<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<META content="MSHTML 6.00.2800.1141" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT size=2><A
href="http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1046479336,43235,/">http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1046479336,43235,/</A>
</FONT></DIV>
<DIV><B></B> </DIV>
<DIV><B>Senhas ADSL da Brasil Telecom são roubadas e expostas na Web</A></B>
</DIV>
<DIV>
<P><FONT face=verdana size=1><SMALL>28/2/2003 - 21:42</SMALL> <A
href="mailto:"><B>Giordani Rodrigues</B></A></FONT>
<P><FONT size=2>Milhares de logins e senhas de usuários de conexão banda larga
da Brasil Telecom foram roubados. Os dados de cerca de 1,5 mil destes usuários
foram publicados numa página na Web. Uma mulher de 23 anos que usa os apelidos
de Mel, Melzinha ou Melpôneme assume a responsabilidade pelo ataque,
supostamente ocorrido na terça-feira, dia 25.<BR><BR>De acordo com as
informações que publicou em </FONT><A href="http://mel.blog-city.com/"
target=_blank><B><FONT size=2>seu blog</FONT></B></A><FONT size=2>, ela
conseguiu capturar 6.753 contas de usuários da Brasil Telecom. Destas, cerca de
1,5 mil contas de usuários exclusivamente do provedor BrTurbo, que também
pertence à Brasil Telecom, foram expostas e até hoje estão disponíveis na
Internet. <BR><BR>A hacker também enviou um spam para estes usuários,
orientando-os a localizar suas senhas na página indicada e a ler um texto que
publicou em seu blog, com o título "Brasiltelecom deixa clientes vulneraveis".
As informaçãoes divulgadas dão acesso não só à conexão dos usuários, como também
às contas de e-mail, geralmente configuradas com os mesmos dados, e a outros
serviços. Isto representa um risco real e grave à privacidade dos clientes
atingidos.<BR><BR>A Brasil Telecom confirma o ataque e os números divulgados
pela hacker, e diz ter tomado "ações corretivas" para "sanar o problema".
Segundo a empresa, um determinado modelo de modem da Alcatel "foi devassado por
um hacker que conseguiu uma senha de instalação do aparelho e replicou-a para
vários usuários do serviço de banda larga da Brasil Telecom". <BR><BR>O modem
atingido teria sido o modelo Speed Touch PRO, da Alcatel, mas isso não quer
dizer que outros modelos, até mesmo de outros fabricantes, não possam estar
vulneráveis. A brecha de segurança que permitiu o ataque, na verdade, foi
operacional, e não de software ou hardware. O modem atingido é do tipo roteador,
capaz de fazer ele próprio a conexão com a operadora assim que é ligado. O
aparelho já vem configurado de fábrica com uma senha padrão, que não foi
modificada pela Brasil Telecom. <BR><BR><B>Como aconteceu o
ataque</B><BR><BR>Esta senha, que por sinal não é nada difícil de adivinhar,
espalhou-se de boca em boca, inicialmente por intermédio dos próprios técnicos
de instalação do serviço ADSL contratados pela Brasil Telecom, segundo afirma
Melpôneme, em entrevista por e-mail a <B>InfoGuerra</B>. "Esta vulnerabilidade
já era pública e grupos de warez (que produzem programas piratas) também possuem
inúmeras senhas, utilizando recursos do usuário para, por exemplo, postar DIVX
(vídeo digital, no caso, pirata), pornografia, música e programas em FTP
destinados aos usuários da BrTurbo", revela.<BR><BR>O que Melpôneme fez foi
escrever um script em linguagem Perl, capaz de acessar os modems da Alcatel que
ela sabia que estavam configurados com a senha padrão, e capturar a senha de
conexão dos usuários. Segundo a hacker, outras ações poderiam ser tomadas por um
atacante que acessasse a senha "root" (raiz) do modem/roteador, como por
exemplo, substituir os endereços DNS (nomes de domínios) da máquina atingida,
por DNS invadidos, num ataque chamado de "spoofing". Sob certas condições, isto
poderia ter conseqüências graves, afirma, como o acesso a senhas bancárias e uso
da máquina do usuário para atacar remotamente outros computadores. <BR><BR>A
própria hacker orienta os usuários a alterarem a senha do roteador, indicando
uma </FONT><A
href="http://paginas.terra.com.br/informatica/suporteternia/plus/senha_alcatel.htm"
target=_blank><B><FONT size=2>página</FONT></B></A><FONT size=2> com os
procedimentos para alteração manual ou por meio de um pequeno programa, para o
Alcatel Speed Touch PRO. Ela também avisa que a senha padrão fica guardada na
memória do modem/roteador, portanto, caso o aparelho seja reconfigurado ao
estado original (reset), pelo usuário ou por um atacante, a senha
"volta".<BR><BR>De acordo com a análise de um especialista em segurança
consultado por <B>InfoGuerra</B>, as portas que normalmente dariam acesso aos
roteadores são a 80 (padrão para o protocolo HTTP) e a 23 (usada para conexões
Telnet). Estas portas só permitem o acesso interno, isto é, do próprio usuário
do equipamento, mas não o acesso externo, pois estão bloqueadas nos roteadores
das operadoras (chamados "de borda"). Porém, no caso dos usuários da Brasil
Telecom, a porta 21, usada para transferência de arquivos (FTP), estava aberta e
foi por ela que a hacker penetrou, o que pode ser visto em uma das linhas de
programação do seu script. <BR><BR>O especialista afirma ainda que as portas 23
e 80 só estão bloqueadas nos planos domésticos e não empresariais, portanto as
empresas que não mudarem a senha padrão ainda correm risco. Ele disse que o
acesso pela porta 21, como usado na Brasil Telecom, é uma exceção, mas avisa que
outros modelos de modem também estão vulneráveis ao mesmo tipo de ataque,
incluindo os usados por outras operadoras, pois em geral a senha padrão não é
modificada.<BR><BR><B>"Uma mocinha como as outras"</B><BR><BR>Melpôneme, por sua
vez, confirma esta informação e diz que as senha padrões de fábrica são usadas
não só para serviços de ADSL, como também para locação de roteadores (links) e
outros serviços. "A Telefônica também usa senha padrão em seus roteadores e
grande parte dos equipamentos Cisco alugados pelas operadoras estão com senha
padrão", garante. <BR><BR>Apesar disso, ela diz que acessou apenas os modems da
Brasil Telecom, "como um sinal de protesto". A hacker afirma que teve acesso a
todos os roteadores corporativos e residenciais da empresa, em toda a gama de
localidades em que a operadora atua (a empresa presta serviços em todos os
estados das regiões Sul e Centro-Oeste, incluindo o Distrito Federal, e nos
estados do Acre, Rondônia e Tocantins. As 1,5 mil contas da BrTurbo foram
publicadas como sinal de alerta, segundo ela, mas as outras contas que estão em
seu poder pertencem a vários outros provedores, como Uol, Terra, Vento, e também
a importantes domínios da Universidade de Brasília, do Senado Federal, Tribunal
Superior de Justiça, Caixa Econômica Federal e outras repartições
governamentais, afirma. Melpôneme garante que o restante das senhas não será
divulgado ou repassado a terceiros.<BR><BR>A hacker disse que se considera "uma
mocinha como as outras", mas acha que se destaca por "ter um raciocínio mais
trabalhado e uma grande vontade de sempre aprender". Ela afirma que é goiana,
tem 23 anos e atualmente mora no Canadá, onde está se "especializando na área de
segurança". Adotou o apelido de Melpôneme em referência à musa da tragédia e ao
seu próprio apelido natural (Mel). <BR><BR>Uma das inteções da hacker, segundo
suas próprias palavras, é mostrar que o mercado goiano está vulnerável,
atacando-o. Deixa isso claro não só anunciando que o alvo de seu próximo ataque
será o portal Goiasnet.com.br, que faz parte da Globo.com, como escrevendo em
seu blog coisas como: "80% das empresas goianas administradas pelos seus fortes
empresários peões e sua capacitada equipe de técnicos em manutenção de micros
formados pelo Senac, também conhecidos como administradores de rede, estão
vulneráveis".<BR><BR>Melpôneme disse que testou as medidas tomadas pela Brasil
Telecom e constatou que a operadora fechou a porta que dava acesso ao modem dos
usuários. Ela alerta, porém, que boa parte destes usuários não modificou as
senhas depois do incidente, mesmo com seu alerta e o da própria Brasil Telecom.
Portanto, as caixas de correio e as conexões ainda podem ser usadas por qualquer
um que tenha acesso à lista divulgada. Poucos minutos antes da publicação desta
reportagem, <B>InfoGuerra</B> testou várias senhas e conseguiu conexão com todas
elas, indicando que a hacker tem razão no que afirma. <BR><BR>Perguntada se não
temia que a Brasil Telecom acionasse a polícia e conseguisse prendê-la pelo que
fez, respondeu: "Não vejo nada de errado nas minhas atitudes, e não me enquadro
em alguma lei brasileira. Se formos analisar quem deveria ser preso por expor
seus clientes seria a própria Brasil Telecom. Afinal, esta senha se espalhou
inicialmente através dos técnicos de ADSL da empresa. Resumindo, a Brasil
Telecom deu a inúmeros técnicos a chave da informação dos seus clientes".</FONT>
</P></DIV></BODY></HTML>