Uma lista contendo informações de login de 515.000 dispositivos foi vazada on-line
As notícias de segurança cibernética tendem a ser dominadas por surtos de ransomware e manchetes criptografadoras, não apenas porque esses estão entre os tipos mais comuns de ataques, mas também porque são ótimas histórias. Há outro tipo de crime cibernético, no entanto, que pode ser igualmente destrutivo, mas geralmente é deixado de fora da atenção da mídia.
Os ataques de negação de serviço distribuída (geralmente abreviados como DDoS) não são especialmente espetaculares e você pode argumentar que, comparado ao ransomware, o processo de recuperação que as vítimas de DDoS devem passar é muito mais curto e muito mais barato. Como o ataque ao provedor de DNS Dyn de outubro de 2016 demonstrou, no entanto, o DDoS pode ser uma arma muito poderosa. Graças a uma lista de credenciais de logon que vazou na semana passada, o uso agora pode ser muito mais fácil.
Um cibercriminoso vaza mais de meio milhão de combinações de nome de usuário e senha
Catalin Cimpanu, do ZDNet, informou no domingo que um cibercriminoso não identificado usou "um popular fórum de hackers" para despejar uma enorme quantidade de dados de login. Espalhados por vários arquivos TXT, ele contém os endereços IP, nomes de usuário e senhas Telnet que supostamente podem permitir que os cibercriminosos assumam pelo menos 515 mil pontos de extremidade conectados à Internet. A maioria deles são dispositivos de IoT.
O Telnet, como alguns de vocês devem se lembrar, também foi usado pelo Mirai, o malware que coletava um grande número de dispositivos de IoT em uma enorme rede de bots e o utilizava para lançar alguns dos maiores ataques DDoS da história, incluindo o Dyn. É um protocolo de comunicação desatualizado e tem algumas vulnerabilidades de segurança que o tornam inadequado para uso nos dias de hoje. No entanto, os fornecedores de IoT continuam empregando o Telnet, e os hackers não precisam de um segundo convite.
A pessoa que vazou os 515 mil nomes de usuário e senhas disse ao ZDNet que havia usado os dados de login para recrutar os dispositivos em uma botnet, que depois alugou para outros cibercriminosos com o objetivo de iniciar ataques DDoS. Esse tipo de negócio é bastante popular no submundo cibernético, e alguns criminosos estão ganhando um centavo com isso, enquanto outros acabam atrás das grades.
A pessoa que vazou os 515 mil pares de nome de usuário e senha não o fez porque tinha medo de ter problemas. Ele fez isso porque havia atualizado sua configuração e não precisava mais dos dados. Aparentemente, ele acredita que seus negócios são bem-sucedidos porque disse ao ZDNet que, a partir de agora, seu serviço de DDoS por locação dependeria de servidores de alta produção alugados de provedores de serviços em nuvem.
Os departamentos de abuso dos provedores de nuvem mencionados podem querer prestar mais atenção a quem está usando seus servidores a partir de agora, porque a atualização de dispositivos IoT para hardware seriamente poderoso vai gerar ataques DDoS muito mais substanciais. Enquanto isso, precisamos voltar às credenciais vazadas e ver que tipo de dano elas podem causar.
Quão perigoso podem ser os nomes de usuário e senhas vazados?
Como já mencionamos, a lista de IPs, nomes de usuário e senhas foi publicada em um fórum de hackers, o que significa que os aspirantes a cibercriminosos que planejam iniciar um ataque DDoS nem precisam acessar a chamada dark web ou pagar qualquer dinheiro para conseguir o que precisam. As coisas podem não ser tão simples assim.
Depois de descobrir os dados, Catalin Cimpanu baixou-os, mas por razões legais, ele decidiu não confirmar sua validade entrando em dispositivos de pessoas inocentes. Deve-se dizer, no entanto, que pelo menos algumas das credenciais e endereços IP podem não ser mais utilizáveis. Além disso, a Cimpanu compartilhou as informações com pesquisadores de segurança que estão no processo de descobrir os proprietários de alguns dos endereços IP e informá-los sobre o vazamento. Em outras palavras, é difícil dizer o quão perigoso são os dados expostos. O que sabemos com certeza é como acabou onde está agora.
A coleta de informações que permitiriam comprometer mais de meio milhão de dispositivos não exigiu nenhum hacking real. Obter os IPs é tão fácil quanto executar uma verificação em um mecanismo de pesquisa especializado e, quanto aos nomes de usuário e senhas, existem dois tipos. Algumas são as credenciais padrão com as quais os dispositivos saem das caixas e o restante são personalizados, mas fáceis de adivinhar nomes de usuário e senhas que os proprietários dos dispositivos definiram.
Isso destaca a questão real. Muitas pessoas argumentam que a proliferação de dispositivos IoT está facilitando os ataques DDoS, mas a verdade é um pouco diferente. O problema não está no número crescente de gadgets em nossa rede Wi-Fi. Está no fato de não estarmos dispostos e/ou incapazes de protegê-los adequadamente.
