{"id":17570,"date":"2021-06-03T15:40:44","date_gmt":"2021-06-03T18:40:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17570"},"modified":"2021-06-03T15:43:21","modified_gmt":"2021-06-03T18:43:21","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-hijacked-router\/17570\/","title":{"rendered":"Roteadores s\u00e3o o ponto fraco na estrat\u00e9gia de trabalho remoto"},"content":{"rendered":"

A partir da perspectiva da ciberseguran\u00e7a, o pior aspecto da mudan\u00e7a em massa para o trabalho remoto<\/a> tem sido a perda de controle sobre os ambientes de rede local das esta\u00e7\u00f5es de trabalho. Particularmente perigosos nesse quesito s\u00e3o os roteadores dom\u00e9sticos dos funcion\u00e1rios, que essencialmente substitu\u00edram a infraestrutura de rede normalmente sob o controle dos especialistas de TI. Na RSA Conference 2021, os pesquisadores Charl van der Walt e Wicus Ross relataram como os cibercriminosos podem atacar computadores de trabalho por meio de roteadores, em \u201cTodas as suas LANs pertencem a n\u00f3s. Do gerenciamento das amea\u00e7as reais ao home office<\/a>. \u201d (Tradu\u00e7\u00e3o livre)<\/p>\n

Por que os roteadores dom\u00e9sticos dos funcion\u00e1rios s\u00e3o um grande problema<\/h2>\n

Mesmo se as pol\u00edticas de seguran\u00e7a corporativa pudessem cobrir a atualiza\u00e7\u00e3o<\/a> do sistema operacional de cada computador de trabalho e todas as outras configura\u00e7\u00f5es relevantes, os roteadores dom\u00e9sticos ainda estariam fora do controle dos administradores de sistema corporativo. Com rela\u00e7\u00e3o a ambientes de trabalho remoto, a TI n\u00e3o consegue saber quais outros dispositivos est\u00e3o conectados a uma rede, se o firmware do roteador est\u00e1 atualizado e se a senha que o protege \u00e9 forte (ou se o usu\u00e1rio at\u00e9 mesmo mudou de o padr\u00e3o de f\u00e1brica).<\/p>\n

Essa falta de controle \u00e9 apenas parte do problema. Um grande n\u00famero de roteadores dom\u00e9sticos e SOHO (Small Office Home Office) t\u00eam vulnerabilidades conhecidas que os cibercriminosos podem explorar para obter controle total sobre o dispositivo, levando a enormes botnets IoT, como Mirai<\/a>, que combinam dezenas e \u00e0s vezes at\u00e9 centenas de milhares de roteadores sequestrados para uma variedade de finalidades.<\/p>\n

A este respeito, vale lembrar que todo roteador \u00e9 essencialmente um pequeno computador rodando alguma distribui\u00e7\u00e3o de Linux. Os cibercriminosos podem realizar muitas coisas ao hackear um roteador A seguir est\u00e3o alguns exemplos do relat\u00f3rio.<\/p>\n

Invas\u00e3o de uma conex\u00e3o VPN<\/h2>\n

A principal ferramenta que as empresas usam para compensar os ambientes de rede n\u00e3o confi\u00e1veis dos trabalhadores remotos \u00e9 uma VPN<\/a> (Virtual Private Network). As VPNs oferecem um canal criptografado por meio do qual os dados trafegam entre o computador e a infraestrutura corporativa.<\/p>\n

Muitas empresas usam VPNs no modo tunelamento dividido (split tunneling) \u2013 o tr\u00e1fego para os servidores da empresa, como por conex\u00e3o RDP (Remote Desktop Protocol), passa pela VPN, e os demais passam pela rede p\u00fablica n\u00e3o criptografada \u2013 o que geralmente \u00e9 normal. No entanto, um cibercriminoso no controle do roteador pode criar uma rota DHCP (Dynamic Host Configuration Protocol) e redirecionar o tr\u00e1fego RDP para seu pr\u00f3prio servidor. Embora n\u00e3o os deixe mais perto de descriptografar a VPN, eles podem criar uma tela de login falsa para interceptar as credenciais de conex\u00e3o RDP<\/a>. Os golpistas de ransomware adoram usar RDP.<\/p>\n

Carregando um sistema operacional externo<\/h2>\n

Outro cen\u00e1rio inteligente de ataque pelo roteador envolve a explora\u00e7\u00e3o do recurso PXE (Preboot Execution Environment). Adaptadores de rede modernos usam PXE para carregar computadores com um sistema operacional na rede. Normalmente, o recurso est\u00e1 desativado, mas algumas empresas o utilizam, por exemplo, para restaurar remotamente o sistema operacional de um funcion\u00e1rio em caso de falha.
\nUm cibercriminoso com controle sobre o servidor DHCP em um roteador fornece ao adaptador de rede de uma esta\u00e7\u00e3o de trabalho um endere\u00e7o de sistema modificado para controle remoto. \u00c9 improv\u00e1vel que os funcion\u00e1rios percebam, muito menos saibam o que realmente est\u00e1 acontecendo (ainda mais se eles se distraem com notifica\u00e7\u00f5es de instala\u00e7\u00e3o de atualiza\u00e7\u00f5es). Enquanto isso, os cibercriminosos t\u00eam acesso total ao sistema de arquivos.<\/p>\n

Como se manter seguro<\/h2>\n

Para proteger os computadores dos funcion\u00e1rios das op\u00e7\u00f5es de ataque acima e semelhantes, execute as seguintes etapas:<\/p>\n

\u25cf Opte por tunelamento for\u00e7ado (forced tunneling) em vez de dividido. Muitas solu\u00e7\u00f5es VPN corporativas permitem tunelamento for\u00e7ado com exce\u00e7\u00f5es (por padr\u00e3o, passar todo o tr\u00e1fego por um canal criptografado, com recursos espec\u00edficos permitidos para contornar a VPN);
\n\u25cf Desative o ambiente de execu\u00e7\u00e3o de pr\u00e9-inicializa\u00e7\u00e3o nas configura\u00e7\u00f5es do BIOS;
\n\u25cf Criptografe totalmente o disco r\u00edgido do computador usando criptografia de disco total (com BitLocker no Windows, por exemplo).<\/p>\n

Investir na prote\u00e7\u00e3o dos roteadores dos funcion\u00e1rios \u00e9 vital para aumentar o n\u00edvel de seguran\u00e7a de qualquer infraestrutura corporativa que inclua trabalho remoto ou modelo h\u00edbrido. Em algumas empresas, a equipe de suporte t\u00e9cnico presta atendimento aos funcion\u00e1rios sobre as configura\u00e7\u00f5es ideais para o roteador dom\u00e9stico. Outras empresas destinam roteadores pr\u00e9-configurados para funcion\u00e1rios em regime de home office, permitindo que se conectem a recursos corporativos apenas por meio desses aparelhos. Al\u00e9m disso, treinar funcion\u00e1rios para neutralizar as amea\u00e7as atuais<\/a> \u00e9 fundamental para a seguran\u00e7a da rede.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Roteadores dom\u00e9sticos e SOHO costumam ser inseguros, mas as empresas podem se proteger de ataques feitos por esses equipamentos de funcion\u00e1rios remotos.<\/p>\n","protected":false},"author":2577,"featured_media":17571,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1656],"tags":[1185,1527,821,1888,2725,1889,306],"class_list":{"0":"post-17570","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-business","10":"tag-rdp","11":"tag-roteadores","12":"tag-rsa-conference","13":"tag-rsa2021","14":"tag-rsac","15":"tag-vpn"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-hijacked-router\/17570\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rsa2021-hijacked-router\/22921\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rsa2021-hijacked-router\/18407\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rsa2021-hijacked-router\/24857\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rsa2021-hijacked-router\/22844\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-hijacked-router\/22041\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rsa2021-hijacked-router\/25413\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rsa2021-hijacked-router\/24838\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rsa2021-hijacked-router\/30849\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-hijacked-router\/9695\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rsa2021-hijacked-router\/40117\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-hijacked-router\/17057\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rsa2021-hijacked-router\/14884\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rsa2021-hijacked-router\/30982\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rsa2021-hijacked-router\/27133\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rsa2021-hijacked-router\/23979\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rsa2021-hijacked-router\/29298\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rsa2021-hijacked-router\/29095\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17570","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2577"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17570"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17570\/revisions"}],"predecessor-version":[{"id":17572,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17570\/revisions\/17572"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17571"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}