A tarde de quarta-feira, 3 de janeiro, foi um dia difícil para os funcionários da Orange na Espanha. Uma falha repentina estava deixando muitos de seus clientes sem conectividade, e longe de ser uma falha de infraestrutura como as que estamos relativamente acostumados, foi algo mais grave que se confirmou nas horas que se seguiram: um hacker sequestrou a conta Orange no RIPE NCC.
Assim entendemos, assim como no passado com Cloudflare, por exemplo; que os incidentes de certos tipos de fornecedores e organizações, geralmente invisíveis para o usuário final, têm consequências tão ou mais graves que as da infraestrutura de nós que somos clientes.
O que exatamente aconteceu. O ataque da Orange envolveu a adulteração do sistema de roteamento da Internet conhecido como BGP (Border Gateway Protocol). O invasor obteve credenciais da Orange no RIPE NCC e isso lhe permitiu redirecionar o tráfego de Internet dos clientes da Orange, causando falhas no acesso a sites e aplicativos.
Este método é conhecido como sequestro do BGP. Trata-se de assumir o controle das rotas de tráfego online para poder interceptar os dados que circulam por elas ou, como neste caso, redirecioná-los.
O que é RIPE NCC. É o Centro Europeu de Coordenação de Redes IP, o órgão responsável pela atribuição de endereços IP na Europa, bem como em algumas áreas do Médio Oriente e da Ásia Central. Possui mais de 20.000 membros, basicamente provedores de acesso à Internet, governos, reguladores, instituições educacionais, grandes empresas e organizações de telecomunicações.
Com sua função, o RIPE NCC garante que o tráfego de dados seja roteado de forma eficiente e segura pela rede. Se um invasor acessar um de seus bancos de dados para fins maliciosos, você poderá impedi-lo para um grupo de clientes, como aconteceu. Tem sede em Amsterdã, foi formada em 1992 e é uma organização sem fins lucrativos. Qualquer pessoa pode participar.
Como se fez. A Orange não forneceu detalhes sobre este ataque, mas uma teoria não confirmada sugere que o invasor roubou credenciais de conta no RIPE NCC por meio de um ataque de hacking. phishing a um funcionário da operadora em setembro de 2023. Este ataque injetou software malicioso (ladrão de informações) que permitiu obter o nome de usuário e a senha dessa conta.
Segundo os detalhes publicados, seria uma senha extremamente simples e sem verificação de dois fatores, o que permitia ao invasor acessar apenas com a senha.
O endereço de e-mail que a Orange usa para a conta RIPE NCC foi publicado pelo próprio invasor, e a Hudson Rock, uma empresa de segurança cibernética, afirma que pode confirmar “com grande certeza” que essa teoria é verdadeira.
Isso poderia acontecer com outra operadora? Claro, mas vai depender se um invasor o atingir, se ele conseguir obter as credenciais do operador no RIPE NCC (muito possivelmente isso serviu para fazer com que todos revisem seu sistema de segurança para preservá-los) e se ele possui vulnerabilidade, técnicas ou humano, que pode tornar isso possível.
Um novo ataque como esse poderia sequestrar endereços IP para redirecionar o tráfego da Internet destinado à operadora e fazê-lo passar para os invasores. Ele também poderia manipular rotas BGP e interceptar tráfego ou dados confidenciais de clientes, embora a Orange tenha garantido que isso não aconteceu com seu ataque.
A RIPE NCC divulgou um comunicado explicando que está investigando o ataque a uma de suas contas, restaurou o acesso ao seu legítimo proprietário e entrará em contato com os titulares de contas que possam ter sido afetados.
O que podemos aprender. Sem dúvida, quer se trate de contas pessoais ou de contas corporativas, de qualquer porte, é sempre uma boa ideia proteger ao máximo as nossas credenciais.
Primeiro, usando senhas fortes. Um que seja muito fraco pode ser roubado em questão de segundos ou no máximo em algumas horas, seja por meio de palavras de dicionário ou por ataques de força bruta.
Nesta demonstração você pode verificar em tempo real quanto custaria para obter qualquer um. A senha sugerida pela teoria era muito fraca, embora não tenha sido por força bruta que o invasor a obteve.
Segundo, ativar a verificação de dois fatores. Existem muitos métodos para isso e será uma ótima maneira de nos proteger caso alguém roube uma senha. Até o próprio RIPE NCC o recomenda explicitamente.
Em Xataka | Trashing: o que é, como funciona e como se proteger dele.
Imagem em destaque | Shoaib Asif no Unsplash.