Ataques bem-sucedidos ao “coração da rede” podem colocar em risco todo o ecossistema de TI das nações afetadas. Aqueles que acreditam nesta representação podem pensar que a Rússia está iniciando uma guerra cibernética. Mas, quais seriam as acusações?
Se três instituições como o FBI, o Departamento de Segurança Interna (DHS) e o Centro Nacional de Segurança Cibernética Britânico (NCSC) emitem um alerta conjunto (em 16 de abril último) com o título “Atos cibernéticos patrocinados pela Rússia visam dispositivos de infraestrutura de rede”, isso geralmente tem um peso considerável. No entanto, se você encontrar uma acusação após a outra, sem um fragmento de evidência para apoiar as alegações, você ficará surpreso ao ler o referido texto.
O alerta “Technical Alert TA18-106A” do US-CERT – United States Computer Emergency Readiness Team fornece várias dicas para uma onda de ataques a roteadores, firewalls e outros dispositivos de rede. No entanto, evidências convincentes sobre a proveniência russa destes ataques são estranhamente inexistentes. Parece-me, na verdade, que estamos preocupados com duas coisas: 1) o alerta concreto sobre um ataque em andamento, e 2) propaganda politicamente motivada.
O ataque
A descrição técnica do US-CERT nos diz que há ataques em roteadores de empresas e usuários particulares, visando protocolos obsoletos e ferramentas de administração simples. Ela menciona particularmente as varreduras nas portas de telnet (porta 23), HTTP (porta 80) e SNMP (portas 161/162). O aviso também menciona ataques a uma ferramenta de administração simples e automatizada de roteadores Cisco. Os ataques a este cliente Smart Install (SMI) foram comentados pela Cisco em 5 de abril. Além de configurar o roteador, o suporte TFTP integrado pode ser usado para enviar dados (de configuração) para computadores remotos. Um diagrama demonstra que, desde novembro de 2017, há um aumento de atividade na porta relacionada 4786. Os ataques ao SMI não são novos e se tornaram muito mais fáceis de realizar quando a “ferramenta de exploração de instalação inteligente” (SIET) começou a se espalhar nos mercados subterrâneos em novembro 2016.
Para encurtar a história, o aviso não está particularmente atualizado e, também, não é especialmente incomum. Ataques em dispositivos que usam protocolos não criptografados ou possuem falhas de segurança conhecidas acontecem diariamente. Uma declaração do BSI alemão de 17.4. leva à mesma linha de raciocínio. Os métodos de ataque são conhecidos há anos. Do ponto de vista técnico, não há novas descobertas na explicação dos US-CERT. O BSI alemão está ciente dos casos atuais em seu país e que são semelhantes aos descritos no alerta. As instituições afetadas são informadas e medidas de defesa apropriadas foram iniciadas. Não há motivo para pânico.
Os ataques podem parecer inofensivos. Infelizmente, esse não é o caso. Você não deve levar o aviso de maneira superficial. Roteadores são, de fato, o coração da rede. Com acesso irrestrito a um roteador, não é apenas possível espionar a infraestrutura de rede, mas também pode-se ler todos os dados (não criptografados) que passam por eles. Também é possível redirecionar, interromper ou manipular transferências de dados. Quem controla o roteador também controla a rede. No entanto, o impacto macroeconômico iminente de roteadores privados comprometidos pode estar sendo negligenciado.
Os roteadores Cisco, no entanto, são sistemas altamente otimizados para o processamento de pacotes de rede e são implantados principalmente em ambientes profissionais, onde as manipulações podem ter efeitos graves. Neste cenário, quem ainda está usando protocolos não criptografados e/ou usam ferramentas de administração simples, que não cumprem os requisitos de segurança apropriados, deve considerar o alerta técnico como uma oportunidade para desabilitar e/ou substituir os componentes inseguros. A seção Soluções do alerta técnico US-CERT fornece conselhos valiosos para corrigir o problema atual. O US-CERT também fornece conselhos mais fundamentais sobre como proteger redes e dispositivos.
Aviso de Guerra Cibernética
Agências de inteligência espionam. É o trabalho delas. E, claro, elas utilizam as facilidades técnicas da Internet. Até que ponto isso acontece, assim como a natureza sistemática dessas atividades foram delineadas pelas revelações de Edward Snowden. Do ponto de vista de um adversário, os dispositivos de rede são particularmente atraentes porque processam grandes quantidades de dados. Não é surpresa que esses dispositivos estejam no foco das agências de inteligência – não apenas dos russos. A relação diplomática entre a Rússia e os EUA tem sido um pouco tensa nos últimos tempos. Mais e mais campanhas são lançadas onde empresas russas são colocadas em uma situação ruim.
As acusações, no entanto, não são compreensíveis do ponto de vista externo, porque os insights nos quais elas são baseadas não estão sujeitas ao escrutínio público. Isso me lembra do esquema que na época levou à guerra no Iraque. O alerta atual coloca os incidentes descritos no contexto de ataques realizados (ou pelo menos apoiados) pelo governo russo, criando assim um contexto de guerra cibernética. Dado que não se trata apenas de espionagem, mas também de sabotagem, as consequências de ataques bem-sucedidos a dispositivos de rede são ainda mais graves.
A boa notícia é que mais e mais empresas (e usuários particulares) lidam melhor com a segurança de sua TI e os processos de negócios relacionados, investindo muito conhecimento nisso. Mas, infelizmente isso não é tão simples quanto parece. Toda empresa tem suas próprias condições e características que devem se adequar às medidas de segurança necessárias. Por mais de 30 anos, temos visto esta evolução, o que significa uma luz no fim do túnel.
* Ralf Benzmüller é presidente executivo da G Data SecurityLabs
