Site Meter Worms em roteadores e modems ADSL: Sinal dos tempos - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Worms em roteadores e modems ADSL: Sinal dos tempos

Worms em roteadores e modems ADSL: Sinal dos tempos

  • Comments 3
  • Likes

Ainda hoje ouvimos profissionais dividindo segurança em plataformas de “software e hardware”, como se tal separação fosse possível o tempo todo em todos os casos.

Certamente é um indicador do verdadeiro problema: Controle sobre configurações, atualizações e incidentes, independente de parecer uma “caixa” ou parecer ser “apenas software”.

Recentes reports sobre worms infectando dispositivos como modems ADSL tem aparecido nos ultimos tempos, alem de outros reports ainda mais bizarros como ataques a BIOS.

Utilizando técnicas como o conhecimento de senhas padrão de fabricantes, exploits para vulnerabilidades conhecidas já corrigidas e em muitos casos sem a capacidade de infectar nenhum PC (somente os modems ou devices similares), esta tendência merece atenção

Tenho por costume acompanhar bem de perto os logs do meu firewall domestico de borda (ISA2006)  e procuro alertar para coisas fora do comum.

Chamou-me a atenção a quantidade crescente de tráfego direcionada a porta do telnet (23), assim como tentativas de SNMP  e SQL. Ao buscar incidentes semelhantes baseado nas portas e conteudo dos pacotes, fiquei bastante impressionado com a quantidade de incidentes similares ligados a diversas plataformas de cable modems e roteadores.

O que aprendemos com isso?

1)      Que independente de sabermos ou não o software está presente em todos os lugares. Mais do que isso: Seja no nível do software, das pessoas ou do hardware, somente a contínua melhoria de processos e capacitação de pessoas permite identificar incidentes “invisíveis”

2)      Que as ameaças são cada vez mais sofisticadas mas as medidas de proteção antigas e novas devem conviver. Patch management, senhas fracas, consistencia no processo de atualizacoes para todas as plataformas são medidas que transcendem uma ou outra plataforma e devem ser aplicados em portas, janelas e qualquer outra coisa.

3)      Qualquer  semelhança com que que apontamos ao falar do Conficker, Morris Worm ou tantos outros não é mera coincidencia.

PSYBOT:

Um bot para dispositivos MIPS: http://isc2.sans.org/diary.html?storyid=4175Not

http://www.adam.com.au/bogaurd/PSYB0T.pdf

Bot afeta modems e roteadores

http://blogs.zdnet.com/security/?p=2972

http://forums.techarena.in/networking-security/1147035.htm

Busybox: http://www.busybox.net/screenshot.html

 

Aylton Souza (Abu) é especialista de Indústria (Management / S+S) da Microsoft Brasil

Comments
  • Uma botnet com 100 mil dispositivos rodando Linux? Mais uma evidência que tudo é uma questão de ter massa crítica no mercado.

  • PingBack from http://www.jlclan.org/2009/03/novo-virus-e-capaz-de-infectar-modens-adsl-e-roteadores-domesticos/

  • O problema não está no S.O ou no equipamento e sim na displicência dos usuários, que mantém senhas e portas no padrão vindo do fabricante. Muitos não atualizam nem o firmware do equipamento, ou seja, estão dando sorte ao azar.

    Chegará dentro em breve o momento o qual o usuário lembrará que a segurança virtual é como a física e que se não tomar as medidas mínimas necessárias pode acabar pagando um preço alto.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment