Ataque à RSA: Advanced Persistent Threat?

O instinto de preservação é de nossa natureza. Tentamos sempre nos defender de ameaças, seja contra nós mesmos ou contra a que nos pertence, como nosso trabalho. Por isso desde criança nos justificamos tentando minimizar nossa responsabilidade em nossas falhas. Ao invés de reconhecer que não estudamos nosso primeiro ímpeto é dizer que a prova estava muito difícil. "Não foi minha falha, fiz tudo direito, não pude evitar o que aconteceu". 

A RSA, que teve seus sistemas invadidos, declarou que foi vítima de um Advanced Persistent Threat (APT). Acho esse negócio de APT uma bobagem, mas respeito a opinião de especialistas com uma visão diferente. Mas, francamente, há muita gente usando o termo da maneira que eu mais temia: como uma desculpa, e esfarrapada. 

Vejamos, como foi o ataque, ilustrado pela própria RSA. O hacker enviou emails de phishing a alguns funcionários contendo um exploit dia-zero dentro de um arquivo Excel que explora uma vulnerabilidade no Adobe Flash (CVE-02011-0609).

Disseram que foi um APT porque os invasores conheciam a empresa, sua rede, funcionários e suas funções. Mas como alguém irá invadir uma empresa sem investigá-la? Desde quando um ataque direcionado é um APT? E desde quando enviar um phishing com um zero-day exploit é uma técnica avançadíssima? Por que não reconhecer o óbvio? Que o sistema anti-phishig, firewall pessoal e o treinamento dos usuários falharam? Ou que o phishing foi bem construído e burlou a segurança do email mas que um funcionário desatento não percebeu que um email com o título de "2011 Recruitment Plan" era uma armadilha? E por que o software de segurança da estação de trabalho do funcionário desatento não detectou o exploit? Por que não reconhecer que a empresa foi invadida por um método de ataque que existe há quase uma década? Pois é, a pior maneira de lidar com um problema é não reconhecê-lo.