Se ainda não ouviu falar do protocolo SMB, milhões de pessoas usam-no todos os dias. No entanto, tem uma vulnerabilidade revelada num ciberataque maciço que afectou centenas de milhares de pessoas. O pior é que simplesmente não o utilizar já não é uma solução válida. Felizmente, existe uma forma de utilizar este protocolo em segurança. Mas primeiro – o que é SMB?
O Bloco de Mensagens do Servidor (SMB) é um protocolo de rede que permite aos utilizadores comunicar com computadores e servidores remotos – para usar os seus recursos ou partilhar, abrir e editar ficheiros. É também referido como o protocolo servidor/cliente, uma vez que o servidor tem um recurso que pode partilhar com o cliente.
Como qualquer protocolo de partilha de ficheiros de rede, a SMB precisa de portas de rede para comunicar com outros sistemas. Originalmente, utilizava a porta 139 que permitia que os computadores comunicassem na mesma rede. Mas desde o Windows 2000, SMB utiliza a porta 445 e o protocolo de rede TCP para “falar” com outros computadores através da Internet.
playComo utilizamos o protocolo SMB?
O protocolo SMB cria uma ligação entre o servidor e o cliente, enviando múltiplas mensagens de resposta a pedidos para trás e para a frente.
Imagine que a sua equipa está a trabalhar num grande projecto que envolve muito para a frente e para trás. Poderá querer poder partilhar e editar ficheiros que são armazenados num único local. O protocolo SMB permitirá aos membros da sua equipa utilizar estes ficheiros partilhados como se estivessem nos seus próprios discos rígidos. Mesmo que um deles esteja numa viagem de negócios a meio mundo de distância, eles ainda podem aceder e utilizar os dados.
p>Vamos dizer que a impressora do seu escritório está ligada ao PC da recepcionista. Se quiser imprimir um documento, o seu computador (o cliente) envia ao computador da recepcionista (o servidor) um pedido de impressão e utiliza o protocolo SMB para o fazer. O servidor enviará então uma resposta, declarando que o ficheiro está em fila de espera, impresso, ou que a impressora ficou sem magenta e não consegue executar a tarefa.
O que é autenticação SMB?
Como qualquer outra ligação, o protocolo SMB necessita de medidas de segurança para tornar a comunicação segura. Ao nível do utilizador, a autenticação SMB requer um nome de utilizador e uma palavra-passe para permitir o acesso ao servidor. É controlada pelo administrador do sistema, que pode adicionar ou bloquear utilizadores e manter o controlo sobre quem é permitido em.
A um nível de partilha, os utilizadores têm de introduzir uma palavra-passe única para aceder ao ficheiro ou servidor partilhado, mas não é necessária autenticação de identidade.
Diferentes variantes do protocolo SMB
Em 1996, a Microsoft tentou renomear SMB para CIFS (Common Internet File System). Era uma versão actualizada do mesmo protocolo e tinha mais funções, mas o nome não colou. Por causa disto, muitos ainda pensam que é a mesma coisa. CIFS é agora apenas um dos muitos dialectos (variantes) de SMB.
Aqui estão todas as variantes do protocolo SMB:
- SMBv1 foi lançado em 1984 pela IBM para partilha de ficheiros em DOS. A Microsoft modificou-o e actualizou-o em 1990.
- CIFS foi lançado em 1996 com mais características e suporte para ficheiros de maiores dimensões. Juntou-se com o novo Windows 95.
- SMBv2, lançado no Windows Vista em 2006. Apresentou um notável impulso no desempenho devido a uma maior eficiência – menos comandos e subcomandos significavam melhores velocidades.
- SMBv2.1 veio com o Windows 7, trazendo melhor desempenho.
- SMBv3 foi introduzido com o Windows 8 com muitas actualizações. A mais notável das quais é o aumento da segurança – o protocolo começou a suportar encriptação de ponta a ponta.
- SMBv3.02 veio juntamente com o Windows 8.1. Ofereceu a capacidade de aumentar a segurança e o desempenho ao desactivar completamente as SMBv1.
- SMBv3.1.1 foi lançado em 2015 com o Windows 10. Adicionou mais elementos de segurança ao protocolo, como a encriptação AES-128, protecção contra ataques de homem no meio, e verificação de sessão.
É importante saber qual a versão do protocolo SMB que o seu dispositivo utiliza, especialmente se possuir um negócio e tiver muitas máquinas Windows ligadas umas às outras. Seria difícil encontrar um PC com Windows 95 ou XP (e usando SMBv1) num escritório moderno, mas podem ainda estar a funcionar em servidores antigos. Porque é que isso é importante?
O ataque de resgate do WannaCry
Em 2017, a Agência Nacional de Segurança dos EUA (NSA) encontrou uma vulnerabilidade no protocolo SMBv1. Permitia a um atacante executar o seu código sem que o utilizador se apercebesse de nada. Quando um dispositivo era infectado, o hacker podia obter acesso a toda a rede e a todos os dispositivos a ela ligados.
Esta exploração chamava-se EternalBlue. Um grupo hacker chamado Shadow Brokers alegadamente roubou-o da NSA e divulgou-o online em 2017. A Microsoft lançou uma actualização para corrigir a vulnerabilidade, mas apenas um mês depois disso, o WannaCry ransomware eclodiu. Este ataque maciço afectou quase 200.000 dispositivos Windows em 150 países. Encriptou todos os dados no computador da vítima e exigiu um resgate em Bitcoin. O WannaCry custou ao Serviço Nacional de Saúde do Reino Unido cerca de 120 milhões de dólares em dinheiro de resgate, para não mencionar o caos que milhares de computadores encriptados e inutilizáveis criaram.
Devo desactivar o protocolo SMB?
Felizmente, ainda há mais de um milhão de máquinas Windows a executar a versão não corrigida do protocolo SMBv1. A maioria delas está provavelmente ligada a uma rede, o que torna outros dispositivos na mesma rede vulneráveis, independentemente da versão SMB que estejam a utilizar.
Se estiver a executar um computador ou servidor Windows que ainda utilize SMBv1, deverá instalar imediatamente a actualização ou, melhor ainda, actualizar para uma versão mais recente do protocolo. A utilização de SMB é segura e completamente segura? Por enquanto, parece que sim. Mas novas vulnerabilidades podem surgir a qualquer dia. Os utilizadores que querem reduzir o risco podem ir um passo mais longe e encriptar as suas ligações SMB.
Mas se não estiver a utilizar nenhuma aplicação que requeira SMB, é melhor desactivá-la completamente e proteger o seu dispositivo de possíveis ataques. SMB não é activado por defeito no Windows 10 a partir de Outubro de 2017, por isso só precisa de tomar medidas se utilizar uma versão mais antiga do Windows.
A realização de passos adicionais é morosa, e actualizações constantes podem ser aborrecidas, mas deve sempre instalá-las assim que estiverem disponíveis. Nunca assuma que as vulnerabilidades não o irão afectar. Qualquer pessoa pode tornar-se um alvo, por isso é melhor proteger os seus dispositivos e dados antes que algo aconteça.
Para mais informações sobre cibersegurança e privacidade, subscreva a nossa newsletter mensal no blogue abaixo!