SEI/ANATEL - 7777396

Os equipamentos para telecomunicações precisam de homologação da Anatel para serem comercializados e utilizados no Brasil. O processo de avaliação da conformidade e homologação tem como um dos seus princípios a proteção e segurança dos usuários dos produtos de telecomunicações.

Para que um produto possa ser certificado são exigidos testes de laboratório para avaliação da segurança dos equipamentos, como sua proteção contra instabilidades nas redes de energia elétrica, proteção contra vazamento de líquidos tóxicos ou superaquecimento.

Além disso, é avaliado o cumprimento de requisitos de desempenho para assegurar a qualidade das redes de telecomunicações. Também são testadas as características de emissões de ondas de rádio para que outros equipamentos utilizados por outros usuários não sejam interferidos.

Quando o certificado de conformidade é homologado pela Agência, o produto pode receber o “Selo Anatel”.

Produtos não homologados podem acessar conteúdo protegido por direitos autorais, o que é crime. Tanto a comercialização como a utilização de produtos para telecomunicações não homologados são passíveis de sanções administrativas, que podem ir de advertência a multa.

Para garantir a segurança dos usuários e a qualidade dos serviços, a Anatel tem alocado grande esforço de fiscalização para combater a comercialização dos produtos para telecomunicações não homologados, tanto por meio de ações autônomas como em parcerias com outros órgãos da Administração Pública - os Ministérios da Justiça e da Economia, a Receita Federal, as Polícias Federal e Rodoviária Federal, entre outros. Nos últimos anos foram retirados do mercado centenas de milhares de produtos irregulares.

O objetivo do estudo realizado foi verificar se os aparelhos do tipo TV Boxes não homologados também podem conter vulnerabilidades que venham a comprometer a segurança e proteção dos dados do usuário.

Esse estudo, que contou com a colaboração de técnicos da Agência Nacional de Cinema (Ancine), continuará a ser realizado, em novas etapas, que abrangerão outros modelos de TV Box.

Para este estudo foram utilizados aparelhos TV Boxes, disponíveis em centros de comércio popular e em Market Places, de forma a garantir que o dispositivo a ser analisado estava nas mesmas condições que o usuário adquire.

Os testes tiveram suporte de peritos forenses e foram realizados por técnicos da Anatel, utilizando infraestrutura residencial nas mesmas condições que o usuário possui.

Inicialmente, o procedimento adotado buscou verificar a presença de malware pré-instalado e seu comportamento ao conectar o aparelho na internet do usuário.

Com o objetivo de avaliar o funcionamento do malware, foi realizado o monitoramento de acesso dos aparelhos TV Box à internet através de ferramentas apropriadas. A partir do monitoramento, foi verificada atividade suspeita por meio da comunicação com um servidor de comando.

Após confirmada a a atividade suspeita de malware, foram realizadas tentativas de captura de dados em um dispositivo conectado à TV Box por um atacante externo à rede do usuário.

Também nos casos em que se encontrou algum malware, foram simulados, por meio de um servidor de comando, Ataques de Negação de Serviço (DoS). O Ataque DoS (Denial of Service) tem como objetivo principal a interrupção de um serviço disponível em rede. Não é apenas um ataque à disponibilidade do serviço, mas também tem como objetivo secundário obter o máximo de atenção por meio do modo como o processo se dá. Diferentemente de outras formas de ataque, onde um dos interesses é se manter furtivo, o DoS utiliza força bruta, por meio de um intermediário, como a botnet de um sistema comprometido, de modo a não revelar o atacante. Em virtude de sua característica ruidosa, não é comum a utilização de DoS como degrau para outros ataques, apesar de existirem estratégias combinadas que o utilizam para degradar o sistema de segurança.

Apesar de ser relativamente simples, comparado aos demais, os ataques DoS atualmente exigem que uma certa quantidade de recurso esteja disponível para sua implementação. Há alguns anos, era possível desestabilizar um sistema de pequeno porte com um único dispositivo, tendo em vista as conexões de acesso disponíveis e larguras de banda na faixa dos kilobytes. Com o passar do tempo e o aprimoramento das conexões, fez-se necessária uma rede de dispositivos comprometidos, o que levaria à revisão da nomenclatura para DDoS (Distributed Denial-of-Service), ou Negação de Serviço Distribuído. Dada a quantidade de dispositivos que apresentam certa fragilidade em suas conexões, mesmo sistemas de grande porte, com capacidade de tráfego da ordem dos gigabits/s, algumas vezes não são capazes de suportar a investida das atuais botnets, ou rede de robôs (robot+network), em tradução livre. Em 2016, a própria Anatel sofreu um ataque DDoS que ocasionou a instabilidade de seus sistemas por algumas horas.

Os ataques de DDoS podem ocorrer por sobrecarga do alvo, onde o atacante, por meio de uma máquina Master, define os parâmetros do ataque e comanda os agentes, máquinas comprometidas que concretizam a ação e inundam o alvo com requisições de conexão, esgotando seus recursos por carga de trabalho.

No processo de monitoramento, verificou-se que dispositivos TV Boxes que não são homologados se conectam a uma botnet, por meio de malware embarcado.

Também observou-se, durante a operação normal da TV Box, atividade para efetuar a atualização do malware via botnet.

Por meio de um servidor de comando, verificou-se a capacidade dessa botnet de assumir o controle da TV Box, permitindo a captura de dados e informações dos usuários.

Adicionalmente, por meio do mesmo servidor de comando, verificou-se a capacidade de operar remotamente os aplicativos instalados e de realizar ataques de negação de serviço contra outro sistema em rede.

Da operação remota de aplicativos, infere-se a possibilidade de monetização por acesso a conteúdo audiovisual disponível em aplicativos de rede e sites de streaming.

Da realização dos ataques do tipo DoS, infere-se que, havendo uma infraestrutura apropriada que permita o controle simultâneo de várias TV Boxes, pode-se viabilizar ataques de negação de serviço distribuído, com potencial para causar prejuízos a instituições públicas e privadas que utilizam as redes de telecomunicações.

Dessa forma, os estudos realizados constataram que os dispositivos TV Boxes não homologados, além de violar conteúdo protegido por direitos autorais, também contém vulnerabilidades que comprometem a segurança e proteção dos dados do usuário.

Cabe ressaltar que essas ações são tipificadas como crime conforme artigo 154-A do Código Penal: "Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita".

Documento assinado eletronicamente por Jamilson Ramos Evangelista, Técnico em Regulação, em 22/12/2021, às 17:01, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Hermano Barros Tercius, Gerente de Fiscalização, em 22/12/2021, às 17:08, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Eduardo Hiroshi Murakami, Agente de Fiscalização, em 22/12/2021, às 17:20, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Ailfran Moraes Martins, Especialista em Regulação, em 27/12/2021, às 13:52, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Andre Mario do Carmo Grigorio, Especialista em Regulação, em 28/12/2021, às 16:44, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Marcelo Lucena de Medeiros, Técnico em Regulação, em 31/12/2021, às 09:43, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 7777396 e o código CRC EA634645.