• AusCERT no Censo Internet 2012: a Culpa não é do Usuário "Estúpido"

    Publicado em 28-05-2013 11:30
    0 Comentários Comentários
    Quando três descuidadas configurações-padrão estão presentes ao mesmo tempo nos computadores mundo afora, os criminosos não perdem tempo e aproveitam o acesso fácil para esses dispositivos e sistemas de controle industriais no intuito de cometerem seus crimes pela Internet. Isso é o que o AusCERT (Australian Computer Response Team) descobriu em sua mais recente análise de dados previamente reservados do último Internet Census 2012. Para a análise, que foi apresentada na conferência da própria AusCERT na semana passada, o criador do censo deu ao AusCERT o equivalente a 9 TB (TeraBytes) de dados, incluindo informação de 1,2 milhões de dispositivos identificáveis que poderiam ser infectados com o botnet Carna, permitindo efetuar o scan de todos os espaços de endereços IPv4.


    A AusCERT avaliou os fabricantes afetados em nível nacional e internacional. Fonte: AusCERT.

    De Quem é a Culpa?

    A AusCERT descobriu que o Carna explorar configurações padrão descuidadas. Os dispositivos infectados com esse botnet ficam acessíveis diretamente através da Internet, oferecendo acesso telnet na porta 23 sem um firewall, e utiliza dados de login padrão como admin:admin, adminassword ou rootassword. Por sinal, foi fácil identificar os dispositivos em questão através da saída do comando ifconfig. A AusCERT destacou o fato de que os dispositivos estão vulneráveis por culpa dos fabricantes e não dos usuários "estúpidos".

    O Auscert argumenta que, frequentemente, os usuários tem pouca oportunidade de alterar manualmente as configurações-padrão desses dispositivos. As backdoors são deliberadamente codificadas pelos fabricantes, impedindo que os dados de login sejam alterados, ou mesmo os usuários não são informados que um dispositivo possui uma conexão ativa com a Internet. Adicionalmente, alguns dispositivos necessitam de um endereço de IP publicamente acessível para que todas as suas funcionalidades possam estar disponíveis.


    Dispositivos sem proteção suficiente são mais encontrados na China. Fonte: AusCERT.

    Aparentemente, apenas 1.614 de 1,2 milhões de dispositivos identificados estavam localizados na Austrália, e 25 por cento de todos os dispositivos afetados na Austrália fora produzidos pela TVT Co.. Os especialistas dizem que 15 por cento eram dispositivos NetComm, 13 por cento foram feitos pela Aztech Electronics Pte Ltd, e que 11 por cento vieram da D-Link.

    A maioria dos dispositivos sem proteção suficiente vieram da China, seguido de Turquia e Índia. A AusCERT notou que, para fechar as brechas de segurança em uma escala global, a equipe tinha de passar seus próprios resultados para todos os países e CERTs associados onde mais de dez mil dispositivos são afetados. No todo, a informação foi enviada apenas para um total de 22 países. A AusCERT disse que a maioria das brechas de segurança poderiam ser corrigidas pelo simples fechamento da porta 23. O botnet Carna foi projetado de tal maneira que possa ser removido a cada reset ou reinicialização do hardware envolvido.

    Saiba Mais:

    - Heise Online: AusCERT on the Internet Census: It's not the fault of "stupid users" (em Inglês)
    + Enviar Comentário