danos”, afirmou. Essa responsabilidade, diz Monteiro, vale tanto para os fabricantes e fornecedores quanto para a operadora de telefonia, quando esta cedeu o equipamento usado.
“São eles responsáveis por eventuais danos causados aos clientes que sofreram ataques por uma brecha nos modems. Todavia, cabe ao consumidor escolher quem irá processar, se o fornecedor ou o fabricante. Quem destes dois posteriormente se sentir lesado poderá entrar com uma ação contra o outro, para ter os valores perdidos ressarcidos”, explica o advogado.
O que dizem as operadoras
O G1 procurou a Oi, a GVT e a Telefônica, principais empresas do país que promovem conexão via ADSL, embora outras menores também usem essa tecnologia, e questionou se elas sabiam dos ataques e estavam orientando clientes de alguma forma.
As respostas foram dadas ainda em fevereiro, quando os ataques estavam ocorrendo.
Apenas a Telefônica afirmou ter conhecimento da falha, revelando que foram detectados problemas em cerca de 800 modems em sua rede, todos em clientes com IP fixo (usados principalmente por clientes de linhas empresariais). A operadora disse que estava trabalhando para atualizar os softwares ou trocar os equipamentos vulneráveis e acrescentou que o Speedy tem quatro milhões de clientes, e que o número de consumidores com problema representaria apenas 0,02% da base de usuários.
A Oi disse que “os modems citados pela reportagem não fazem parte do portfólio das soluções fornecidos no modelo de comodato” e que está “reforçando a verificação de segurança dos seus modems”. A reportagem, porém, não tinha nenhuma lista em fevereiro, apenas algumas suspeitas. A coluna pediu uma lista dos equipamentos que a empresa fornecia em comodato, mas a solicitação não foi atendida.
A GVT afirmou que não havia sido notificada a respeito de nenhuma falha por nenhum fabricante e que “não identificou até o presente momento [início de fevereiro] qualquer anormalidade na prestação do serviço de banda larga aos seus clientes”.
A Anatel diz que, “num primeiro momento, o assunto deve ser analisado pela empresa prestadora do serviço, para que junto aos fabricantes, possa avaliar quais as causas do problema.”
A agência afirma que entraria na questão se, após a análise das causas, ficasse evidenciado que, no processo de avaliação da conformidade do produto, poderia ser tomada alguma atitude quanto a incluir novos requisitos de avaliação que minimizassem este tipo de problema.
Como funciona o ataque
Os criminosos varrem a internet em busca de modems que estejam expostos na rede.
Isso acontece principalmente com clientes de linhas empresariais de ADSL, porque as linhas ADSL domésticas, mais baratas, muitas vezes bloqueiam o acesso ao modem, se este for liberado de forma acidental.
Quando um modem é encontrado, uma tentativa para explorar a falha é realizada.
A vulnerabilidade é muito simples e vai revelar a senha de administração cadastrada no modem.
Com a senha, o criminoso entra no painel de administração do modem e altera a configuração do Domain Name System (DNS).
O DNS é a “lista telefônica” da internet e é responsável por converter um endereço como “g1.com.br” em um número de endereço IP no qual o computador pode se conectar.
Como os criminosos controlam a “lista”, eles podem fazer o site dos bancos serem direcionados para servidores que irão registrar a senha da vítima e realizar a fraude. Outra ação que pode ocorrer é o redirecionamento de anúncios de sites.
Os golpistas trocavam a senha de muitos modems, após realizar o ataque, deixando cadastrada a senha “dnschange” (“troca de DNS”, em inglês).
Como saber se o seu modem é vulnerável
Abra o seu navegador de internet e digite o IP do seu modem e acrescente “/password.cgi”. Se o IP for 10.0.0.1, o link será “http://10.0.0.1/password.cgi“. Ao abrir a página, visualize o código fonte (CTRL-U no Firefox e no Chrome; no Internet Explorer, aperte a tecla ALT, vá ao menu Exibir e selecione Código-Fonte).
Se o modem for vulnerável, no meio do código será possível ver a senha de administração configurada no modem. As senhas padrão costumam ser “admin”, “1234″, “epicrouter”, “root”, entre outros.
Se você não sabe o IP do seu modem, segure a tecla Windows no teclado e aperte a tecla R (combinação Win+R). A caixa do “Executar” vai se abrir.
Digite o “cmd” e clique em OK.
Na tela que aparece, digite o comando “ipconfig”.
Procure o “Gateway Padrão”.
Feche a janela e digite aquele IP no seu navegador web, conforme as instruções acima.
Verificando IP do modem e acessando arquivo que com a falha.
