Os especialistas em segurança Rodrigo Ferreira, do Rio de Janeiro, e Gustavo Oliveira, de Santo André, SP, descobriram falhas nos modems da NET que podem comprometer dados e privacidade de clientes. Segundo eles, é possível para um atacante, conectado ao serviço de Internet banda larga da NET, acessar as ferramentas de configuração dos modems de clientes nas proximidades.Procurada pelo Cibersecuriuty, a NET informou o seguinte: “A NET informa que possui uma forte política de segurança digital, que coíbe a conectividade entre modens. O caso relatado pelo cliente Rodrigo Ferreira aconteceu quando a empresa executava a troca de um equipamento, que gerou a necessidade de abertura de uma janela de poucos segundos, logo em seguida bloqueada.”Segundo informações de Ferreira, “em nossos testes, por meio de minha conexão no Rio de Janeiro, conseguimos nos autenticar no painel web de um modem conectado a partir de uma residência a aproximadamente 700 metros de distância. Não conseguimos reproduzir o problema na conexão de Santo André, mas não pudemos descartar a possibilidade de que exista. O vídeo a seguir, publicado por nós e acessível somente por meio do link, demonstra o experimento:
Segundo Ferreira, os modems aparentemente estão ligados por uma grande “rede local” que não controla de forma adequada a comunicação entre os dispositivos conectados. A cada um dos modems da região é atribuído, além do IP externo, um IP entre 10.60.128.1 e 10.60.255.255, através do qual é possível acessá-lo de outro ponto.
“Descobrimos, ainda, na Internet”, diz ele, “indicações de que os painéis web de datacenters da NET, frequentemente utilizados pelos técnicos em suas visitas, são, ou já foram, utilizados para coleta de endereços MAC dos modems de clientes (exemplo). Além disso, entre as informações disponíveis nestes painéis, estão os endereços IP entre 10.60.128.1 e 10.60.255.255 através dos quais se torna possível o acesso remoto aos modems. Simples pesquisas no Google são capazes de demonstrar que os endereços e credenciais de acesso estão há muito disponíveis para quem desejar (exemplo, exemplo). A facilidade de captura destas credenciais durante uma visita técnica, por meio de um sniffer ou um keylogger, por exemplo, certamente é um fator que contribui para isto.”
E, de acordo com testes realizados com a permissão de amigos e parentes, segundo os dois especialistas, é comum entre os técnicos responsáveis pela instalação dos modems a prática de não alterar as credenciais de autenticação (nome de usuário e senha) destes.
“Também estamos estudando diversas possíveis falhas de segurança especificamente em um dos modelos utilizados pela NET. Dentre elas, há uma que poderia permitir o acesso não autenticado às ferramentas de administração do modem. Não divulgaremos uma descrição mais detalhada a respeito destas no momento, pois acreditamos que ainda precisamos de um maior aprofundamento na investigação.
A falta de controle adequado da rede, o que permite o acesso a modems de outros clientes, a facilidade para obter as informações dos datacenters, as credenciais de autenticação padrão e as possíveis vulnerabilidades, comuns em modems e roteadores residenciais, são características que poderiam, inclusive, serem exploradas de forma maliciosa em conjunto, aumentando o potencial de causar danos.
Um atacante poderia, por exemplo, buscar, tanto através do datacenter quanto por uma ferramenta de mapeamento de redes, encontrar modems cujas ferramentas administrativas estejam acessíveis, seja por meio das credenciais padrão ou de vulnerabilidades, e realizar uma alteração em massa nos endereços de servidores DNS (no caso de modems que permitem esta alteração), redirecionando usuários de sites legítimos para sites falsos, criados especificamente para o roubo de informação (phishing). O roubo de senhas de redes Wi-Fi da região, o que possui diversas implicações negativas quanto à segurança, também é uma possibilidade: sabemos que modems da Motorola utilizados pela NET mostram estas senhas nos seus painéis de configuração web, conforme imagem em anexo (motorola.png).
Não temos acesso a informações detalhadas a respeito da estrutura e funcionamento da NET no Brasil, o que torna impossível termos uma noção precisa da quantidade de utilizadores da Internet banda larga da empresa que poderiam ser afetados por estes problemas. Porém, estamos certos de que a simples comprovação da possibilidade de utilização destes meios para um ataque merece atenção.
Como clientes e como pesquisadores, nos preocupamos com estas falhas, e desejamos ajudar a corrigí-las. Estamos à disposição para fornecer qualquer informação adicional necessária, e gostaríamos de um retorno a respeito da correção dos problemas”, finalizam os especialistas.
