O que é o protocolo SMB e como funciona?

O que é o protocolo SMB?

O protocolo SMB (“Server Message Block” ou bloco de mensagens do servidor) é um protocolo de rede que permite aos utilizadores comunicarem com computadores e servidores remotos (por exemplo, para partilhar recursos ou ficheiros). É também chamado “protocolo servidor/cliente”, porque o servidor tem um recurso que pode partilhar com o cliente.

Como qualquer protocolo de partilha de ficheiros em rede, o SMB precisa de portas de rede para comunicar com outros sistemas. Quando este protocolo foi desenvolvido, usava a porta 139 para possibilitar a comunicação entre computadores da mesma rede. No entanto, desde o aparecimento do Windows 2000, o SMB passou a utilizar a porta 445 e o protocolo de rede TCP.

Como funciona o protocolo SMB

O protocolo SMB é conhecido como o protocolo de pedido-resposta, funcionando ao nível da aplicação (isto é, onde o utilizador interage com as aplicações de software). No entanto, usa níveis de rede mais baixos para transmitir dados, como é o caso de camadas de transporte como o TCP ou o UDP.

Aqui está um resumo de como funciona o SMB:

1. Primeiro, o cliente (por exemplo, o computador, o dispositivo móvel ou a impressora do utilizador) envia um pedido SMB ao servidor para iniciar uma ligação.
2. O servidor recebe o pedido e envia uma resposta SMB ao cliente.
3. Quando a resposta é recebida, é criado um canal de comunicação.
4. O dispositivo (por exemplo, o computador do utilizador) pode então interagir com o servidor para pedir acesso a recursos partilhados ou executar ações específicas.

Aqui está um exemplo de como o SMB funciona na vida real: digamos que a impressora do seu escritório está ligada ao computador do administrador. Se quiser imprimir um documento, o seu computador (o cliente) envia ao computador do administrador (o servidor) um pedido de impressão através do protocolo SMB. O servidor responderá então ao cliente com o estado do pedido (“em fila”, “impresso” ou “sem tinta”, por exemplo).

Tipos de protocolo SMB

Ao longo dos anos, foram disponibilizadas muitas versões do SMB, que introduziram melhorias e atualizações específicas para resolver problemas de desempenho e riscos de segurança. Vejamos as principais versões do protocolo SMB:

• O SMB 1.0 foi inicialmente lançado em 1984 pela IBM como parte do seu programa de rede de PC para a partilha de ficheiros em ambiente DOS (sistema operativo em disco). A implementação do SMB 1.0 foi um passo decisivo para a partilha simplificada de ficheiros em rede. A Microsoft modificou e atualizou esta versão em 1990, incorporando-a no sistema operativo do Windows.
• O CIFS melhorou o protocolo SMBv1, oferecendo melhor desempenho, nomes de ficheiros mais longos e recursos de segurança mais avançados. O seu lançamento em 1996 coincidiu com o novo sistema operativo Windows 95.
• O SMB 2.0 foi lançado com o Windows Vista, em 2006, trazendo uma nova melhoria em termos de desempenho e eficiência. O SMB 2.0 conseguia transmitir dados muito mais rápido do que o SMBv1, graças a várias otimizações (como um número reduzido de comandos e subcomandos).
• O SMB 2.1 foi lançado com o Windows 7, continuando a melhorar as ineficiências que mais se destacavam na versão anterior. O SMB 2.1 reduziu a sobrecarga do protocolo, minimizando a quantidade de dados trocados entre o cliente e o servidor, melhorou a eficiência da largura de banda e permitiu um desempenho ainda melhor
• O SMB 3.0 chegou com o Windows 8, trazendo novas atualizações e correções. A melhoria mais significativa do SMB 3.0 foi o reforço da segurança — esta versão do protocolo foi a primeira a disponibilizar encriptação de ponta a ponta.
• O SMB 3.02 foi lançado com o Windows 8.1. Entre muitas outras atualizações, esta versão veio aumentar a segurança e o desempenho com a desativação total do SMBv1.
• O SMB 3.1.1 foi lançado em 2015 com o Windows 10. Esta iteração trouxe melhorias adicionais de segurança, como uma encriptação mais robusta, proteção contra ataques man-in-the-middle e autenticação mútua. O SMB 3.1.1 também contou com otimizações de desempenho, como uma transferência de dados mais eficiente e latência reduzida.

O que são as portas 139 e 445?

O SMB usa portas abertas (que aceitam ativamente ligações e tráfego de entrada) para facilitar a comunicação em rede. As duas principais portas que o SMB usa são a 139 e a 445. Isto é o que precisa saber sobre elas:

• Porta 139: as primeiras versões do protocolo SMB eram sobretudo executadas em ambientes LAN de pequena escala, através da agora desatualizada arquitetura de rede NetBIOS. O SMB utilizava principalmente a porta 139 para permitir a comunicação entre diferentes máquinas na rede.
• Porta 445: com o desenvolvimento do Windows 2000, a Microsoft modificou o SMB para passar a funcionar sobre o TCP e utilizar uma porta IP específica — a porta 445. Esta é mais segura por suportar encriptação e a assinatura digital de pacotes SMB. A porta 139 não oferece estes mecanismos de segurança, sendo mais vulnerável a espionagem e outros ataques.

Geralmente, a porta 445 é preferível à 139. Além de ser mais segura, é também mais compatível com as versões modernas do SMB e com a firewall.

O protocolo SMB é seguro?

De um modo geral, o SMB é considerado seguro e continua a ser largamente usado por empresas e outras organizações. No entanto, foram descobertas várias vulnerabilidades do SMB ao longo dos anos, que deram origem a incidentes de pirataria de alto nível.

Em 2017, a Agência de Segurança Nacional dos EUA (NSA) encontrou uma vulnerabilidade no protocolo SMBv1 (conhecida como EternalBlue) que permitia que um invasor executasse um código sem que o utilizador percebesse. Se um dispositivo fosse infetado, o hacker poderia aceder a toda a rede e aos dispositivos a ela ligados.

Outro ataque cibernético que deu que falar foi o lançamento e a disseminação do ransomware WannaCry. O ataque de ransomware WannaCry consistiu num cryptoworm que tinha como alvo máquinas Windows, com os hackers a exigirem pagamentos aos utilizadores que quisessem recuperar os seus dados encriptados. Este ataque afetou quase 200 000 dispositivos Windows em 150 países.

Além dos ataques de ransomware, existem outras formas de os cibercriminosos atacarem o protocolo SMB:

• Ataques de força bruta. Os ataques de força bruta ocorrem quando um hacker experimenta repetidamente várias combinações de nomes de utilizador e palavras-passe para conseguir aceder a um sistema, conta ou plataforma. No que diz respeito ao SMB, os atacantes podem tentar adivinhar as credenciais da conta do utilizador SMB tentando várias combinações de carateres.
• Ataques man-in-the-middle. Um ataque man-in-the-middle SMB é um ataque cibernético em que um invasor interceta a comunicação entre duas entidades que utilizam o protocolo SMB. Através destes ataques, os hackers conseguem manipular dados trocados entre o cliente e o servidor ou roubar informações confidenciais.
• Ataques de negação de serviço distribuído (DDoS). Um ataque DDoS implica que um hacker inunde um servidor ou rede com falsos pedidos, que impedem o acesso dos utilizadores. Os ataques DDoS podem visar o protocolo SMB e vir a perturbar os serviços SMB, inundando-os com pedidos maliciosos ou falsos.

Como proteger-se ao usar o protocolo SMB?

Embora o protocolo SMB seja geralmente considerado seguro, é importante estar atento a potenciais vulnerabilidades e fazer o que estiver ao seu alcance para as evitar. Siga estas medidas de precaução:

• Use uma autenticação forte. A utilização de palavras-passe fortes e complexas nas suas contas SMB pode ajudar a protegê-lo de ataques de força bruta. Lembre-se de aplicar também a autenticação multifator (MFA) para dificultar aos hackers o acesso às suas contas.
• Não adie as atualizações. Nunca ignore as notificações para atualizar as suas aplicações ou software. Estas atualizações trazem muitas vezes correções de segurança importantes, que o protegem contra malware, erros e outras vulnerabilidades descobertas pelos programadores.

Como a NordVPN pode ajudar

Uma VPN é uma excelente forma de aumentar a sua segurança e privacidade digital. Veja como a NordVPN ajuda a protegê-lo:

• A NordVPN protege o acesso remoto dos seus funcionários. Com a autenticação do utilizador, pode proteger as suas redes confidenciais contra intrusos e os seus dispositivos de trabalho remoto, deixando a sua rede a salvo de hackers perigosos, munidos de malware. A NordVPN também traz a Meshnet, uma funcionalidade que permite aos utilizadores acederem a dispositivos à distância, continuando a beneficiar da encriptação.
• A Proteção contra Ameaças reduz o risco de malware. O ataque WannaCry violou toda uma rede ao infetar um dispositivo que estava ligado a ela. A funcionalidade de Proteção contra Ameaças da NordVPN ajuda a bloquear anúncios pop-up infetados e possíveis sites de phishing, muitas vezes usados para ataques de rede em grande escala, como os que mencionámos. Também ajuda a identificar ficheiros com malware e bloqueia rastreadores.