Muitas empresas ignoram normas de segurança ao configurar sistemas de videoconferência

São Francisco (EUA) - Numa tarde de janeiro, um hacker passeou por uma dúzia de salas de reunião do mundo todo, através de aparelhos que a maioria das empresas possui nessas salas: equipamentos de videoconferência. Usando o mouse, ele conduzia a câmera por cada sala, ocasionalmente aproximando a imagem com tal precisão que era possível discernir ranhuras na madeira e manchas de tinta na parede.

Numa das salas, ele aproximou a imagem através da janela, passando pelo estacionamento e por um bosque a 45 metros de distância _ onde um pequeno animal podia ser visto cavando sob um arbusto. Com esses equipamentos, o hacker poderia facilmente ter ouvido conversas sigilosas entre advogados e clientes ou lido segredos comerciais sobre algum relatório deixado sobre a mesa.

Tuchen e Moore, da Rapid 7: especialistas em brechas de sistemas de videoconferências
NYT
Tuchen e Moore, da Rapid 7: especialistas em brechas de sistemas de videoconferências

Neste caso, o hacker era HD Moore, diretor de segurança da Rapid 7, empresa de Boston que identifica falhas de segurança em sistemas computacionais usados em diversos dispositivos, desde minifornos elétricos até equipamentos que pousam em Marte. Sua mais recente descoberta: equipamentos de videoconferência são, muitas vezes, deixados vulneráveis a hackers.

Coletivamente, as empresas gastam bilhões de dólares por ano aprimorando a segurança de seus sistemas de computação e laptops de funcionários. Elas sofrem com informações confidenciais que funcionários enviam a suas contas do Gmail e Dropbox, ou armazenam em seus iPads e smartphones. Mas raramente dão muita atenção à facilidade com que se pode invadir uma sala de videoconferência, onde seus maiores segredos comerciais são discutidos abertamente.

Moore não teve problemas para entrar em diversas empresas de capital de risco e advocacia, companhias farmacêuticas, de petróleo e tribunais em todo o país. Ele conseguiu até mesmo encontrar um caminho para a sala da diretoria do Goldman Sachs.

"Não havia segurança", disse Mike Tuchen, presidente da Rapid 7. "Essas são algumas das salas de reuniões mais importantes do mundo - é ali que ocorrem suas conversas mais cruciais -, e poderia haver participantes silenciosos em todas elas."

Videoconferência migrou para internet

Dez anos atrás, os sistemas de videoconferência eram complicados e erráticos, funcionando através de linhas de telefone fechadas e de alta velocidade. Na década passada, a videoconferência - como todo o resto - migrou para a internet.

Hoje, a maioria das empresas utiliza a videoconferência por protocolo de internet - uma versão aprimorada do Skype - para se conectar com colegas e clientes. A maioria desses novos sistemas foi projetada buscando nitidez de áudio e vídeo, e não segurança.

A Rapid 7 descobriu que centenas de milhares de empresas investiam em unidades de videoconferência de alta qualidade, mas configuravam-nas da forma mais barata. Na última contagem, empresas gastaram cerca de US$ 693 milhões com equipamentos de videoconferência de julho a setembro do ano passado, segundo a Wainhouse Research.

As unidades mais populares, vendidas pela Polycom e pela Cisco, chegam a custar até US$ 25 mil e oferecem criptografia, vídeo em alta definição e áudio que capta o som de uma porta se abrindo a 90 metros de distância. Porém, os administradores as configuram fora do firewall - e com um falso senso de segurança que os hackers podem usar contra eles.

Não se sabe se hackers reais estão explorando essa vulnerabilidade; nenhuma empresa anunciou qualquer ocorrência desse tipo (na verdade, a maioria delas nem mesmo saberia se foi invadida). Mas, com os sistemas de videoconferência tão onipresentes, elas formam um alvo fácil.

Certamente não seria a primeira vez que hackers exploraram lacunas em hardwares corporativos. Após uma falha de segurança na Câmara Americana de Comércio dos EUA, no ano passado, a organização descobriu que sua impressora do escritório, e até mesmo um termostato num apartamento de propriedade da câmara, vinham se comunicando com um endereço virtual na China.

Configuração inadequada facilita invasões

Com a videoconferência, as empresas aparentemente escolheram a vulnerabilidade. Em muitos casos, elas não estão apenas colocando seus sistemas na internet, mas configurando-os de forma que qualquer pessoa pode participar de reuniões sem ser percebido.

Os novos sistemas são equipados com um recurso que aceita automaticamente chamadas de entrada, para que os usuários não precisem pressionar um botão "aceitar" toda vez que alguém disca para sua videoconferência. O resultado é que qualquer um pode entrar e olhar uma sala, e o único sinal de sua presença é uma minúscula luz no console central, ou o movimento silencioso de uma câmera de vídeo.

Recentemente, Moore criou um programa de computador que peneirava a internet em busca de sistemas de videoconferência que estivessem fora do firewall e configurados para responder automaticamente a chamadas. Em menos de duas horas, ele havia pesquisado 3 por cento da internet.

Nessa pequena fatia, ele descobriu 5 mil salas de reunião escancaradas em escritórios de advocacia, companhias farmacêuticas, refinarias de petróleo, universidades e centros médicos. Ele se deparou com uma reunião entre advogado e detento numa sala na prisão, uma sala de cirurgia no centro médico de uma universidade e uma reunião de capital de risco onde os dados financeiros da empresa eram projetados numa tela.

Entre os fornecedores que apareceram na varredura de Moore estavam Polycom, Cisco, LifeSize, Sony e outros. Destes, a Polycom - que lidera o mercado de videoconferência em unidades vendidas - era o único fabricante que vende seus equipamentos com o recurso de resposta automática habilitado como padrão.

Por e-mail, um porta-voz da Polycom declarou que o recurso de resposta automática trazia diversos elementos de segurança embutidos que podiam ser ativados pelo cliente, incluindo proteções por senha, auto-mudo e bloqueio do controle de câmera, acrescentando que a Polycom também oferece uma tampa para a lente da câmera. Ele afirmou que "os níveis de segurança foram projetados para que seja simples, para os clientes, habilitar a proteção mais adequada ao seu negócio".

Dos sistemas de videoconferência da Polycom que apareceram na busca de Moore, nenhum bloqueou o controle da câmera, pediu senha ou retirou o áudio.

"Muitos sistemas da Polycom são vendidos, instalados e usados sem qualquer nível de segurança de acesso, com a resposta automática habilitada por padrão", disse Moore. "Tudo se resume em saber se as organizações estão cientes do risco, e nossa pesquisa indica que muitas delas, até mesmo importantes empresas de capital de risco, não possuem essa consciência e não implementam qualquer medida de segurança, por mais básica que seja."

Segundo Tuchen, da Rapid 7, as empresas colocam seus sistemas de videoconferência fora do firewall como um atalho, permitindo a recepção de chamadas de outras empresas sem exigir qualquer configuração complexa de rede. A maneira mais segura de receber chamadas de outras empresas, continuou ele, é instalar um "gatekeeper" que conecte com segurança as chamadas de fora do firewall. Porém, esse processo "é complexo de configurar adequadamente", explicou Tuchen, "e é frequentemente ignorado".

Ira M. Weinstein, analista sênior da Wainhouse Research, firma de pesquisa de mercado especializada em conferências de imprensa, contesta a ideia de que a maioria das empresas mantém seus sistemas fora do firewall. "As empresas que precisam realmente se preocupar com falhas _ o Departamento de Defesa, os bancos _ colocam seus sistemas por trás do firewall", garantiu Weinstein.

"Isso não significa que não existam exceções. Ao falar com empresas de fora, você precisa decidir se prefere ser acessível ou totalmente seguro. Eu nunca poderia sair na rua e continuar totalmente seguro. Mas quero ser acessível. É uma escolha que as pessoas fazem."

Em alguns casos, Moore descobriu que era possível pular de um sistema aberto para seu próprio catálogo de endereços, e discar para salas de reunião de outras empresas _ mesmo aquelas com seus sistemas atrás do firewall.

Esse foi o caso do Goldman Sachs. A sala de diretoria do banco não foi identificada na primeira busca de Moore, mas um resultado rotulado "Sala de Reuniões do Goldman Sachs" apareceu no diretório de um escritório de advocacia que realiza videoconferências com o Goldman Sachs. Moore não revelou o nome do escritório e, por receio de "ir longe demais", acabou não ligando para nenhuma sala de reunião do banco.

Segundo Tuchen, "qualquer criança de 6 anos que entenda um pouco de computadores consegue fazer isso em casa".

Reportagem de Nicole Perlroth

    Faça seus comentários sobre esta matéria mais abaixo.