O Carnaval dos Hackers

Em plena Quarta-Feira de Cinzas, com metade do Brasil pulando carnaval e a outra metade de ressaca, vim ao escritório para pegar uns papéis para uma reunião no dia seguinte (afinal, alguém tem de trabalhar!). Eis que, ao ligar o computador, recebo um aviso do firewall alertando para uma atividade estranha no servidor de e-mails da empresa. 

Imediatamente, abro o administrador do WinConnection e aparece a seguinte pérola: 

Wed Feb 17 11:33:01 2010 I POPSRV[5872]: Conexao. 187.45.225.170, USER ismael

Wed Feb 17 11:33:02 2010 W POPSRV[5872]: Erro de autenticacao

Wed Feb 17 11:33:02 2010 I POPSRV[5876]: Conexao. 187.45.225.170, USER ismael

Wed Feb 17 11:33:03 2010 W POPSRV[5876]: Erro de autenticacao

Wed Feb 17 11:33:03 2010 I POPSRV[5880]: Conexao. 187.45.225.170, USER ismenia

Wed Feb 17 11:33:04 2010 W POPSRV[5880]: Erro de autenticacao

Wed Feb 17 11:33:04 2010 I POPSRV[5884]: Conexao. 187.45.225.170, USER ismenia

Wed Feb 17 11:33:05 2010 W POPSRV[5884]: Erro de autenticacao

Wed Feb 17 11:33:06 2010 I POPSRV[5888]: Conexao. 187.45.225.170, USER isolda

Wed Feb 17 11:33:07 2010 W POPSRV[5888]: Erro de autenticacao

Wed Feb 17 11:33:07 2010 I POPSRV[5892]: Conexao. 187.45.225.170, USER isolda

Wed Feb 17 11:33:08 2010 W POPSRV[5892]: Erro de autenticacao

Wed Feb 17 11:33:08 2010 I POPSRV[5896]: Conexao. 187.45.225.170, USER israel

Wed Feb 17 11:33:09 2010 W POPSRV[5896]: Erro de autenticacao

Wed Feb 17 11:33:09 2010 I POPSRV[5904]: Conexao. 187.45.225.170, USER israel

Wed Feb 17 11:33:10 2010 W POPSRV[5904]: Erro de autenticacao

Wed Feb 17 11:33:10 2010 I POPSRV[5908]: Conexao. 187.45.225.170, USER italo

Wed Feb 17 11:33:12 2010 W POPSRV[5908]: Erro de autenticacao

Wed Feb 17 11:33:12 2010 I POPSRV[5916]: Conexao. 187.45.225.170, USER italo

Wed Feb 17 11:33:13 2010 W POPSRV[5916]: Erro de autenticacao 

Esse foi só um trecho de páginas e páginas de logs, mas que, obviamente, tratava-se de um ataque de uma máquina com o IP 187.45.225.170 ao meu servidor POP3. E qual seria o objetivo desse ataque? 

Todos os POP3 que não sejam criptografados por uma VPN (ou limitados no firewall) precisam estar abertos na Internet se o objetivo for consultar o e-mail de qualquer lugar - como no celular, no computador de casa ou até em uma lan house. Alguém desenvolveu um programa com um dicionário de nomes comuns em português (existem vários em inglês com nomes como John, James, Smith etc.) e achou um servidor POP3 que estivesse respondendo a redes externas na porta 110.

Com esse dicionário de nomes e um programa que manda instruções baseadas no protocolo POP3 e na porta 110 (simples de ser feito), o computador com o IP 187.45.225.170  tentou achar um usuário e senha válidos na minha rede.  Se ele acertasse a senha, receberia um +OK do servidor e o programa saberia que acertou o usuário/senha. Simples, mas potencialmente perigoso.   

A segunda etapa certamente consistiria no ataque à porta 25 de nosso servidor, usando o usuário/senha descobertos  para, provavelmente, mandar SPAM de Viagra, Ciallis e outras pílulas para toda a Internet.  Então, nosso IP, que está limpinho nas RBLs (Real-Time Blockhole List), ficaria tão sujo quanto a ficha de alguns políticos  de Brasília e, naturalmente, nossos clientes não receberiam os e-mails legítimos enviados pelo nosso SMTP atacado. 

Porém, a história ainda não acaba aqui.  Nada é tão ruim que não possa ser piorado!  

E se esse usuário/senha do servidor POP3 for o mesmo do MS Active Directory do usuário?  Bom, daí o negócio complica. Se ele tem acesso a um Terminal Service dessa rede, o Administrador da Rede terá bastante trabalho para retirar o hacker de sua rede. 

Enfim, o que podemos aprender com essa lição é o que todos já sabem: 

• A Internet é um lugar perigoso. Sempre use senhas fortes para evitar surpresas desagradáveis. 
• Você sempre será atacado, mas, se tomar as providências necessárias, o ataques serão inócuos. 
• Disponibilize o mínimo de serviços online possível.  Quando disponibilizar, tome as providências que todos sabem (service pack, senhas fortes, firewall configurado etc.). 
• Dificulte a vida dos hackers. Quando possível, use uma VPN ou limite o acesso da sua rede para IPS conhecidos ou dentro da abrangência da sua empresa (liberar somente para o Brasil, por exemplo).

É isso. E tomem cuidado com as senhas para as redes em que vocês fazem relay, porque a cada dia há a possibilidade de se deparar com novos tipo de ataque.