Uma Oferta Para Os Hackers (1ª Parte)

Generosamente Cedida Pela HP, Iomega, Ricoh e Outras MarcasAs marcas e a falta de privacidade

Em Janeiro de 2013, o KRO, um “canal” holandês, emitiu uma reportagem intitulada “A Gift for the Hackers – Netherlands”. O que traduzindo dá, “Uma prenda para os hackers”, como se eles precisassem de mais facilidades e nós de mais ataques à nossa privacidade. Isto se tivermos sorte e a privacidade a única coisa violada. Se for a conta bancária será pior.

A reportagem data de 7 de Janeiro e é digna de ser vista, o que pode ser feito no Youtube, no endereço em baixo:

http://www.youtube.com/watch?v=okhfDsKmAoY&feature=c4-overview-vl&list=PLlGSlkijht5gbuhxJBBa84jvCoCSl9tLV

A Reportagem

O jornalista Vincent Verwein e a sua equipa demonstram, com provas concretas, como é possível aceder a dezenas ou centenas de milhar de equipamentos em rede e à informação neles contida. Os equipamentos aqui referidos são impressoras, impressoras multifunções, dispositivos NAS e câmaras de vigilância. Todos com o seu próprio endereço IP e presença activa nas redes informáticas. Todos têm em comum o facto de possuirem um pequeno servidor web para fácil acesso e controlo operacional via web. Esta facilidade de acesso leva a que sejam, também facilmente, indexados pelo BigBrotherGoogle. Demasiado intrusiva, esta indexação? poderão perguntar. Penso que sim, apesar de haver culpas de ponta a ponta (do cabo de rede).

Tudo isto é possível porque os fabricantes não implementam a obrigatoriedade de utilização de uma palavra-passe ou a alteração da palavra-passe original. Que, quando implementada, está disponível no Google para livre consulta. Para os fabricantes este comportamento é aceitável porque, em caso de prejuízos, estes são suportados pelos clientes. Ou, como costumo dizer, não há quem trate pior os seus clientes que os ISP e as empresas que fabricam equipamentos informáticos.

As ImpressorasHP ePrint Logo

A reportagem prossegue, mostrando como os jornalistas obtiveram, talvez com a ajuda de um hacker/profissional de segurança informática, acesso a inúmeros “pedaços” de informação privada. Entre os quais uma carta de um banco, esquecida num scanner, com a morada, o nome e o novo pin do cartão de débito do cliente. Cortesia da tecnologia HP ePrint, deixada aberta (em relação à web) por defeito.

Não pensem que são só as HP com ePrint que estão expostas. Algumas das impressoras da HP permitem, alegadamente, o download da lista completa de números de fax; ou seja, a lista de clientes da empresa. Certos modelos possuem discos rígidos de 120 GB ou mais.

Para que não pensem que esta política de portas abertas é exclusiva da HP, ficam aqui outras marcas acusadas das mesmas (más) práticas. A Brother e a Ricoh, com as suas impressoras, algumas de grande capacidade, podem guardar documentos e faxes impressos em enormes quantidades. Pensem nisso.

Brother LogoRicoh Logo

As Câmaras De Vigilância

Da AVTech são as focadas na reportagem, mas posso garantir-vos que as da Axis sofrem dos mesmos vícios. Estas câmaras, tipicamente de vigilância, têm um endereço IP para podermos ver as imagens a partir de qualquer sítio, nós…e os outros, bem entendido.AVtech Logo

Imaginem um assaltante que planeia uma incursão em deteminada loja, só que neste caso ele controla a câmara de segurança da própria loja e pode estudar movimentos e hábitos sem que ninguém o saiba, dando-lhe imenso tempo de preparação. Neste caso a presença do dispositivo ajuda, efectivamente, o assaltante e o assalto. Esta foi a realidade que os jornalistas holandeses encontraram.

Os Armazéns De Dados (NAS)

São, a meu ver, o caso mais preocupante. Um dispositivo NAS é, por norma, um conjunto de discos rígidos para armazenamento e backup de grandes quantidades de informação, por vezes de sistemas operativos completos. Estes dispositivos trabalham directamentre em cima da rede e suportam as necessidades de armazenamento de todos os computadores da rede. Todos os dados ficam assim centralizados, permitindo cópias de segurança (backups) automáticas.Iomega

São, na realidade, dispositivos cada vez mais indispensáveis, tanto para empresas como particulares. O problema ocorre quando, por deficiente configuração, todos estes dados ficam vísiveis na web, bastando para os ver um navegador web (browser) bem apontado. Não pensem que é preciso ser um uber-hacker (super-hacker) para lá chegar. A tecnologia é a do Google e o método está disponível em dezenas de sites, como veremos mais à frente.

30 petabytes ou trinta milhões de gigabytes foi a quantidade de informação que o KRO encontrou exposta nestes dispositivos NAS da Iomega, uma companhia da EMC2. É muita fruta! A Iomega costuma ser sinónimo de qualidade mas a resposta da empresa-mãe (EMC2), quando confrontada com estes factos, foi sinónimo de silêncio. Até virem os “primos” americanos compor a situação.

Não obstante foi aqui que se revelaram as maiores e mais graves fugas de informação, incluindo palavras-passe da Europol e bases da dados da Unilever (gelados Olá, entre dois mil outros produtos). Entre os dados mal guardados estava informação médica, ilegalmente não encriptada, nos NAS de dois médicos holandeses. Novamente não pensem que a Iomega está sozinha pois, ao preparar este artigo, encontrei, alegadamente, pequenos NAS da Linksys igualmente escancarados.

Conclusão

Este “artigo” já vai longo mas ainda há umas quantas coisas, importantes, a expor. Os números, a resposta dos fabricantes, a pesquisa e as técnicas utilizadas são, a meu ver, de exposição obrigatória. O que farei na 2ª Parte deste artigo. Verão como, com apenas algumas strings e a ajuda do Google, encontram tudo isto de que aqui se escreveu. Ficam estas para vos abrir o apetite. Copiem e colem na pesquisa do Google e tenham cuidado;

NAS Iomega

inurl:foldercontent.html?folder=* 

intitle:”Log In” “Access unsecured …”

inurl:login.html?pg=index.html

HP

inurl:hp/device/this.LCDispatcher?nav=hp.Print

inurl:hp/device/this.LCDispatcher?nav=hp.*

Câmaras de Vigilância

inurl:”MultiCameraFrame?Mode=Motion”

inurl:view/indexFrame.shtml

inurl:ViewerFrame?Mode=

Até sempre;
SonhosDigitais
Anúncios