*** artigo publicado na Revista RTI - Março/2014 ***
A cada desastre aéreo a industria aeronáutica
investiga suas causas e eventuais erros para que eles nunca se repitam e causem
novas tragédias, o que no final faz com que a segurança aérea esteja sempre se
aperfeiçoando. Infelizmente o mesmo não acontece com a nossa indústria de TI.
Nós, especialistas em segurança, teimamos em focar nossa atenção e nos
deslumbrar com ataques hipotéticos e ataques antigos com nomes novos. Técnicas
aperfeiçoadas de invasão – o que é absolutamente esperado em se tratando de
tecnologia – são anunciadas e discutidas como se fossem um novo tipo de ataque
para o qual nenhum dos produtos instalados e procedimentos adotados surtisse
efeito. Assim ações básicas e simples são desprezadas, afinal “elas não servem
de nada contra os novos ataques”. O resultado inevitável são brechas e
prejuizos.
Mas nada melhor que um choque de realidade para
ilustrar essa discussão. No fim de 2013 a rede de hipermercados Target nos
Estados Unidos permitiu que cerca de 40 milhões de cartões de crédito e débito
fossem roubados, em um prejuizo que por enquanto está sendo calculado em 400
milhões de dolares. Como a vasta maioria
dos ataques, conforme demonstrado por pesquisas sérias como a da Verizon no ano
passado, esse também não foi sofisticado e provavelmente seus autores não
estavam mirando na rede de supermercados quando iniciaram suas varreduras. A
causa do ataque foi um erro banal de controle de acesso à rede e autenticação,
confirmando um dos resultados da pesquisa que afirma que mesmo os ataques mais
sofisticados se iniciam com um ataque de baixa complexidade, facilmente
evitável. Mas nesse caso sabe-se que o malware usado pode ser comprado por dois
mil dolares, e não é assim tão sofisticado.
Para o leitor que não acompanhou, em Novembro
do ano passado invasores instalaram um malware na rede dos equipamentos POS
(ponto de venda) que processam o pagamento via cartões de crédito e débito. Através
do malware os dados dos cartões foram copiados e transferidos para servidores
em outros países, incluindo o Brasil. O ataque ocorreu justamente antes do
feriado de Thanksgiving e da famosa Black Friday quando milhões de pessoas
correm aos estabelecimentos para se aproveitar das ofertas. O acesso à rede se
deu via um provedor externo de manutenção de ar condicionado, supostamente com
acesso a fim de monitorar a temperatura e funcionamento dos equipamentos de
refrigeração. Os criminosos roubaram a senha da empresa, obtiveram livre acesso
à rede da Target e implantaram um malware nos equipamentos de ponto de venda.
Tiveram tempo suficiente para testar primeiro em alguns antes de instalar em
todos os POS. Com certeza não esperavam da vítima nenhum tipo de monitoração.
Como de praxe o problema foi detectado bem depois.
Como esse ataque poderia ser evitado é também
uma boa discussão. Analisando o caso há claramente três erros. O primeiro deles
foi não segmentar a rede isolando um pedaço crítico como o que abriga os
equipamentos de ponto de venda. De maneira alguma eles poderiam compartilhar a
mesma rede dos equipamentos de ar-condicionado. Segundo foi não utilizar
autenticação de dois fatores, usando token por exemplo, para o acesso externo.
Como é impossivel garantir que senhas sejam mantidas em sigilo todo o tempo, a
autenticação de vários fatores aumenta em muito os níveis de segurança. E hoje
até celulares se converteram em tokens, reduzindo consideravelmente os custos
de implantação. Por fim, a transmissão FTP estava permitida de qualquer
dispositivo da rede interna para qualquer servidor na Internet. A tranferencia
de dados deve ser controlada em qualquer empresa, e a grande maioria dos
usuários não requerem o uso de FTP, ainda mais equipamentos de ponto de venda. Dessa
forma se a rede estivesse corretamente segmentada, se um sistema forte de
autenticação estivesse implementado e se a transferencia de dados por FTP
estivesse controlada a invasão não aconteceria ou ao menos seria muito mais
complicada.
É claro que um sistema anti-malware poderia
detectar detectar e anular o código malicioso, mas isso também é incerto, e tecnologias
avançadas servem para aumentar o nível de segurança e não remendar falhas. Ter
uma tecnologia dessas instalada não anula a necessidade dos cuidados básicos
que listei acima. Uma vez que eles estejam implementados deve-se buscar
produtos que reduzam ainda mais a janela de oportunidade dos invasores. Outra
tecnologia que poderia ser muito útil é a de monitoração do comportamente de
rede, que iria detectar a transferencia de dados como suspeita. Nesse caso por
exemplo, os dados foram transferidos para servidores na Russia, leste europeu e
Brasil. Mesmo a análise de logs dos firewalls ou roteadores já poderia indicar
a transferencia suspeita para um país para o qual a empresa não possui conexões
como parceiros, clientes ou fornecedores.
Não sou contrário à instalação de produtos de
nova geração ou de novas tecnologias de segurança, nem acho que advanced
persistent threads (APT) não existem. O que não concordo é a generalização de
que todos os ataques hoje são extremamente sofisticados e portanto tudo o que
temos não serve mais. Encontrei empresas que estão abrindo todas as conexões
nos firewalls porque as camadas de seu firewall de próxima geração “irão
detectar se algum ataque ocorrer”. Isso é um grande erro. O mundo real tem
muito menos glamour do que gostariamos. Na vasta maioria das vezes nossas
empresas não serão invadidas pela NSA ou por grupos altamente organizados
manuseando seus próprios malware e vulnerabilidades dia-zero. Os ataques ainda
acontecem por oportunidade, e os alvos ainda são escolhidos por seu nível de
fragilidade. Os invasores ainda tentam usar primeiro técnicas simples como
descobrir uma senha, enviar um email e usar engenharia social. Assim, segurança
eficiente ainda se faz com trabalho árduo, atenção aos detalhes e respeito às
boas práticas. Por fim, produtos de segurança e sistemas e aplicação ainda
precisam ser bem instalados e administrados.