Os Hackers Só Precisam de 60 Segundos para Encontrarem e Atacarem um Servidor Vulnerável
Filmes e, até certo ponto, a mídia dominante, nos fazem acreditar que organizar um ciberataque envolve muito planejamento, muitos recursos, e um geek adolescente que está de mau humor o tempo todo. Esse é um equívoco que teve um efeito profundo na maneira como as pessoas veem a sua segurança online. Porque elas foram levadas a acreditar que 'hackear' (um termo que também viu a sua parte de abuso) é muito trabalho duro, usuários regulares acham que ninguém vai se incomodar em atacá-los porque o esforço não vale a pena. Quanto mais cedo as pessoas perceberem que esse não é o caso, melhor. Para auxiliá-las, os pesquisadores da Sophos conduziram um experimento com o qual eles provaram que o fato de você ser ou não atacado não é uma questão de "se", mas de "quando". E a resposta para essa pergunta é "mais cedo do que você pensa".
Índice
A configuração
Os especialistas da Sophos monitoram o cenário de ameaças há anos. Eles sabem exatamente o que os hackers querem e o que estão preparados para fazer. Os pesquisadores também estão perfeitamente conscientes dos erros comuns de configuração que os fornecedores de hardware, administradores de sistema, e usuários comuns cometem quando configuram os seus dispositivos conectados à Internet.
No dia 17 de janeiro, eles deliberadamente repetiram alguns desses erros e montaram honeypots ('um mecanismo de segurança de computador configurado para detectar, defletir ou, de alguma maneira, neutralizar tentativas de uso não autorizado dos sistemas de informação') nos servidores centrais da Amazon na Califórnia, Ohio, São Paulo, Irlanda, Londres, Paris, Frankfurt, Mumbai, Cingapura e Sydney. Um honeypot, como você já deve ter adivinhado, é um dispositivo que está conectado à internet e é intencionalmente deixado vulnerável a fim de atrair os hackers para atacá-lo.
A Sophos usou honeypots de baixa e alta interação. Os de baixa interação apresentavam aos invasores um formulário de login que era impossível ignorar, e ajudaram a Sophos a entender melhor quantas tentativas de ataque de força bruta os invasores estão dispostos a fazer e que tipo de credenciais de login eles usam. Com os honeypots de alta interação, os especialistas queriam ver por que os hackers atacam servidores e outros dispositivos e o que fazem quando os comprometem. É por isso que os honeypots de alta interação permitiam que os invasores fizessem login e executassem comandos de shell seguro (SSH).
Os resultados
A Sophos sabia desde o começo que, como eles dizem, "todo dispositivo vale a pena invadir quando o processo é automatizado", e eles também sabiam que no mundo real, o processo é altamente automatizado. Os pesquisadores esperavam ver os primeiros ataques logo após o início do experimento, mas mesmo eles ficaram surpresos com a rapidez com que os hackers encontraram os servidores vulneráveis. A primeira tentativa de login no honeypot em São Paulo foi detectada apenas 52 segundos depois que o servidor foi colocado on-line. Quatro minutos depois, os bandidos também tentavam entrar usando força bruta no honeypot de Ohio e, em meia hora, eles estavam em todos os servidores da Califórnia, Paris, e Sydney. Encontrar o resto dos honeypots mostrou-se um pouco mais difícil, mas não muito. Cerca de uma hora e quarenta e cinco minutos após o início do experimento, o honeypot na Irlanda registrou a primeira tentativa de login não autorizada, o que significa que todos os dez servidores estavam sob ataque.
Com base em tudo isso, você pode estar pensando que os usuários na Irlanda estão mais seguros do que aqueles no Brasil, mas isso não é realmente o caso. Em apenas 30 dias, cada um dos honeypots da Sophos registrou centenas de milhares de tentativas de login, com o servidor de Ohio liderando o grupo com um total de 950 mil tentativas. Em média, entre os dez honeypots, os hackers tentavam uma invasão 17 vezes por minuto, mais ou menos 760 vezes por hora. Considerando tudo isso, o tempo extra necessário para encontrar alguns dos honeypots realmente não faz muita diferença.
Os números são especialmente assustadores quando você considera quantos dispositivos ainda estão protegidos por credenciais de login padrão que estão disponíveis publicamente. Infelizmente, os hackers estão cientes disso também.
Os nomes de usuário e senhas padrão facilitam a força bruta
As credenciais de login que a Sophos registrou durante os ataques de força bruta podem nos dar uma ideia do tipo de dispositivo que os criminosos buscam. O nome de usuário padrão para a conta administrativa em um sistema *NIX, por exemplo, é "root" e foi usado em impressionantes 96% das tentativas de login. A maioria dos servidores e virtualmente todas as câmeras de CCTV e dispositivos de IoT são executados nos sistemas operacionais *NIX.
Previsivelmente, as senhas mais comuns usadas pelos hackers durante as tentativas de força bruta eram "123456", e "password" não estava muito para trás. A maioria das outras senhas comumente usadas eram específicas para o dispositivo, incluindo "raspberry", que é a senha raiz padrão do Raspbian - uma distribuição Linux criada para o minicomputador Raspberry Pi.
A operação pós-compromisso
A presença das credenciais padrão do Raspberry Pi é interessante porque estamos falando de um dispositivo que não possui muitos recursos. Os hackers acham que é justificável hackear isso, o que pode soar um pouco desconcertante no começo, mas quando você vê o que eles fazem quando entram, perceberá que faz muito sentido.
Os dados coletados durante a experiência da Sophos mostram que, em janeiro, os hackers estavam montando um ataque altamente direcionado que não exigia uma hardware especialmente poderoso. Depois de entrar e confirmar que o dispositivo tinha uma conexão de internet estável, os criminosos usariam o honeypot como um proxy na tentativa de explorar a infra-estrutura de uma "grande cadeia de varejo" que a Sophos decidiu não revelar o nome.
Como você pode ver, os hackers não estão necessariamente interessados em que tipo de dispositivo eles estão comprometendo. Se eles precisarem de um proxy, eles encontrarão um proxy, o que significa que, mesmo que você esteja configurando algo aparentemente tão inofensivo quanto uma chaleira conectada à Internet, você precisa ter certeza de que o dispositivo está configurado corretamente. Alterar as credenciais de login padrão é o primeiro passo.
