Usando o mouse, ele comandou câmeras em cada uma delas, realizando zooms ocasionais com definição suficiente para revelar ranhuras na madeira e áreas de tinta descascada nas paredes. Em uma das salas, ele realizou um zoom pela janela, mostrando o estacionamento e uma área arborizada a cerca de 50 metros de distância, onde era possível ver um animalzinho escavando perto de um arbusto. Com esse tipo de equipamento, o hacker poderia facilmente ter escutado conversas sigilosas entre clientes e advogados ou lido informações confidenciais em um relatório deixado sobre a mesa de reuniões.
O hacker em questão era HD Moore, vice-presidente de segurança na Rapid7, uma companhia de Boston que busca falhas de segurança nos sistemas de computação usados em aparelhos que variam de torradeiras a sondas de exploração de Marte. A mais recente constatação dele foi a de que os equipamentos de videoconferência de uma companhia ficam muitas vezes expostos a hackers.
Sala de reunião de empresa na Alemanha é exibida em computador localizado em Boston |
Moore achou fácil entrar em diversos escritórios de advocacia, grandes empresas de capital para empreendimentos, companhias petroleiras e farmacêuticas e tribunais em diversos locais dos Estados Unidos. Achou até um caminho para a sala do conselho do banco Goldman Sachs. "As barreiras à entrada desapareceram", disse Mike Tuchen, executivo-chefe da Rapid7. "Estamos falando de algumas das salas de reuniões mais importantes do mundo, literalmente --os lugares em que acontecem as reuniões mais importantes dessas empresas--, e poderia haver participantes invisíveis em todas elas."
Há dez anos, os sistemas de videoconferência eram complicados e erráticos e funcionavam por meio de dispendiosas linhas fechadas de telefonia de alta velocidade. Mas, na última década, os sistemas de videoconferência --como tudo mais-- migraram para a internet. Agora, a maior parte das companhias utiliza serviços de conferência por protocolo de Internet --grosso modo, versões um pouco mais sofisticadas do serviço oferecido pelo Skype-- para se conectar com clientes e colegas. A maioria desses novos sistemas foi concebida para propiciar a maior clareza visual e auditiva, e não o máximo de segurança.
A Rapid7 descobriu que centenas de milhares de empresas estão investindo em excelentes sistemas de videoconferência, mas economizando em sua instalação. Pela mais recente estimativa, as companhias norte-americanas investiram US$ 693 milhões em videoconferências em grupo no terceiro trimestre do ano passado, de acordo com a Wainhouse Research.
As unidades mais populares, vendidas por Polycom e Cisco, podem atingir preços de até US$ 25 mil e oferecem criptografia, captura de vídeo em alta definição e microfones capazes de captar o som de uma porta se abrindo a cem metros de distância. Mas os administradores de sistemas das companhias estão instalando esses equipamentos sem a proteção de firewalls e configurando-os com uma falsa sensação de segurança -o que pode ser usado por hackers contra as companhias.
Não se sabe se há hackers reais explorando essas vulnerabilidades; nenhuma empresa anunciou ter sido alvo desse tipo de ataque, até o momento. (Nenhuma o faria, e a maioria nunca saberia, de qualquer maneira.) Mas, dada a onipresença dos sistemas de videoconferência, elas se tornaram alvo fácil.
Certamente não seria a primeira vez que hackers exploram lacunas de segurança em equipamentos de escritório. Depois de uma brecha de segurança na Câmara do Comércio dos Estados Unidos, no ano passado, a organização descobriu que a impressora de seu escritório e até o termostato de um apartamento dela estavam se comunicando com um endereço de internet na China.
Mas, no caso da videoconferência, as empresas parecem ter se esforçado para desenvolver vulnerabilidades. Em muitos casos, não só colocam seus sistemas na internet mas os configuram de maneira que permite que qualquer pessoa acompanhe uma reunião sem ser percebida.
Os sistemas mais novos contam com um recurso que aceita automaticamente novas chamadas, para que os participantes não precisem apertar um botão de autorização a cada vez que alguém ingressa na videoconferência. O efeito é que qualquer pessoa pode ligar para o sistema de teleconferência e receber imagens da sala; o único sinal de sua presença seria uma pequena lâmpada acesa em um console ou o movimento silencioso de uma câmera de vídeo.
Dois meses atrás, Moore desenvolveu um programa que vasculha a internet em busca de sistemas de videoconferência não protegidos por firewalls e configurados para aceitar chamadas automaticamente. Em menos de duas horas, ele pesquisou 3% da internet.
Naquele prazo, identificou 5.000 salas de reuniões com acesso de videoconferência completamente aberto, em escritórios de advocacia, companhias farmacêuticas, refinarias de petróleo, universidades e centros médicos. Deparou-se com uma reunião entre um advogado e um detento, uma sala de operações de um hospital universitário e uma reunião de capital para empreendimentos na qual os detalhes financeiros de uma empresa estavam expostos na tela. Entre os fornecedores de sistemas de videoconferência registrados como vulneráveis na pesquisa de Moore estavam Polycom, Cisco, LifeSize, Sony e outros. Desses, só a Polycom --que lidera o mercado de videoconferência pelo critério de unidades vendidas-- adota a aceitação automática de chamadas como padrão em seus equipamentos --dos modelos básicos da série ViewStation aos sofisticados da linha HDX.
Mike Tuchen (esq.) e HD Moore, da empresa de segurança Rapid7 |
Dos sistemas de videoconferência da Polycom rastreados por Moore, nenhum bloqueava os controles de câmera, solicitava uma senha ou deixava o som mudo.
"Muitos dos sistemas da Polycom são vendidos, instalados e mantidos sem qualquer nível de segurança de acesso, com a aceitação automática de chamadas ativada por padrão", disse Moore. "Com isso, tudo depende da conscientização das organizações quanto ao risco, e nossa pesquisa indica que muitas delas, mesmo empresas de capital para empreendimentos bastante sofisticadas, não estão conscientizadas da questão e não implementam nem mesmo as medidas mais básicas de segurança."
Tuchen, da Rapid7, disse que, para ganhar tempo, as empresas instalam seus sistemas de videoconferência sem proteção de firewall, permitindo que recebam chamadas de outras companhias sem que precisem lidar com configurações de rede complexas. A maneira mais segura de receber chamadas externas, segundo Tuchen, é instalar um sistema de controle de entrada que conecta com segurança as chamadas de fora do firewall. Mas esse processo é "complexo de configurar apropriadamente", afirma, e "frequentemente descartado".
Ira M. Weinsten, analista-sênior da Wainhouse Research, uma companhia de pesquisa de mercado especializada em teleconferência, contestou a ideia de que a maioria das empresas opera sistemas sem proteção de firewall. "As companhias que realmente têm que se preocupar com brechas --o Departamento da Defesa, bancos-- colocam seus sistemas atrás de firewalls", ele afirmou.
"Isso não significa que não haja exceções. Se você usa teleconferência para reuniões com outras companhias, precisa decidir se quer ser acessível ou ficar totalmente seguro. Eu não consigo sair de casa e ficar seguro. Mas quero ser acessível. É uma escolha que as pessoas fazem."
Mas, em alguns casos, Moore descobriu que podia saltar de um sistema aberto para uma agenda de contatos e ligar para salas de conferência de outras empresas, mesmo aquelas que tinham protegido seus sistemas com firewall.
Foi o caso do Goldman Sachs. A sala do conselho do banco não apareceu na varredura inicial de Moore, mas um contato identificado como "Goldman Sachs Board Room" (conselho do Goldman Sachs) estava na agenda de um escritório de advocacia que realiza videoconferências com o banco. Moore não revelou o nome do escritório e disse que, porque temia passar dos limites, não ligou para a sala do conselho do Goldman Sachs.
Qualquer criança de seis anos de idade que entenda um pouco de computadores pode tentar o mesmo em casa, disse Tuchen.
Nenhum comentário:
Postar um comentário