Misfortune Cookie

Recentemente lá foi publicitada mais uma vulnerabilidade em equipamentos domésticos. Desta vez nos routers domésticos de várias marcas. Este equipamentos são vendidos ao público geral e muito pouco tempo depois de abrirem a caixa, já os equipamentos estão vulneráveis. Neste caso em concreto a vulnerabilidade acontece porque estes equipamentos carregam no seu software de gestão servidores web, versões reduzidas, mas que acabam por estar vulneráveis a todos os ataques que os servidores de produção também estão, só que com menos investimento em manutenção. A vulnerabilidade só é explorável onde o serviço ficar disponível, mas se não entendem o que isso significa e como o impedir então passa a ser um problema.

O software que vem pré-instalado nos equipamentos lá de casa deve ser atualizado para corrigir os erros e as fechar vulnerabilidades descobertas após a compra. O acesso físico e eletrónico aos equipamentos deve ser mantido de forma conservadora e reservada. Os impactos desta e de outras falhas semelhantes são exponenciados pelo número de equipamentos disponíveis com potencial de conterem o software com a falha, mas também pelo desconhecimento do público em geral para a forma de a evitarem.

Ninguém nos dá formação para a necessidade de manter boas práticas de gestão dos nossos equipamentos, entre elas as de segurança. A nossa falta de conhecimento do funcionamento dos nossos equipamentos pode deixá-los expostos para que sirvam fins não previstos e mesmo essas não nos garantirão que isso não irá acontecer. Esta “funcionalidade não pretendida” a que chamaram Misfortune Cookie não é muito diferente de outras. Estes defeitos são provocadas por erros no controlo de qualidade do software provocadas pela falta de verificação de parâmetros recebidos.

Tudo o que tem software tem o potencial de sofrer dos mesmos defeitos que há muito conhecemos, mas atualmente o número de equipamentos disponíveis é muito superior e o esforço de os manter atualizados também. A informação sobre esta e outras falhas de software está disponível para consulta muito antes de sentirmos necessidade de reagir como utilizadores.

Se visitarem o site dedicado ao Misfortune Cookie vão perceber que esta falha em concreto até tem infográficos, listas de equipamentos afetados e outro tipo de informação. Os equipamentos identificados como podendo estar afetados pela vulnerabilidade são comuns em muitas casas, mas muitos utilizadores não voltam a aceder aos ecrãs de configuração depois destes serem configurados para uso, deixando as passwords por defeito, também elas disponíveis na Internet e por lapso abrindo ao exterior funcionalidades que não pretendiam nunca utilizar.

Muitos routers tem hoje em dia um site para os administrar que corre num servidor Web dentro do próprio equipamento. Este defeito em concreto só expõem os utilizadores que não temeram abrir o acesso pela Internet ao site de administração do seu router. O impacto pode acontecer quando o dono do router decidir abrir estes serviços no lado WAN (Wide Acess Network) o que não é muito diferente de outras funcionalidades dos equipamentos que os utilizadores nem desconfiam que existem e por isso não sabem como controlar.

Este tipo de serviços, tipicamente fechado quando o equipamento é retirado da caixa, deveria ser mantido fechado pelo utilizador e sem possibilidade de outro acesso que não fosse através de um cabo ligado diretamente ao equipamento.