BlackHat - ameaça na rede
Estreou no dia 22 de Janeiro, em Portugal, o filme “BlackHat – Ameaça na Rede”, sobre criminosos do mundo virtual, também conhecidos como hackers da “Internet of Things”. Este filme serve como alerta para todos os que não estão cientes do aumento exacerbado de problemas de segurança a nível mundial que se tem verificado actualmente.
Do ponto de vista do analista de segurança, os ataques efectuados são realistas e não ficcionados, como em certas séries em que nos deparamos, por exemplo, com duas pessoas a escrever no mesmo teclado para serem mais rápidas, ou o cursor do rato a mexer enquanto alguém tecla freneticamente. Perceba melhor a verdade realmente tratada neste filme.
“Hackers don’t care” é a frase mais conhecida no mundo da segurança digital, isto porque o objectivo final dos criminosos é a obtenção de resultados, utilizando para isso os truques (hacks) que mais facilmente e rapidamente lhes permitirão obter acesso à informação desejada.
A utilização de Engenharia Social, como é retratada no filme (na cena em que se pretende obter acesso à NSA), é comum sob a forma de SPAM muitas vezes mal feito. Noutros casos, a Engenharia Social é tão bem direccionada e construída que passa a ser chamada de Spear Phishing, sendo direccionada a uma única pessoa ou grupo restrito de pessoas, com o intuito de obter credenciais ou a injecção de código malicioso no seu computador (backdoor).
Nem tudo é como nos filmes em que um hacker é alguém que consegue aceder ao computador da vítima com um estalar dos dedos. No entanto, a verdade é que requer uma extensa análise anterior para identificar padrões e referências sobre quem e o que se está a atacar. Numa situação recente em que fomos contratados para analisar a segurança de uma empresa, resolvemos atacar um alto quadro pois é ele que detém acesso às informações mais importantes e com maiores “benefícios monetários”. Inicialmente investigamos a empresa e posteriormente a secretária desse executivo, tentando obter acesso ao seu computador, telemóvel, ou até ao cesto dos papéis do escritório, pois será mais fácil e mais discreto do que ao próprio alvo. Em casos mais extremos, até nos aproximamos num café, ou num outro local público, para injetar um vírus no telemóvel que nos permitirá aceder à rede interna do escritório. Isto porque, hoje em dia, com a prática do “traga o seu dispositivo” para o trabalho, é possível que equipamentos infetados povoem redes de sistemas críticos e confidenciais. Os conhecidos ataques que exploram remotamente as vulnerabilidades da infraestrutura das empresas são bastante sui generis, e quando se encontram disponíveis, qualquer empresa minimamente competente os corrige em poucas horas após serem detetados, pois dispõem de firewalls que se adaptam, entre outros mecanismos de segurança.
Conseguimos encontrar no filme técnicas reais de ataques, como o envio do email com o programa que grava o que é teclado e que foi enviado para o responsável da Agência Nacional de Segurança americana, ou ainda a técnica que infetar o computador do segurança com uma pen USB para ter acesso aos dados da vítima. Estes são ataques que, infelizmente, por desconhecimento das vítimas, funcionam muito bem e os quais são feitos com sucesso em quase todos os trabalhos que realizamos.
Foi através deste tipo de esquema que o recente ataque à Sony Pictures Entertainment foi conduzido e que causou um enorme problema financeiro e de imagem.
Outro tipo de esquema, é o vector do ataque físico, que implica acesso ao local e, na maior parte das vezes, implica a utilização de código malicioso via pen USB ou CDs/DVDs. Em casos mais elaborados, são implantados dispositivos que permitem acesso remoto a partir de qualquer parte do mundo à rede local da vítima.
Infelizmente, existem muitas redes mal configuradas, ou com palavras-passe inseguras, que permitem o acesso ilimitado a toda a rede que é tida, pela vítima, como segura. Dentro deste esquema, temos o Dark Hotel que foi recentemente notícia e que pode ser bem-sucedido em todo o lado, quando não existe sensibilização para este problema.
Tipicamente, é nas empresas que se acham mais seguras onde é encontrado o maior número de vulnerabilidades e forma de as explorar. Não é por fecharmos os olhos e acharmos que estamos seguros que os problemas desaparecem; é preferível conhecer os problemas de segurança e mitigar os mais críticos, do que simplesmente não saber da sua existência.