A Shodan, um motor de busca que se dedica a rastrear equipamentos ligados à Internet através da utilização de uma multiplicidade de filtros no seu “Internet Exposure Dashboard” (que é actualizado em tempo real) revela uma fotografia preocupante da Internet em Portugal e uma parte da explicação da presença do país entre os países europeus mais atacados por hackers e campanhas de ransomware.

Desde logo, a Shodan identificada como a vulnerabilidade aberta mais comum em Portugal é a CVE-2022-32548 que afecta routers da marca DrayTek Vigor anteriores a Julho de 2022 e que podem ser comprados no retalho ou que são entregues junto a pacotes de acesso à Internet da Vodafone com versões inferiores a 4.3.1.1. e em modelos tais como o Vigor3910 (que estão à venda, p.ex. na FNAC ou na Worten). Estes routers podem ser vítimas de um “buffer overlow” através de um acesso por username/password ou através dos campos “aa” e “ab” concedendo assim acessso a utilizadores externos. Comparando com Espanha encontramos a vulnerabilidade CVE-2015-0204 (protocolo SSL) como a mais comum .

Logo depois surge a vulnerabilidade EternalBlue, um exploit desenvolvido pela Agência de Segurança Nacional (NSA) dos EUA e que foi detectada em 12 sistemas portugueses (vs 52 em Espanha). Esta vulnerabilidade foi descoberta em abril de 2017 e corrigida pela Microsoft um mês depois. Usada pelo ransomware WannaCry em 2017 e, mais tarde, pelo NotPetya é realmente surpreendente que existam sistemas com o serviço SMB versão 1 (SMBv1) em Portugal e em servidores expostos na Internet (a Shodan não diz quais) e que não estejam ainda devidamente actualizados (admitindo que o SMB é mesmo necessário: o que é altamente duvidoso). Note-se que foi a EternalBlue a porta de entrada usada, em 2019, para paralisar a cidade de Baltimore, nos EUA (segundo alguns).

Outra vulnerabilidade identificada como em Portugal é a BlueKeep (CVE-2019-0708) em torno do “Microsoft Remote Desktop Protocol” e que foi corrigida num patch em agosto de 2019. A Shodan encontrou 129 sistemas portugueses que tinham exposto para a Internet (o que não é recomendável) a porta RDP (3389) e que tinham esse serviço activo e exposto na rede pública permitindo ataques tais como aqueles que têm sido executados pelo ataque BadRabbit de 2017, o Blaster e o Sasser de 2003 e outros ataques desde 2019. Em Espanha a Shodan encontra 994 servidores com esta vulnerabilidade (vs os 129 em Portugal): ou seja numa escala demográfica comparável.

Foram também detectadas em Portugal 5 bases de dados comprometidas (expostas na Internet) assim como 445 sistemas vulneravéis à HearBleed um erro de implementação do protocolo SSL por parte de uma versão antiga do OpenSSL sendo afectadas as versões de 1.0.1 a 1.0.1f. Em Espanha, surgem 79 bases de dados comprometidas (muito mais do que a comparação demográfica faria prever).

As portas de gestão de routers 7547 e 4567 surgem abertas na Internet em mais de 310 mil (!) equipamentos: o que permite o acesso remoto à sua configuração e, potencialmente a configurações indesejadas por parte de agentes maliciosos. Ambas as portas estão abertas para que alguns ISPs realizem tarefas remotas nos routers dos seus clientes. Só depois, muito depois, é que surge o porto 80 (o http dos Browsers que, também, já não deveria ser assim tão numeroso e muito depois o 443 (https) com, respectivamente 130 mil ocorrências e 75 mil. Existiam também, a 11 de abril de 2023, cerca de 10 mil porta de terminal SSH abertas. Por comparação, em Espanha, Temos a porta 161 (usada por routers de ISPs) como a mais exposta com 1,3 milhões de ocorrências, seguida das 80 com 600 mil (servidores ainda utilizando o http) e o 7547 usado também por routers e ISPs.

Comparativamente, Portugal parece melhor posicionado que Espanha, especialmente se tivermos em conta a diferença demográfica e das economias de cada país. Contudo, há preocupações relacionadas com a falta de atualização de uma quantidade tão grande de routers de ISPs (que não sucede em Espanha) e com a existência de uma quantidade tão significativa de servidores indevidamente expostos na Internet nas portas SMB (para acesso a share de rede: talvez de NAS domésticas) e de RDP (para controlo remoto de computadores). Ambos os pontos deviam estar na lista de prioridades de todos os que gerem redes públicas neste país.

Para saber mais:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548
https://pt.wikipedia.org/wiki/EternalBlue
https://blog.avast.com/what-is-bluekeep
https://threatpost.com/bluekeep-attacks-have-arrived-are-initially-underwhelming/149829/
https://heartbleed.com/

Posições relacionadas por parte da Iniciativa CpC:
https://cidadaospelaciberseguranca.com/2022/10/03/peticao-obrigar-os-operadores-a-darem-ao-cliente-mais-controlo-sobre-os-equipamentos-terminais-no-que-afecta-a-rede-ciberseguranca-e-no-seu-aluguer/