O Carnaval dos Hackers

O Carnaval dos Hackers

Olá Pessoal,

 Este é um relato que realmente aconteceu algum tempo atrás, e que acho interessante compartilhar com os meus leitores, principalmente aqueles que como eu, trabalham com segurança em TI.

Em plena Quarta-Feira de Cinzas, com metade do Brasil pulando carnaval e a outra metade de ressaca, vim ao escritório para pegar uns papeis de uma reunião no dia seguinte. Afinal, alguém tem que trabalhar!

 Eis que ao ligar o computador, recebi um aviso do firewall que tinha uma atividade estranha no servidor de e-mails da empresa.

 Imediatamente, abri o administrador do Winconnection e aparece a seguinte pérola:

 Wed Feb 17 11:33:01 2010 I POPSRV[5872]: Conexao. 187.45.225.170, USER ismael

Wed Feb 17 11:33:02 2010 W POPSRV[5872]: Erro de autenticacao

Wed Feb 17 11:33:02 2010 I POPSRV[5876]: Conexao. 187.45.225.170, USER ismael

Wed Feb 17 11:33:03 2010 W POPSRV[5876]: Erro de autenticacao

Wed Feb 17 11:33:03 2010 I POPSRV[5880]: Conexao. 187.45.225.170, USER ismenia

Wed Feb 17 11:33:04 2010 W POPSRV[5880]: Erro de autenticacao

Wed Feb 17 11:33:04 2010 I POPSRV[5884]: Conexao. 187.45.225.170, USER ismenia

Wed Feb 17 11:33:05 2010 W POPSRV[5884]: Erro de autenticacao

Wed Feb 17 11:33:06 2010 I POPSRV[5888]: Conexao. 187.45.225.170, USER isolda

Wed Feb 17 11:33:07 2010 W POPSRV[5888]: Erro de autenticacao

Wed Feb 17 11:33:07 2010 I POPSRV[5892]: Conexao. 187.45.225.170, USER isolda

Wed Feb 17 11:33:08 2010 W POPSRV[5892]: Erro de autenticacao

Wed Feb 17 11:33:08 2010 I POPSRV[5896]: Conexao. 187.45.225.170, USER israel

Wed Feb 17 11:33:09 2010 W POPSRV[5896]: Erro de autenticacao

Wed Feb 17 11:33:09 2010 I POPSRV[5904]: Conexao. 187.45.225.170, USER israel

Wed Feb 17 11:33:10 2010 W POPSRV[5904]: Erro de autenticacao

Wed Feb 17 11:33:10 2010 I POPSRV[5908]: Conexao. 187.45.225.170, USER italo

Wed Feb 17 11:33:12 2010 W POPSRV[5908]: Erro de autenticacao

Wed Feb 17 11:33:12 2010 I POPSRV[5916]: Conexao. 187.45.225.170, USER italo

Wed Feb 17 11:33:13 2010 W POPSRV[5916]: Erro de autenticacao

 

Este é só um trecho de páginas e páginas de logs, mas que obviamente se tratava de um ataque de uma máquina com o IP 187.45.225.170 ao meu servidor POP3.

Mas qual era o objetivo deste ataque?

Alguém desenvolveu um programa com um dicionário de nomes comuns em português (existem vários em inglês com nomes como John, James, Smith, etc) e achou um servidor POP3 que estivesse respondendo para redes externas na porta 110.

 Todos os POP3, que não sejam criptografados por uma VPN ou limitados no Firewall, precisam estar abertos na internet, para que possamos consultar o e-mail de qualquer lugar como no Celular, no computador de casa ou até em uma Lan House.

 Com este dicionário de nomes e um programa simples de ser feito que manda instruções baseadas no protocolo POP3 e na porta 110, o computador com o IP 187.45.225.170 tentou achar um usuário e senha válidos na minha rede.

 Se ele acertar a senha, receberia um +OK do servidor, e o programa saberia que acertou o usuário/senha.

 Simples, mas potencialmente perigoso. Era um prato cheio para a segunda etapa do ataque.

 A segunda etapa, certamente consistiria no ataque a porta 25 de nosso servidor, usando o usuário/senha descobertos para, provavelmente, mandar SPAM de Viagra, Ciallis e outras pilulas para toda a internet.

 Então, nosso IP que está limpinho nas RBLs (Real-Time Blockhole List) , ficaria sujo como ficha de alguns políticos de Brasília e, naturalmente, nossos clientes não receberiam os e-mails legítimos enviados pelo nosso SMTP atacado.

 Mas não ficamos por aqui. Nada é tão ruim que não possamos piorar!

 E se este usuário/senha do Servidor POP3 for o mesmo do MS Active Directory do usuário?

 Bom, daí o negócio fica mais complicado, porque se ele tem acesso a um Terminal Service desta rede, o Administrador da Rede terá bastante trabalho para retirar o Hacker de sua rede.

 Enfim, o que podemos aprender com esta lição é o que todos já sabem.

  • A Internet é um lugar perigoso. Sempre use senhas fortes para evitar surpresas desagradáveis.

  • Você sempre será atacado, mas se tomar as providencias necessárias, o ataques serão inocuos.

  • Disponibilize o mínimo de serviços online o possível. Mas quando for necessário, tome as providencias que todos sabem (service pack, senhas fortes, firewall configurado, etc)

  • Dificulte a vida dos hackers, quando possível use uma VPN ou limite o acesso da sua rede para IPS conhecidos ou dentro da abrangência da sua empresa (liberar somente para o Brasil, por exemplo).

É isto.

 O que eu fiz para resolver o problema? Simples!

Criamos uma nova função para o Winconnection 6 e ativamos uma proteção do Firewall que, na terceira tentativa errada de um mesmo IP, ele bloqueava por 1 hora novas tentativas do mesmo Host remoto.

 Paralelamente, criamos outros sistemas de controle para ajudar todos os clientes a usar o software com maior proteção, e agora você pode usar o Winconnection 6 agregando defesas contra ataques de robos na internet.

 Recomendo que você tome muito cuidado com as senhas e para as redes que vocês fazem relay, porque cada dia agente é surpreendido com um novo tipo de ataque.

Leandro Mantovam

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *