Segurança de redes: a porta do Batman

obama amxUm pequeno escândalo estourou no final da semana passada no mundo da automação corporativa: aparelhos para controle de redes AV usados na Casa Branca e até nas Forças Armadas dos EUA contêm uma falsa porta de segurança, por onde hackers podem se aventurar. A denúncia partiu de uma empresa especializada da Áustria, que fez o estudo e apontou os responsáveis: a AMX, hoje maior fornecedora desse tipo de equipamento ao governo americano.

A notícia saiu no site Ars Technica e repercutiu em quase toda a mídia (não apenas a especializada). Claro que é assunto essencialmente técnico, mas as implicações políticas são de interesse público. O aparelho citado é um controlador da linha NetLinx, mod. NX-1200. Ao examiná-lo, técnicos da SEC Consult, que trabalha com redes, identificaram uma porta de comunicação que adiciona automaticamente uma conta privilegiada à lista de clientes com acesso autorizado. “Alguém com conhecimento de redes pode perfeitamente entrar por ali, reconfigurar um sistema inteiro e disparar ataques”, explicou um dos técnicos.

Verdade ou não, espalhou-se pânico entre centenas de empresas que também utilizam o aparelho. Para se ter ideia, a montagem acima saiu no site da CNN, fazendo o link com a já espinhosa questão da segurança nacional em tempos de internet: o presidente Obama e assessores estariam sendo “vigiados” por um aparelho desses!!!

Segundo o próprio site da AMX, entre os usuários do NX-1200 incluem-se nomes como 20th Century Fox, EDS, JD Edwards, Unilever, diversas universidades, hospitais e redes de hotéis ao redor do mundo – fora dezenas de órgãos governamentais. O estrago não seria pequeno se houvesse alguma invasão.

O problema maior, que a AMX até agora não esclareceu, é que a empresa foi avisada em março sobre a tal “porta secreta”, que tinha até um nome sugestivo: Black Window (“viúva negra”). A SEC, que havia solicitado correção da falha, esperou dez meses e, como não teve resposta, decidiu avisar oficialmente seus clientes e o mercado em geral. Em comunicado, AMX informou que havia instalado uma outra porta, chamada Batman, e que a denúncia não tem fundamento.

Mas o assunto continua sendo debatido entre profissionais da área.

No comments yet.

Deixe uma resposta