Novo amigo da espionagem corporativa: servidor web incorporado

Muitos modelos de impressoras, fotocopiadoras e aparelhos de voz sobre IP (VoIP) estão conectadas à internet. Mas seus servidores incorporados costumam usar senhas padrões bem conhecidas, ou firmwares que apresentam vulnerabilidades. Isso pode ser um problema, já que ambos podem ser usados por espiões remotos para interceptar comunicações internas.

Essa advertência foi emitida por Michael Sutton, vice-presidente de pesquisa e segurança da Zscaler Labs, durante conferência de segurança organizada pela Black Hat. Sutton apresentou os resultados das pesquisas, baseadas no uso de múltiplas engenharias de impressão digital em mais de um milhão de servidores de web, e para identificar como os servidores estão incorporados. Curiosamente, a pesquisa do Google parece suprimir resultados para servidor de rede incorporado. Mas outros mecanismos de busca, como Shodan, não.

Do total de um milhão de servidores de impressoras digitais na web, 34,2% rodam Microsoft IIS e 33,6% Apache. Além disso, existem 2.737 cabeçalhos de servidores exclusivos nas máquinas restantes. ?Muitos deles embutidos nos servidores?, lembrou Sutton. Muitos desses servidores também não possuem o melhor nível de segurança como senha de acesso aos documentos armazenados ou chamadas VoIP. Como resultado, Sutton foi capaz baixar inúmeros documentos gratuitamente, incluindo conselhos de voto da organização Pro-Tea Party, cópias de cheques assinados e digitalizados em relatórios técnicos. ?Meu favorito absoluto?, constatou. ?Esta documentação nos deixa saber que Jim é, na verdade, um inspetor certificação de moldes?.

Segundo Sutton, fotocópias e similares são, essencialmente, repositórios de documentos recentes ou comunicação de interesse, e, portanto, poderiam servir como tesouro de inteligência competitiva. Certos modelos de fotocopiadoras Sharp, por exemplo, podem ser configuradas para enviar todos os documentos digitalizados ou copiados para um site externo via FTP ou e-mail. Enquanto isso, algumas impressoras da HP tem recursos chamado webscan, que permite a qualquer pessoa com browser, baixar tudo o que está na mesa do scanner.

Curiosamente, a maioria dos dispositivos conectados aos serviços web encontrou câmeras de segurança, incluindo as pequenas. ?Eu encontrei um monte de câmeras do McDonald na web; não sei porquê?, disse. Muitas delas, entretanto, parecem ter sido configuradas para monitorar funcionários.

De todos os dispositivos de impressões digitais, no entanto, ?o mais preocupante é a copiadora Ricoh?, avaliou Sutton. Em particular, 2% das impressoras Ricoh são incorporadas nos servidores web e usam a senha ?admin?. Enquanto os dispositivos oferecem criptografia SSH, muitos incluindo serviços telnet, no qual um invasor pode facilmente ativar para acessar diretamente dados antigos das máquinas. Alguns desses aparelhos também tornam documentos recentemente digitalizados disponíveis para downloads imediatos em formato TIFF ou PDF.

Daqui para frente, Suton disse que espera acumular mais informações ? que irá dividir gratuitamente ? para cada tipo de servidor web embarcado em impressoras digitais, como forma de ajudar empresas a entenderem como dispositivos internos podem apresentar vulnerabilidades.

Mas o que pode ser feito para impedir as vulnerabilidades desses sistemas embarcados? Primeiro, servidores web precisam ser incluídos no plano de correção da corporação, e fornecedores devem contribuir com essas correções. ?A indústria do hardware esta ao menos uma década atrás das indústrias de software em termos de segurança?,explicou. ?Nós definitivamente precisamos mover o sistema para algo mais comum, como, por exemplo, a Apple TV, onde as correções são levadas até o cliente.” Por exemplo, um dos servidores de web incorporado mais usados é o Allegro RomPager, e seu fabricante diz rodar em 75 milhões de dispositivos. Durante sua pesquisa, Sutton encontrou pelo menos três mil dispositivos rodando a versão do RomPager que contém vulnerabilidades conhecidas e que podem ser usadas para derrubar o servidor.

Em segundo lugar, dispositivos precisam se comprometer com os recursos de segurança, como a habilidade de enviar documentos para um site FTP. ?Eu realmente coloco a culpa nos fornecedores?, provocou Sutton. ?Essa funcionalidade na maioria das vezes não tem propósito nenhum. Quando é útil, no entanto, a funcionalidade deve ser ativada por padrão, utilizando senha única, como o número de série dos dispositivos MAC.”

Até que essas mudanças ocorram, gerentes de TI devem considerar qualquer servidor de web incorporado como uma ameaça em potencial. ?Na empresa você precisa tratar uma copiadora ou qualquer dispositivo de rede ativado como se fosse um computador?, concluiu.