David B.Svaiter
Por David B.Svaiter
A Sec Security revelou em relatório nesta semana que a reutilização de certificados HTTPS e chaves SSH expõe milhões de dispositivos para ataques MITM.
A análise em mais de 4000 “firmware” (mais de 70 fornecedores!) revelaram que dispositivos como gateways, roteadores, modems, telefones VoIP e câmeras IP incluem tais ocorrências – num total de 580 chaves privadas únicas, 230 dos quais são utilizados por mais de 4 MILHÕES DE HOSTS, incluindo muitos que podem ser acessados remotamente a partir da Internet. Agentes maliciosos podem aproveitar estas chaves para ataques MitM e/ou decodificação passiva.
Há uma longa lista de fornecedores afetados, incluindo Alcatel-Lucent, Cisco, D-Link, Deutsche Telekom, Edimax, Huawei, Linksys, Motorola, Netgear, Philips, Seagate, TP-Link, TRENDnet, Tenda, Unify, Ubiquiti Networks, Vodafone, WD, ZTE e ZyXEL. As empresas afetadas foram notificadas pelo CERT/CC e algumas delas já começaram a implantar correções ou consultoria para mitigação de riscos.
Identificadores CVE até agora têm sido atribuídas para a Cisco (CVE-2015-6358), ZTE (CVE-2015-7255), ZyXEL (CVE-2015-7256), Technicolor (CVE-2015-7276) e Unify (CVE-2015- 8251). A Cisco já publicou um consultivo contendo detalhes da vulnerabilidade e uma lista de produtos afetados.
Interessante notar que, como não há soluções alternativas, a Cisco (e outros fabricantes brevemente) estão recomendando evitar conexões SSL (HTTPS) e SSH aos IP´s destes equipamentos.
Cisco diz que não há provas de que a vulnerabilidade foi explorada para fins maliciosos. A empresa classificou a falha como um problema de gravidade média e salientou que não podem ser exploradas para comprometer o próprio dispositivo. Além disso, a empresa observou que um atacante precisa obter não só o par público / privado chave, mas também uma posição privilegiada na rede do alvo.
O relatório da SEC Consult revelou ainda que mais de 26.000 dispositivos Cisco, fornecidos pelo ISP australiano Telstra para seus clientes, estão expostos a acesso remoto via SSH.
O número de dispositivos expostos por outros ISP muito maior. Por exemplo, a CenturyLink, com sede nos Estados Unidos, tem mais de meio milhão de dispositivos afetados, enquanto a TELMEX do México expõe mais de um milhão modems Huawei.
Esta não é a primeira vez que os peritos encontraram produtos Cisco que colocam os clientes em risco devido ao padrão de chaves criptográficas. Em julho de 2014, a empresa alertou os usuários sobre a existência de chaves privadas padrão SSH no Cisco Unified Communications Domain Manager, e este ano em usuários de Junho foram informados de chaves SSH padrão em Appliance Virtual Web Security (WSAV), Email Security Appliance Virtual (ESAV ) e gestão Security Appliance Virtual (SMAV) produtos.
Em outras palavras: se correr o bicho pega, se ficar o bicho come. Se confiamos em conexões “seguras” e agora descobrimos falhas que expõem a conexão, onde a única recomendação é evitar tais conexões, voltamos ao marco-zero da segurança online.
Por isso sempre recomendo o uso de criptografia “manual” – onde o usuário primeiro codifica os dados e depois os transmite – como forma de garantia 100% de privacidade digital. Entretanto, para conexões com bancos ou lojas, onde usamos cartões de crédito, isso se torna impossível. A indústria deve entender que o modelo de segurança baseado em “chaves certificadas” é ultrapassado e deve ser alterado para algo mais seguro; provavelmente utilizando criptografia simétrica, onde cada usuário possuiria sua própria chave criptográfica.
Conheça o Grupo Criptografia no Linkedin mantido pelo Autor.
David B.Svaiter – Partner of BIG BLUE SERVICES Ltda, a company specialized in hardware and software solutions for Corporations and Governamental Offices. Leader of the TI team responsible for development of professional encryption solutions: CIFRA EXTREMA PRO, CIFRA EXTREMA ENTERPRISE and S.W.A. (Safe Web Access), inovative tools to ensure total privacy against NSA-like attacks in corporate environments.CEO of Lynchesvaiter Ltda. Senior EDP Auditor. Expert in Cryptography with several softwares released in the last years. Expert in systems for Windows/Windows Phone. Expert in web design and web applications development using ASP.NET, ASP, AJAX, Visual Studio, Javascript.
