Protocolos de rede são menos inofensivos do que imaginamos

Podem parecer inofensivos, apenas responsáveis por estabelecer regras de conexão e comunicação. No entanto, ao contrário disso, podem ser fontes de muita dor de cabeça e prejuízo. Olhando por um lado mais otimista, eles também poder ser um tipo de termômetro da maturidade da cibersegurança das organizações.

Estamos falando dos protocolos de rede. Eles são o mecanismo que garante a diferentes equipamentos e serviços a capacidade de se comunicar quando estão em rede, porém também respondem por uma parte crítica da segurança das redes. É nesse ponto que se instala o ponto nefrálgico da cibersegurança. Quando configurados incorretamente ou quando não atualizados com a devida frequência, podem expor dados, usuários e a rede na totalidade  de forma não intencional e abrir caminho para a ação de cibercriminosos.

Muitos protocolos amplamente usados foram desenvolvidos décadas atrás, muito antes do surgimento dos meios mais modernos de invasões e crimes cibernéticos, como os atuais casos de ransomware. Por isso, sofrem de vulnerabilidades que, quando não corrigidas, podem comprometer a segurança dos serviços de rede.

No entanto, o uso desses protocolos não é inerentemente um problema, conforme destaca um relatório recente da empresa ExtraHop. Se os dispositivos em rede que utilizam esses protocolos estiverem configurados corretamente, ou seja, tiverem suas portas (identificadores atribuídos exclusivamente a um ponto da conexão para os dados são direcionados pela rede para serem submetidos a um serviço específico) protegidas adequadamente, haverá pouco risco para a organização. Entretanto, por várias razões, muitos dessas portas são deixadas abertas indiscriminadamente para comunicação de qualquer ponto da Internet, inclusive de invasores mal-intencionados.

Esses invasores costumam usar ferramentas de varredura, enviando mensagens de teste para portas que ficam comumente abertas. Em seguida, analisam as respostas para determinar como a rede está configurada e quais oportunidades de ataque. Daí falarmos anteriormente que esses protocolos medem a maturidade da proteção das redes. “Portas e protocolos são essencialmente aberturam e corredores que os invasores usam para explorar redes pouco protegidas”, diz o relatório.

Os pesquisadores da ExtraHop investigaram a prevalência de protocolos sensíveis com o objetivo de reduzir os riscos de ataque. Foram avaliados quatro tipos de protocolos:  Protocolos de Servidores de Arquivos, Protocolos de Diretórios, Protocolos de Banco de Dados e Protocolos de Controle Remoto.

E os resultadores não foram tão ruins quanto se imaginava — o número total de dispositivos com protocolos vulneráveis foi, em geral, baixo. A questão é que, os dispositivos expostos costumam ser servidores ou equipamentos responsáveis por recursos essenciais, ou críticos. Além disso, basta ter um dispositivo vulnerável como um ponto de entrada para que os cibercriminosos comprometam toda a rede.

Na classe de Servidores de Arquivos, por exemplo, a ExtraHop encontrou em sua auditoria de redes corporativas, que o protocolo SMB (Server Message Block) deixava 64 dos 10.000 dispositivos analisados expostos à Internet. Em ambientes Windows, o SMB é um vetor de ataque comum. Existem três versões conhecidas como SMBv1, SMBv2 e SMBv3. A primeira é notoriamente insegura e é o protocolo que as variantes de malware WannaCry e NotPetya usam para invadir redes, segundo o relatório. Uma pesquisa recente da ExtraHop revelou que 68% das organizações ainda usam o SMBv1.

Na classe de Protocolos de Diretórios, que permitem buscar informações sobre usuários e recursos na rede, um dos serviços mais populares é o Active Directory (AD), desenvolvido pela Microsoft e proprietário. Para acessar o AD, são usados dois protocolos, LDAP (Lightweight Directory Access Protocol) e Kerberos. Os sistemas Windows usam o LDAP para pesquisar nomes de usuário no AD. Por padrão, essas consultas são feitas via texto simples, dando aos invasores a chance de descobrir nomes de usuários e, com isso, realizar ataques de força bruta para gerar combinações de nome e senha.

A ExtraHop recomenda, se possível, configurar os dispositivos para usar LDAPS, que faz consultas e recebe respostas usando criptografia. A ExtraHop encontrou que o protocolo LDAP deixava 13 dos 10.000 dispositivos analisados expostos à Internet, enquanto o Kerberos deixava quatro.

Na classe de Protocolos de Banco de Dados, a ExtraHop encontrou que o TDS (Tabular Data Stream) deixava 3 dos 10.000 dispositivos analisados expostos à Internet. Desenvolvido pela Microsoft, esse protocolo transmite dados em texto simples, tornando-o vulnerável à interceptação. Para evitar credenciais de autenticação sejam descobertas, o tráfego TDS deve ser incorporado ao protocolo HTTPS. Outra prática recomendada é sempre exigir clientes e servidores de banco de dados usem uma versão criptografada do TDS.

Por fim, na classe de Protocolos de Controle Remoto, a ExtraHop encontrou que o SSH  (Secure Shell) deixava 32 dos 10.000 dispositivos analisados expostos à Internet. Segundo a ExtraHop, esse é um protocolo bem projetado com boa criptografia para acessar dispositivos remotamente com segurança. Está disponível em todas as distribuições Linux e também em outros sistemas operacionais. Como é amplamente utilizado, é também muito atacado. Para protegê-lo, recomenda-se mantê-lo sempre atualizado.

Recomendações sobre como analisar as configurações de rede, dispositivos e padrões de tráfego para entender melhor os riscos e tomar medidas para a prontidão de segurança cibernética, podem ser encontradas aqui.