Remover um roteador quebrado do rack do equipamento e substituí-lo por um novo é provavelmente uma ação comum em ambientes de rede corporativa. Entretanto, tão importante quanto fazer com que a substituição e a implantação desses equipamentos ocorra sem problemas é pensar sobre o destino que deve ser dado aos roteador que serão descartados.
Quando a equipe de pesquisa da ESET comprou alguns roteadores de segunda mão para montar um ambiente de teste, os pesquisadores ficaram surpresos ao descobrir que, em muitos casos, as configurações usadas anteriormente não tinham sido apagadas... e pior, os dados contidos nestes dispositivos podiam ser utilizados para identificar os proprietários anteriores e ter acesso a detalhes de suas configurações de rede.
Isto nos levou a realizar um teste mais profundo, comprando outros dispositivos usados e adotando uma metodologia simples para ver se estes dados também existiam no segundo lote de dispositivos adquiridos. No total foram comprados 18 roteadores, um deles não ligava e dois eram um par espelhado, por isso contamos todos como apenas um equipamento; levando isto em conta, descobrimos que 56% dos dispositivos continham dados e detalhes de configurações.
Nas mãos erradas, as informações que estes dispositivos contêm - incluindo dados de clientes, chaves de autenticação de roteador para roteador, listas de aplicativos e muito mais – são suficientes para realizar um ataque cibernético. Um cibercriminoso pode obter estes dados para conseguir o acesso inicial a uma rede e então começar a sondar para detectar onde os ativos digitais dessa empresa estão localizados e o que pode ter valor. Provavelmente, a maioria dos leitores já deve estar imaginando o que pode vir em seguida neste tipo de situação.
As mudanças nos últimos anos nos métodos utilizados por cibercriminosos para realizar um ataque cibernético a uma empresa com a intenção de obter ganhos financeiros estão bem documentadas. Estas mudanças em direção a um estilo de ataque como o realizado por ameaças persistentes avançadas (APT) permitem a cibercriminosos estabelecer um ponto de entrada para ganhar uma base dentro das redes de empresas. Eles então gastam tempo e recursos para extrair dados sensíveis, explorar métodos para fugir de medidas de segurança e, em última instância, comprometer a empresa, sujeitando-a a um ataque de ransomware ou a outros malwares.
O acesso não autorizado à rede de uma empresa tem um custo: atualmente o preço médio das credenciais de acesso a uma rede corporativa, de acordo com a pesquisa da KELA Cybercrime Prevention, é de cerca de US$ 2.800. Isto significa que se um roteador usado e adquirido por pouco dinheiro for capaz de fornecer acesso a uma rede sem qualquer esforço, o retorno do investimento para os cibercriminosos pode ser significativo. Isto supondo que os atacantes estão apenas comercializando os dados de acesso e vendendo-os em mercados clandestinos na dark web ao invés de realizar ataques por conta própria.
Uma constatação preocupante desta pesquisa é a falta de envolvimento das empresas quando tentamos alertá-las sobre o acesso público aos seus dados. Algumas empresas estavam receptivas ao contato, outras até confirmaram que seus dispositivos haviam sido descartados ou passaram por um processo de exclusão de dados, o que obviamente não havia acontecido. Outras simplesmente ignoraram as diversas tentativas de contato.
Uma lição deixada por esta pesquisa é que qualquer dispositivo que uma empresa descarte deve passar por um processo de limpeza, e que esta ação deve ser certificada e auditada regularmente para garantir que as informações sensíveis de uma empresa não acabem sendo comercializadas em mercados de compra e venda de hardwares de segunda mão.
Publicamos os detalhes desta pesquisa em um white paper (em inglês), exceto os nomes das empresas e os dados que permitiriam sua identificação. O white paper também contém orientações sobre o processo que deve ser seguido, incluindo referências à Publicação Especial 800.88r1 do NIST, Guidance for Media Sanitisation. Leia a pesquisa completa e revise os processos em sua própria empresa para garantir que suas informações corporativas não estejam sendo divulgadas por um erro.