New Page 2
INVASÃO ON LINE
Senhas ADSL da
Brasil Telecom são roubadas e expostas na Web
Milhares de logins e senhas de usuários de conexão
banda larga da Brasil Telecom foram roubados. Os dados de cerca de 1,5 mil
destes usuários foram publicados numa página na Web. Uma mulher de 23 anos que
usa os apelidos de Mel, Melzinha ou Melpôneme assume a responsabilidade pelo
ataque, supostamente ocorrido na terça-feira, dia 25 de fevereiro.
por Giordani Rodrigues.
De acordo com as
informações que publicou em
seu
blog, Melpôneme conseguiu capturar 6.753
contas de usuários da Brasil Telecom. Destas, cerca de 1,5 mil contas
exclusivamente do provedor BrTurbo, que também pertence à Brasil Telecom, foram
expostas e até hoje estão disponíveis na Internet.
A hacker também enviou um spam para estes usuários, orientando-os a localizar
suas senhas na página indicada e a ler um texto que publicou em seu blog, com o
título "Brasiltelecom deixa clientes vulneraveis". As informaçãoes divulgadas
dão acesso não só à conexão dos usuários, como também às contas de e-mail,
geralmente configuradas com os mesmos dados, e a outros serviços. Isto
representa um risco real e grave à privacidade dos clientes atingidos.
A Brasil Telecom confirma o ataque e os números divulgados pela hacker, e diz
ter tomado "ações corretivas" para "sanar o problema". Segundo a empresa, um
determinado modelo de modem da Alcatel "foi devassado por um hacker que
conseguiu uma senha de instalação do aparelho e replicou-a para vários usuários
do serviço de banda larga da Brasil Telecom".
O modem atingido teria sido o modelo Speed Touch PRO, da Alcatel, mas isso não
quer dizer que outros modelos, até mesmo de outros fabricantes, não possam estar
vulneráveis. A brecha de segurança que permitiu o ataque, na verdade, foi
operacional, e não de software ou hardware. O modem atingido é do tipo roteador,
capaz de fazer ele próprio a conexão com a operadora assim que é ligado. O
aparelho já vem configurado de fábrica com uma senha padrão, que não foi
modificada pela Brasil Telecom.
Como aconteceu o ataque
Esta senha, que por sinal não é nada difícil de adivinhar, espalhou-se de boca
em boca, inicialmente por intermédio dos próprios técnicos de instalação do
serviço ADSL contratados pela Brasil Telecom, segundo afirma Melpôneme, em
entrevista por e-mail a InfoGuerra. "Esta vulnerabilidade já era pública
e grupos de warez (que produzem programas piratas) também possuem inúmeras
senhas, utilizando recursos do usuário para, por exemplo, postar DIVX (vídeo
digital, no caso, pirata), pornografia, música e programas em FTPs (serviços de
transferência de arquivos) destinados aos usuários da BrTurbo", revela.
O que Melpôneme fez foi escrever um script em linguagem Perl, capaz de acessar
os modems da Alcatel que ela sabia que estavam configurados com a senha padrão,
e capturar a senha de conexão dos usuários. Segundo a hacker, outras ações
poderiam ser tomadas por um atacante que acessasse a senha "root" (raiz) do
modem/roteador, como por exemplo, substituir os endereços DNS (nomes de domínios)
da máquina atingida, por DNS invadidos, num ataque chamado de "spoofing". Sob
certas condições, isto poderia ter conseqüências graves, afirma, como o acesso a
senhas bancárias e uso da máquina do usuário para atacar remotamente outros
computadores.
A própria hacker orienta os usuários a alterarem a senha do roteador, indicando
uma
página com os
procedimentos para alteração manual ou por meio de um pequeno programa, para o
Alcatel Speed Touch PRO. Ela também avisa que a senha padrão fica guardada na
memória do modem/roteador, portanto, caso o aparelho seja reconfigurado ao
estado original (reset), pelo usuário ou por um atacante, a senha "volta".
De acordo com a análise de um especialista em segurança consultado por
InfoGuerra, as portas que normalmente dariam acesso aos roteadores são a 80
(padrão para o protocolo HTTP) e a 23 (usada para conexões Telnet). Estas portas
só permitem o acesso interno, isto é, do próprio usuário do equipamento, mas não
o acesso externo, pois estão bloqueadas nos roteadores das operadoras (chamados
"de borda"). Porém, no caso dos usuários da Brasil Telecom, a porta 21, usada
pelo serviço FTP, estava aberta e foi por ela que a hacker penetrou, o que pode
ser visto em uma das linhas de programação do seu script.
O especialista afirma ainda que as portas 23 e 80 só estão bloqueadas nos planos
domésticos e não empresariais, portanto as empresas que não mudarem a senha
padrão ainda correm risco. Ele disse que o acesso pela porta 21, como usado na
Brasil Telecom, é uma exceção, mas avisa que outros modelos de modem também
estão vulneráveis ao mesmo tipo de ataque, incluindo os usados por outras
operadoras, pois em geral a senha padrão não é modificada.
"Uma mocinha como as outras"
Melpôneme, por sua vez, confirma esta informação e diz que as senha padrões de
fábrica são usadas não só para serviços de ADSL, como também para locação de
roteadores (links) e outros serviços. "A Telefônica também usa senha padrão em
seus roteadores e grande parte dos equipamentos Cisco alugados pelas operadoras
estão com senha padrão", garante.
Apesar disso, ela diz que acessou apenas os modems da Brasil Telecom, "como um
sinal de protesto". A hacker afirma que teve acesso a todos os roteadores
corporativos e residenciais da empresa, em toda a gama de localidades em que a
operadora atua (a Brasil Telecom presta serviços em todos os estados das regiões
Sul e Centro-Oeste, incluindo o Distrito Federal, e nos estados do Acre,
Rondônia e Tocantins). As 1,5 mil contas da BrTurbo foram publicadas como sinal
de alerta, segundo ela, mas as outras contas que estão em seu poder pertencem a
vários outros provedores, como Uol, Terra, Vento, e também a importantes
domínios da Universidade de Brasília, do Senado Federal, Tribunal Superior de
Justiça, Caixa Econômica Federal e outras repartições governamentais, afirma.
Melpôneme garante que o restante das senhas não será divulgado ou repassado a
terceiros.
A hacker disse que se considera "uma mocinha como as outras", mas acha que se
destaca por "ter um raciocínio mais trabalhado e uma grande vontade de sempre
aprender". Ela afirma que é goiana, tem 23 anos e atualmente mora no Canadá,
onde está se "especializando na área de segurança". Adotou o apelido de
Melpôneme em referência à musa da tragédia e ao seu próprio apelido natural
(Mel).
Uma das inteções da hacker, segundo suas próprias palavras, é mostrar que o
mercado goiano está vulnerável, atacando-o. Deixa isso claro não só anunciando
em seu blog que o alvo de seu próximo ataque será o portal Goiasnet.com.br, que
faz parte da Globo.com, como escrevendo coisas do tipo: "80% das empresas
goianas administradas pelos seus fortes empresários peões e sua capacitada
equipe de técnicos em manutenção de micros formados pelo Senac, também
conhecidos como administradores de rede, estão vulneráveis".
Melpôneme disse que testou as medidas tomadas pela Brasil Telecom e constatou
que a operadora fechou a porta que dava acesso ao modem dos usuários. Ela alerta,
porém, que boa parte destes usuários não modificou as senhas depois do incidente,
mesmo com seu alerta e o da própria Brasil Telecom. Portanto, as caixas de
correio e as conexões ainda podem ser usadas por qualquer um que tenha acesso à
lista divulgada. Poucos minutos antes da publicação desta reportagem,
InfoGuerra testou várias senhas e conseguiu conexão com todas elas, o que
indica que a hacker tem razão em suas afirmativas.
Perguntada se não temia que a Brasil Telecom acionasse a polícia e conseguisse
prendê-la pelo que fez, respondeu: "Não vejo nada de errado nas minhas atitudes,
e não me enquadro em alguma lei brasileira. Se formos analisar quem deveria ser
preso por expor seus clientes seria a própria Brasil Telecom. Afinal, esta senha
se espalhou inicialmente através dos técnicos de ADSL da empresa. Resumindo, a
Brasil Telecom deu a inúmeros técnicos a chave da informação dos seus clientes".
Info: InfoGuerra
www.infoguerra.com.br
Relatorio ALFA
