Vulnerabilidade em modens roteadores alteram DNS
direcionando para outros sites
Um
exemplo:
Segundo
o site, depois de infectar um dispositivo, o vírus procura pela internet outros
aparelhos similares – e igualmente vulneráveis – para se espalhar. O CTO do
Sans Johannes B. Ullrich afirmou à página que, apenas nos EUA, cerca de 1.000
casos foram confirmados em roteadores da linha E da Linksys, que inclui os
modelos E1000, E1200 e E2400, por exemplo.
No
mundo todo, no entanto, o número pode ser bem maior. Ao invadir os aparelhos, o
malware injeta um script que carrega esse mesmo comportamento de “procurar e destruir”
– ou “se espalhar”. Ele pode alterar o endereço de domínio do dispositivo para
8.8.8.8 ou 8.8.4.4 (o DNS do Google) e, segundo um operador de provedores
ouvido pelo Ars, a ideia parece ser criar uma botnet com os roteadores.
A
brecha aproveitada pelo ataque aparece na comunicação com o protocolo de
administração de redes domésticas (o HNAP, na sigla em inglês). Ele é utilizado
por provedores para acessar remotamente roteadores em casas e escritórios, e
esse não é o primeiro bug encontrado no sistema. O worm usa o HNAP para
encontrar outros roteadores vulneráveis da Linksys, e se espalha, independente
de senhas, através de uma vulnerabilidade em um script CGI.
Prevenção
– Segundo o Ars, quem tem um aparelho da Linksys em casa ou no trabalho pode
descobrir se ele está infectando checando a atividade de saída nas portas 80 ou
8080 e tentativas de conexão em algumas que ficam abaixo da 1024. Se elas
estiverem muito altas – e a internet estiver muito lenta –, o ideal é reiniciar
o roteador, já que o worm parece não ser tão persistente. E mesmo em
dispositivos não infectados, quando possível, recomendasse atualizar o firmware
para a versão 2.0.06. Aparentemente, a brecha de segurança está presente em
edições anteriores a ela.
Vulnerabilidade
em roteadores Wi-Fi possibilita invasão da rede
Ao
configurar um novo roteador Wi-Fi, é recomendado utilizar proteções mais
fortes, como WPA e WPA2, que diminuem a possibilidade de quebra da senha da
rede de maneira rápida, diferentemente do antigo WEP, que possui
vulnerabilidades conhecidas e pode ser burlado facilmente por pessoas mal
intencionadas. Uma falha descoberta recentemente, porém, não depende do método
de segurança utilizado pelo usuário.
A
falha de segurança explora o WPS (Wi-Fi Protected Setup), que facilita a
configuração de uma nova rede sem fio por meio de um assistente que acessa o
roteador e define senha e nome da rede, por exemplo, de acordo com as
solicitações do usuário. O recurso está disponível em muitos roteadores
vendidos atualmente — se você configurou o roteador por meio de um aplicativo
no CD e não pelo navegador, muito provavelmente seu equipamento possui a
funcionalidade.
O
WPS é protegido por uma senha de 8 dígitos. Devido a uma falha do projeto é
possível descobrir quando a primeira metade do código está correta, o que
diminui consideravelmente o tempo necessário para quebrar a senha. De acordo
com testes, a quebra da proteção da rede pode ser feita em 10 horas ou até
menos, dependendo do roteador e do fator sorte.
De
posse do código do WPS, um hacker pode obter acesso ao software de configuração
do roteador. Isso permite desabilitar a proteção da rede e até mesmo trocar a
senha, para que o acesso seja feito livremente. Essas mudanças podem causar uma
série de problemas. Se você acessa a Internet a partir de uma conexão 3G, por
exemplo, seu limite de tráfego de dados pode ir embora rapidamente.
Determinados
modelos de roteadores são mais prejudicados, uma vez que não possuem nenhum
tipo de proteção contra ataques. Entre os roteadores afetados estão modelos das
empresas Belkin, Buffalo, D-Link, Linksys, Netgear, Technicolor, TP-Link e
ZyXEL.
Como
as fabricantes ainda não disponibilizaram nenhuma atualização de segurança, é
necessário desabilitar o WPS nas configurações do roteador para mitigar o
problema, o que, infelizmente, nem sempre é possível.
Nesse
caso, desabilitar o UPnP e habilitar o acesso apenas para computadores
autorizados, por meio do recurso de filtragem de endereços MAC, pode ser uma
boa opção para evitar ataques do tipo.
Acessando
sites de bancos falsos
Uma
medida interessante e rápida, é acessar o site primeiramente com dados errados.
Assim que os dados baterem no servidor do banco, eles irão acusar que os dados
são iveridicos. As vezes na pressa de fazer alguma transação urgente digitamos
todos os dados sem pensar duas vezes!
No
caso do Banco Bradesco verifique sempre
1-Ao
acessar o site do banco aparecerá um cadeado, mostrando assim a legitimidade do
site
2-O
próprio site bancário informa que os dados não são validos. Quando forem
validados aparecerá uma saudação, já com seu nome no próprio site
Para
aqueles que foram infectados. Testamos aqui varias medidas descritas em
diversos sites e nenhuma deu resultado:
1-Pode
ser que o vírus evoluiu e estas medidas não são mais eficazes
2-Pode
ser que a dica te leve a instalar outro programa invasor, ou seja, ao invés de
um problema terão dois.
Medidas
que utilizamos
1-Formatação
do equipamento (alguns casos isso resolve se o vírus estiver residente na
maquina)
2-Reset
do modem e roteador ou outro dispositivo de rede (em nosso teste foi bem
produtivo)
3-Para
quem quer ter certeza, efetuar os dois processos acima
Lembrando
que isto não afasta a hipótese de o vírus retornar. Tente filtrar os sites em
que entra e os e-mails que lêem. A dica é, nunca clique em links
http://exame.abril.com.br/tecnologia/noticias/roteadores-linksys-sao-infectados-por-virus-auto-replicavel
http://www.techtudo.com.br/noticias/noticia/2012/01/vulnerabilidade-em-roteadores-wi-fi-possibilita-invasao-da-rede.html
Para
saber mais sobre vírus e suas atuações acesse:
