Avançar para o conteúdo principal

Alerta – Routers D-Link são fáceis de atacar

Encontrado um backdoor que permite o acesso ao equipamento
A segurança informática é um dos assuntos mais discutidos nos últimos meses. Hoje em dia, os utilizadores vivem “assombrados” e parece que já nenhum serviço/equipamento tecnológico é merecedor da confiança do consumidor.
As ultimas noticias sobre “insegurança” dão conta que a D-link implementou um backdoor em alguns modelos dos seus equipamentos e que estes continuam completamente vulneráveis.
dlink_000
A onda recente de (in)segurança …
Tudo começou com o caso Edward Snowden que decidiu denunciar um mega sistema de vigilância americano, o PRISM (Programa de vigilância de telecomunicações altamente secreto). Depois as várias suspeitas de pedidos de espionagem informática da Agência Nacional de Segurança dos Estados Unidos da América (NSA) aos  gigantes da da Internet…e até as ultimas noticias que dão conta que a Agência Nacional de Segurança do EUA consegue “espiar” até o tráfego em VPNs e em outras comunicações cifradas…

O Backdoor da D-Link
Segundo uma publicação do autor do site devttys0, no passado Sábado, existem um backdoor implementado em alguns modelos dos routers D-Link.
Para quem não sabe, um backdoor é uma falha de segurança que permite a invasão do sistema, podendo este ser totalmente controlado remotamente. Além disso, com esta “porta” aberta, os ataques além de obterem informações podem também injectar código malicioso.
Na prática, esta “porta de entrada” no equipamento, pode ser facilmente usada, bastando que o atacante mude o “user-agent” (ou seja, uma string que fornece informações do nosso browser ao sistema que acedemos) para “xmlset_roodkcableoj28840ybtide”,
Com essa alteração, qualquer utilizador passa a conseguir entrar no router sem qualquer tipo de autenticação e visualizar/alterar as configurações do equipamento.
Como explicação mais técnica, quando o software de gestão do router procede à comparação de umhttp_request e verifica que o user-agent é “xmlset_roodkcableoj28840ybtide”, então ignora a função de autenticação e a função alpha_auth_check retorna o valor 1 (ou seja, autenticação com sucesso).
dlink_00
Segundo o autor da descoberta, tal String já tinha sido referenciada há alguns anos num fórum Russo que reportava que a string “xmlset_roodkcableoj28840ybtide” era uma “linha interessante” dentro do ficheiro /bin/webs que faz parte da estrutura do software de gestão dos routers D-Link.
Pelo que tem vindo a ser divulgado, aparentemente o binário /bin/webs contem uma versão modificada do serviço httpd que é responsável pela interface de gestão do equipamento….E ao que tudo indicada, a alteração foi efectuada pela Alphanetworks, uma spin-off da D-Link.
dlink_01
Modelos DLink Afectados
Esta falha de segurança afecta principalmente os seguintes equipamentos que têm o firmware v1.13:
  • DIR-100
  • DI-524
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240
Aparentemente, há também informações que os seguintes dois modelos estão também vulneráveis:
  • BRL-04UR
  • BRL-04CW
Debate
Uma falha de segurança a este nível (já que, ao que parece foi teve o consentimento da própria D-Link), pode levar uma empresa deste dimensão a tornar-se um inimigo publico. Até ao momento ainda não há qualquer informação oficial por parte da D-link mas…era importante saber porque implementaram tal backdoor…qual a finalidade do mesmo. Num pesquisa rápida usando o Shodan, podemos ver que existem muitos equipamentos vulneráveis pelo mundo fora.
Enquanto não existe um upgrade do firmware é aconselhável que façam um downgrade do mesmo, evitando assim tal exposição. Lembrem-se que o router assume o endereço publico da vossa ligação, estando assim  acessível a partir de qualquer parte do mundo.

Qual a motivação que uma empresa pode ter, para fazer algo deste tipo?

Comentários

Enviar um comentário

Mensagens populares deste blogue

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende...
Enviar um comentário
Ler mais

Llama Mountain: A board mais pequena do mundo é da Intel

A miniaturização dos componentes que constituem os nossos computadores tem estado a atingir níveis microscópicos. Ao criarem estes componentes passa a ser possível incluí-los em chassis ainda mais pequenos ou permite ganhar espaço para a colocação de outros elementos de maiores dimensões. A Intel apresentou hoje um protótipo, de nome Llama Mountain, que revela uma motherboard completa, mas de dimensões extremamente pequenas. Esta tecnologia vai estar disponível para qualquer OEM criar dispositivos, completos, ainda mais pequenos ou com outras características únicas. O Llama Mountain foi apresentado pela Intel na Computex um tablet único, a correr Windows 8.1 Pro, que é suportado por uma motherboard de dimensões reduzidas e que permite que exista espaço para a colocação de duas baterias. Estas duas baterias, de dimensões generosas, garantem a este tablet de 12.5 polegadas uma autonomia de 32 horas. Também como resultado da utilização desta motherboard, o tablet que fo...
Enviar um comentário
Ler mais

Avira PC Cleaner, do alerta para a segurança

As ferramentas que nos podem ajudar a detectar uma eventual infecção no nosso sistema são sempre uma mais-valia. Mas tornam-se ainda mais úteis quando chegam pela mão das grandes marcas de software com tradição em soluções de segurança, como é o caso da  Avira . Assim, a marca alemã disponibilizou o seu Avira PC Cleaner que pode ser descrito como uma ferramenta individual de pesquisa para vírus que funcional de forma independente, em espécie de «auditor» quer tenhamos ou não outras ferramentas de segurança instaladas. Vamos conhecer? O primeiro programa é bastante leve, rondando pouco mais de 2 MB de download sem necessidade de instalação. Uma vez descarregado basta correr o programa para que, de forma automática ele descarregue via INternet a «segunda parte» dele mesmo. Penso que começamos bem por aqui, pois este procedimento reduz, em certa forma, a possibilidade de eventuais conflitos com outras ferramentas de segurança que possamos ter instaladas. Uma vez d...
Enviar um comentário
Ler mais