Image default
Security

Hacking em massa é executado contra usuários do TeamViewer, e não sabemos como

Nos últimos meses, usuários do TeamViewer (serviço de assistência/acesso remoto(a)) têm ido à fóruns da Internet para dizer que seus computadores foram hackeados por “hackers” (com “h” minúsculo) que de alguma forma tiveram acesso às suas contas. Em muitos dos casos, esses atacantes teriam “limpado” contas do PayPal ou bancárias. Ninguém fora do Teamviewer sabe precisamente quantas contas foram invadidas, mas não há como negar que essas violações de dados são generalizadas.

Nos últimos três dias, usuários do Reddit e Twitter botaram a boca no trombone alegando que as invasões são resultado de um hacking na rede do TeamViewer. Na tarde da sexta-feira (03/06), uma pesquisador de segurança da IBM tornou-se o mais recente usuário a relatar o momento em que alguém tomou o controle de seu computador.

No momento em que estava jogando, perdi o controle de meu mouse e uma janela do TeamViewer apareceu no canto inferior direito da tela”, escreveu Nick Bradley, líder interno do grupo de ameaças cibernéticas na IBM. “Assim que percebi o que estava ocorrendo, “matei” o aplicativo. Em seguida percebo que ainda tenho outras máquinas com o TeamViewer em execução”.

Ele continuou:

Corro lá embaixo, onde outro computador ainda está em funcionamento. E eis que a janela do TeamViewer aparece. Antes que eu consiga fechar o aplicativo, o atacante abre uma janela do navegador e tenta acessar um site. Assim que chego à máquina, revoguei o controle e consegui fechar o aplicativo. Imediatamente fui ao site do TeamViewer e alterei a senha, habilitando a autenticação de dois fatores.

Sorte minha que aquelas eram as duas únicas máquinas que ainda estavam ligadas com o TeamViewer instalado. Sorte também que eu estava lá quando o fato ocorreu. Se eu não estivesse presente para poder frustrar o ataque, sabe-se lá o que teria acontecido. Em vez de eu estar aqui hoje falando sobre como eu quase fui hackeado, estaria falando sobre as graves implicações do vazamento dos meus dados pessoais”.

O acesso indevido à conta de Bradley ocorre poucas horas após o TeamViewer ter reafirmado que tem mantido um olhar atento nas duas últimas semanas, e que os acessos indevidos são o resultado de descuidos por parte dos usuários finais no que diz respeito às senhas. Em um comunicado, a empresa mencionou a recente enxurrada de “mega-violações” que contribuiram para o dumping de mais de 642 milhões de senhas, disponibilizando às para o domínio publico no mês passado. A empresa escreveu:

Como já deve ter ouvido falar, tem ocorrido, sem precedentes, roubos de uma quantidade enorme de dados em larga escala nas plataformas de mídias sociais mais populares e em outros serviços web. Infelizmente, as credenciais de acesso roubadas nestas violações externas têm sido utilizadas para acessar contas do TeamViewer, bem como outros serviços.

Estamos chocados pelo comportamento destes criminosos e revoltados com suas ações para com os usuários do TeamViewer. Se aproveitaram do uso comum das mesmas informações de conta através de vários serviços para causar os danos”.

A declaração anunciou duas medidas que estão sendo introduzidas em resposta ao grande número de roubos de credenciais do TeamViewer. A primeira, chamada de “Dispositivos confiáveis”, assegura que antes que um dispositivo possa acessar pela primeira vez uma conta TeamViewer existente, o titular da conta deve confirmar explicitamente que o novo dispositivo é confiável.

O TeamViewer está implantando esta medida utilizando uma notificação no app que pede aos titulares que aprovem o dispositivo, clicando em um link enviado por e-mail.

A segunda medida, chamada de “Integridade dos dados”, fornece monitoramento automatizado que detecta quando uma conta for hackeada.

O sistema determina continuamente se sua conta TeamViewer possui algum comportamento anormal (por exemplo, acesso a partir de um novo local) que possa sugerir que possa ter sido comprometida”, declarou na sexta-feira. “Para salvaguardar a integridade de seus dados, será solicitado que a senha de sua conta TeamViewer seja alterada”.

O porta-voz do TeamViewer, Axel Schmidt, disse ao site ArsTechnica que os funcionários do TeamViewer previram inicialmente introduzir estes recursos de segurança até o final do ano. O crescente número de postagens públicas relatando os acessos indevidos às contas do TeamViewer fizeram com que acelerassem a implantação dos recursos, disse.

Bebendo da cachoeira

Observando todos os tweets sobre o TeamViewer e os comentários no Reddit rolando em tempo real, é como estar bebendo de uma cachoeira de relatos. Enquanto relatos de computadores afetados e contas limpas cresceram rapidamente nas últimas 48 horas, histórias semelhantes têm circulado na web por mais de seis meses. “O TeamViewer foi hackeado e um invasor está em meu desktop!”, é relatado num post de dezembro de 2015. “Alguém entrou na minha conta do TeamViewer e, aparentemente tentou enviar dinheiro para si próprio através do eBay e PayPal. O que posso fazer para descobrir o que mais foi feito?”, declarou um usuário do TeamViewer no Reddit mês passado.

Muitas das mensagens afirmam que invasões ocorridas nos computadores dos usuários são resultados de uma falha de segurança na rede do TeamViewer. São relatos, que, de tantas vezes que são repetidos, chega a parecer uma lenda urbana.

Um ataque de negação de serviço que interrompeu a infraestrutura de servidores de DNS do TeamViewer por algumas horas na quarta-feira (01/06), por exemplo, tornou-se prova de que invasores tiveram o controle do domínio do TeamViewer através de uma técnica chamada de redirecionamento de DNS (DNS hijacking). Até o momento, ninguém revelou qualquer evidência de servidores DNS do TeamViewer utilizando os endereços IPs não autorizados, mas isto não foi impecilho para que afirmações como esta circulassem amplamente. Além de não haver uma base concreta sobre qualquer redirecionamento de DNS, a teoria faz um pouco de sentido, uma vez que o redirecionamento teria ocorrido meses após os acessos indevidos terem inciado.

A conta fornecido por Bradley, o pesquisador de segurança da IBM, condiz com a afirmação do TeamViewer, de que as invasões resultam de má cuidado com as senhas por parte dos usuários. Bradley disse que havia esquecido de que tinha o software de acesso remoto instalado em seus computadores, e que o acesso indevido ocorreu “muito provavelmente devido eu não ter alterado a senha.”

Não que a resposta pública do TeamViewer tenha sido a melhor. Porta-voz de empresas muitas vezes passam dias ou semanas, sem emitir qualquer tipo de declaração, mesmo sendo claro que um número significativo de possíveis usuários (na casa das centenas ou milhares), estão sendo atingidos por ataques que expõem seus dados mais sensíveis.

Quando a empresa não responde, emitem comunicados à imprensa, mas omitem detalhes importantes. O TeamViewer, por exemplo, ainda tem que lidar com relatos de que alguns dos ataques conseguiram “bypassar” com sucesso a sua proteção de autenticação de dois fatores, ou de que os ataques funcionaram contra contas com senhas fortes.

A alegação do TeamViewer de que a onda de ataques está ligada ao grande número de senhas que recentemente entraram para domínio público é plausível, mas provavelmente não é o unico fator contribuinte. Não seria surpreendente se a vulnerabilidade/falha no software TeamViewer também estivesse envolvida. Uma possibilidade: um mecanismo de login que permite que atacantes façam muitas tentativas de senhas sem serem bloqueados. Outra: uma falha que permite que atacantes “bypassem” a proteção da autotenticação de dois fatores.

Até o momento, as declarações públicas do TeamViewer deixaram os usuários com um sentimento de que a empresa não está contando tudo, dando lugar à desconfianças e teorias da conspiração.

Recomendações

O pessoal do ArsTechnica convida os usuários e administradores de rede que foram atingidos por este ataque a fornecerem os arquivos de log das horas que antecederam o ataque. Eles serão mostrados a pesquisadores para tentarem identificar as causas mais comuns. Os leitores também podem enviar seus logs para Dan Goodin no e-mail que pode ser encontrado aqui.

Enquanto isso, os usuários do TeamViewer devem assegurar que suas contas sejam protegidas com uma senha gerada aleatoriamente, de pelo menos 10 caracteres, contendo números, símbolos e letras maiusculas e minúsculas, e ser única. Também é uma boa idéia executar o TeamViewer apenas quando realmente necessário, em vez de permitir que ele seja iniciado automaticamente cada vez que o computador é ligado. O pessoal do How-To Geek fizeram um guia completo para que você tenha mais segurança no TeamViewer.

Engenheiros do TeamViewer certamente têm a capacidade de realizar análises de log, presumivelmente em um nível mais detalhado do que qualquer outra pessoa. Existem mais coisas além do que o TeamViewer tem falado até agora, e é hora de todos nós sabermos o que é.

Comunicado de imprensa do TeamViewer em pt-br – 02/06/2016

http://www.teamviewer.com/pt/press/statement-on-service-outage.aspx

Fonte:

http://arstechnica.com/security/2016/06/teamviewer-users-are-being-hacked-in-bulk-and-we-still-dont-know-how/

Posts similares

Amazon força reset de senha após possível violação de segurança

O Analista

‘Ransomware as a Service’ ameaça também o Mac OS

O Analista

StingRay: Documentos revelam como utilizar sistema de vigilância em massa

O Analista