<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2800.1141" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT size=2><A 
href="http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1046479336,43235,/">http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1046479336,43235,/</A> 
</FONT></DIV>
<DIV><B></B> </DIV>
<DIV><B>Senhas ADSL da Brasil Telecom são roubadas e expostas na Web</A></B> 
</DIV>
<DIV>
<P><FONT face=verdana size=1><SMALL>28/2/2003 - 21:42</SMALL> <A 
href="mailto:"><B>Giordani Rodrigues</B></A></FONT> 
<P><FONT size=2>Milhares de logins e senhas de usuários de conexão banda larga 
da Brasil Telecom foram roubados. Os dados de cerca de 1,5 mil destes usuários 
foram publicados numa página na Web. Uma mulher de 23 anos que usa os apelidos 
de Mel, Melzinha ou Melpôneme assume a responsabilidade pelo ataque, 
supostamente ocorrido na terça-feira, dia 25.<BR><BR>De acordo com as 
informações que publicou em </FONT><A href="http://mel.blog-city.com/" 
target=_blank><B><FONT size=2>seu blog</FONT></B></A><FONT size=2>, ela 
conseguiu capturar 6.753 contas de usuários da Brasil Telecom. Destas, cerca de 
1,5 mil contas de usuários exclusivamente do provedor BrTurbo, que também 
pertence à Brasil Telecom, foram expostas e até hoje estão disponíveis na 
Internet. <BR><BR>A hacker também enviou um spam para estes usuários, 
orientando-os a localizar suas senhas na página indicada e a ler um texto que 
publicou em seu blog, com o título "Brasiltelecom deixa clientes vulneraveis". 
As informaçãoes divulgadas dão acesso não só à conexão dos usuários, como também 
às contas de e-mail, geralmente configuradas com os mesmos dados, e a outros 
serviços. Isto representa um risco real e grave à privacidade dos clientes 
atingidos.<BR><BR>A Brasil Telecom confirma o ataque e os números divulgados 
pela hacker, e diz ter tomado "ações corretivas" para "sanar o problema". 
Segundo a empresa, um determinado modelo de modem da Alcatel "foi devassado por 
um hacker que conseguiu uma senha de instalação do aparelho e replicou-a para 
vários usuários do serviço de banda larga da Brasil Telecom". <BR><BR>O modem 
atingido teria sido o modelo Speed Touch PRO, da Alcatel, mas isso não quer 
dizer que outros modelos, até mesmo de outros fabricantes, não possam estar 
vulneráveis. A brecha de segurança que permitiu o ataque, na verdade, foi 
operacional, e não de software ou hardware. O modem atingido é do tipo roteador, 
capaz de fazer ele próprio a conexão com a operadora assim que é ligado. O 
aparelho já vem configurado de fábrica com uma senha padrão, que não foi 
modificada pela Brasil Telecom. <BR><BR><B>Como aconteceu o 
ataque</B><BR><BR>Esta senha, que por sinal não é nada difícil de adivinhar, 
espalhou-se de boca em boca, inicialmente por intermédio dos próprios técnicos 
de instalação do serviço ADSL contratados pela Brasil Telecom, segundo afirma 
Melpôneme, em entrevista por e-mail a <B>InfoGuerra</B>. "Esta vulnerabilidade 
já era pública e grupos de warez (que produzem programas piratas) também possuem 
inúmeras senhas, utilizando recursos do usuário para, por exemplo, postar DIVX 
(vídeo digital, no caso, pirata), pornografia, música e programas em FTP 
destinados aos usuários da BrTurbo", revela.<BR><BR>O que Melpôneme fez foi 
escrever um script em linguagem Perl, capaz de acessar os modems da Alcatel que 
ela sabia que estavam configurados com a senha padrão, e capturar a senha de 
conexão dos usuários. Segundo a hacker, outras ações poderiam ser tomadas por um 
atacante que acessasse a senha "root" (raiz) do modem/roteador, como por 
exemplo, substituir os endereços DNS (nomes de domínios) da máquina atingida, 
por DNS invadidos, num ataque chamado de "spoofing". Sob certas condições, isto 
poderia ter conseqüências graves, afirma, como o acesso a senhas bancárias e uso 
da máquina do usuário para atacar remotamente outros computadores. <BR><BR>A 
própria hacker orienta os usuários a alterarem a senha do roteador, indicando 
uma </FONT><A 
href="http://paginas.terra.com.br/informatica/suporteternia/plus/senha_alcatel.htm" 
target=_blank><B><FONT size=2>página</FONT></B></A><FONT size=2> com os 
procedimentos para alteração manual ou por meio de um pequeno programa, para o 
Alcatel Speed Touch PRO. Ela também avisa que a senha padrão fica guardada na 
memória do modem/roteador, portanto, caso o aparelho seja reconfigurado ao 
estado original (reset), pelo usuário ou por um atacante, a senha 
"volta".<BR><BR>De acordo com a análise de um especialista em segurança 
consultado por <B>InfoGuerra</B>, as portas que normalmente dariam acesso aos 
roteadores são a 80 (padrão para o protocolo HTTP) e a 23 (usada para conexões 
Telnet). Estas portas só permitem o acesso interno, isto é, do próprio usuário 
do equipamento, mas não o acesso externo, pois estão bloqueadas nos roteadores 
das operadoras (chamados "de borda"). Porém, no caso dos usuários da Brasil 
Telecom, a porta 21, usada para transferência de arquivos (FTP), estava aberta e 
foi por ela que a hacker penetrou, o que pode ser visto em uma das linhas de 
programação do seu script. <BR><BR>O especialista afirma ainda que as portas 23 
e 80 só estão bloqueadas nos planos domésticos e não empresariais, portanto as 
empresas que não mudarem a senha padrão ainda correm risco. Ele disse que o 
acesso pela porta 21, como usado na Brasil Telecom, é uma exceção, mas avisa que 
outros modelos de modem também estão vulneráveis ao mesmo tipo de ataque, 
incluindo os usados por outras operadoras, pois em geral a senha padrão não é 
modificada.<BR><BR><B>"Uma mocinha como as outras"</B><BR><BR>Melpôneme, por sua 
vez, confirma esta informação e diz que as senha padrões de fábrica são usadas 
não só para serviços de ADSL, como também para locação de roteadores (links) e 
outros serviços. "A Telefônica também usa senha padrão em seus roteadores e 
grande parte dos equipamentos Cisco alugados pelas operadoras estão com senha 
padrão", garante. <BR><BR>Apesar disso, ela diz que acessou apenas os modems da 
Brasil Telecom, "como um sinal de protesto". A hacker afirma que teve acesso a 
todos os roteadores corporativos e residenciais da empresa, em toda a gama de 
localidades em que a operadora atua (a empresa presta serviços em todos os 
estados das regiões Sul e Centro-Oeste, incluindo o Distrito Federal, e nos 
estados do Acre, Rondônia e Tocantins. As 1,5 mil contas da BrTurbo foram 
publicadas como sinal de alerta, segundo ela, mas as outras contas que estão em 
seu poder pertencem a vários outros provedores, como Uol, Terra, Vento, e também 
a importantes domínios da Universidade de Brasília, do Senado Federal, Tribunal 
Superior de Justiça, Caixa Econômica Federal e outras repartições 
governamentais, afirma. Melpôneme garante que o restante das senhas não será 
divulgado ou repassado a terceiros.<BR><BR>A hacker disse que se considera "uma 
mocinha como as outras", mas acha que se destaca por "ter um raciocínio mais 
trabalhado e uma grande vontade de sempre aprender". Ela afirma que é goiana, 
tem 23 anos e atualmente mora no Canadá, onde está se "especializando na área de 
segurança". Adotou o apelido de Melpôneme em referência à musa da tragédia e ao 
seu próprio apelido natural (Mel). <BR><BR>Uma das inteções da hacker, segundo 
suas próprias palavras, é mostrar que o mercado goiano está vulnerável, 
atacando-o. Deixa isso claro não só anunciando que o alvo de seu próximo ataque 
será o portal Goiasnet.com.br, que faz parte da Globo.com, como escrevendo em 
seu blog coisas como: "80% das empresas goianas administradas pelos seus fortes 
empresários peões e sua capacitada equipe de técnicos em manutenção de micros 
formados pelo Senac, também conhecidos como administradores de rede, estão 
vulneráveis".<BR><BR>Melpôneme disse que testou as medidas tomadas pela Brasil 
Telecom e constatou que a operadora fechou a porta que dava acesso ao modem dos 
usuários. Ela alerta, porém, que boa parte destes usuários não modificou as 
senhas depois do incidente, mesmo com seu alerta e o da própria Brasil Telecom. 
Portanto, as caixas de correio e as conexões ainda podem ser usadas por qualquer 
um que tenha acesso à lista divulgada. Poucos minutos antes da publicação desta 
reportagem, <B>InfoGuerra</B> testou várias senhas e conseguiu conexão com todas 
elas, indicando que a hacker tem razão no que afirma. <BR><BR>Perguntada se não 
temia que a Brasil Telecom acionasse a polícia e conseguisse prendê-la pelo que 
fez, respondeu: "Não vejo nada de errado nas minhas atitudes, e não me enquadro 
em alguma lei brasileira. Se formos analisar quem deveria ser preso por expor 
seus clientes seria a própria Brasil Telecom. Afinal, esta senha se espalhou 
inicialmente através dos técnicos de ADSL da empresa. Resumindo, a Brasil 
Telecom deu a inúmeros técnicos a chave da informação dos seus clientes".</FONT> 
</P></DIV></BODY></HTML>