Falhas em videoconferência facilitam a vida de espiões
Dezenas de milhares de configurações de videoconferência, incluindo
algumas colocadas dentro de salas de reuniões onde são discutidas
informações confidenciais, são vulneráveis a ataques de espionagem,
afirmaram pesquisadores nesta semana.
Após passar meses fazendo root em softwares e aparelhos
sofisticados de videoconferência, e passando horas em salas de reunião, o
especialista em segurança HD Moore afirmou que o perigo era uma
“tempestade perfeita” trazida por hábitos preguiçosos e configurações de
segurança malfeitas. “Muitas dessas instalações de videoconferência
estão ‘peladas’ na Internet”, afirmou Moore, que trabalha como chefe de
segurança da empresa Rapid7.
Usando ferramentas de escaneamento, Moore examinou uma pequena parte
da Internet para encontrar hardwares que usavam o protocolo H.323 – o
padrão mais usado em equipamentos de videoconferência – e descobriu que
2% deles estavam correndo risco de ataques hackers porque estavam
configurados para responder automaticamente qualquer chamada e não
estavam protegidos por um firewall.
Na Internet como um todo, Moore estimou que mais de 150 mil
configurações de videoconferência estavam vulneráveis a escutas
clandestinas por meio do uso de microfones e espionagem via câmeras
controladas remotamente.
As maiores gafes em videoconferência são o recurso de auto-resposta e
o posicionamento de hardware sem um firewall, ou longe do perímetro
defensivo conhecido da empresa, diz Moore. E mesmo quando os sistemas
parecem protegidos, alguns firewalls falham em lidar corretamente com o
protocolo H.323, e realmente expor o hardware a infiltrações.
Outros problemas vão desde vulnerabilidades conhecidas em alguns
softwares de videoconferência até hardwares usados que são vendidos por
meio de lojas como o eBay e que não foram “limpos” de suas conexões
pré-configuradas para outros locais de conferência.
Moore conseguiu acessar videoconferências realizadas em salas de
reuniões de empresas, e em reuniões em locais de pesquisa, escritórios e
empresas de capital de risco.
“Você vê essas salas de reuniões muito bem designadas onde eles estão
tendo suas conversas mais importantes”, afirmou o executivo chefe da
Rapid7, Mike Tuchen. “Normalmente, os equipamentos de videoconferência
ficam localizados nos mesmos lugares onde acontecem as reuniões mais
importantes.”
Desabilitar o atendimento automático (auto-answer) é a maneira mais fácil de bloquear esse tipo de espionagem, afirma Tuchen.
“A maioria dos equipamentos da Polycom traz o atendimento automático
como padrão, mas desabilitar o recurso é algo bastante simples”, explica
Tuchen, citando a fabricante de aparelhos de videoconferência que Moore
encontrou com a maior parte dos sistemas configurados para o
atendimento automático.
Em um caso, Moore conseguiu sintonizar em uma conferência em
andamento, depois operar a câmera, dar zoom in em um pessoa para ver ela
digitar uma senha no seu notebook – isso por mais de 20 minutos, sem
que nenhum dos participantes percebesse a câmera se movimentando.
A exposição de equipamentos de videoconferência na web foi outra
grande gafe que Moore explorou. “Muitas pessoas pegam um atalho ao
colocar seus equipamentos na Internet”, disse Tuchen.
Moore é um conhecido hacker e pesquisador de vulnerabilidades – ele
também é o criador do famoso kit de ferramentas open-source para testes
de penetração chamado Metasploit – mas ele disse que outros poderiam
duplicar seu trabalho se tiverem “um nível moderado de sofisticação
técnica”.
No entanto, alguns profissionais na indústria de videoconferência
tomaram como exceção as conclusões de Moore afirmando que espionar essas
chamadas é algo fácil.
O analista da empresa especializada em videoconferências Telepresence Options, David Maldow, contrariou as declarações no seu blog, argumentando que Moore estava simplesmente “discando aleatoriamente e espiando algumas salas vazias”.
Moore respondeu também com um post em seu blog, dizendo que muitos dos comentários de Maldow eram contrários aos fatos.
Interromper tais ataques não é difícil, mas exige algum conhecimento
técnico, que Moore e Tuchen concluíram a partir das evidências que não
estava sempre disponível ou direcionado para videoconferência.
“As companhias de videoconferência poderiam resolver esses problemas
se fornecessem um alerta mais severo quando o atendimento automático
está habilitado”, alega Tuchen. “E elas poderiam fornecer mais
assistência técnica para os consumidores durante a configuração de
gateways H.323.”
"O que me chamou a atenção foi como a situação estava ruim”, disse
Moore. “A popularidade dos sistemas de videoconferência entre empresas
de finanças e capital de risco leva a um pequeno grupo de alvos de
valores incrivelmente altos para as intenções de qualquer hacker em
termos de espionagem industrial ou obtenção de uma vantagem injusta em
um negócio.
Nenhum comentário:
Postar um comentário