A Internet das Coisas veio para impactar a vida de todo mundo, notadamente na automação e na operação remota – residencial, comercial, industrial e onde mais a sua imaginação puder alcançar. Com ela, estão vindo também os hackers, ou crackers, como preferem alguns. Basta pensar com que facilidade a vida da atual Primeira Dama foi bagunçada por um amador. Bota amador nisso: no primeiro ataque, ele sequer sabia quem era a vítima! Se fizeram isso com a esposa do Presidente, imagine o que não podem fazer com pés-rapados como nós – com a nossa família, com os nossos negócios e com os nossos clientes.
Portanto, é hora de estudar e aprender com quem sabe. O artigo abaixo, de Bruce Schneier, mostra uma forma básica e simples de ataque e, justamente por sua simplicidade, é um dos ataques mais perigosos.
Roubo de credencial como vetor de ataque
A tradicional segurança de computadores preocupa-se com vulnerabilidades. Usamos anti-vírus para detectar malwares que exploram vulnerabilidades. Temos sistemas automáticos de atualização para corrigir vulnerabilidades. Discutimos se o FBI deve ou não ter autorização para introduzir vulnerabilidades em nossos softwares para depois ter acesso aos nossos sistemas visando garantir a nossa segurança. Tudo isso é importante mas estamos nos esquecendo que as vulnerabilidades dos softwares não são o vetor de ataque mais comum; a forma de ataque mais comum é o roubo de credencial.
O método de invasão de redes mais usado pelos hackers – criminosos, hacktivistas ou financiados pelos governos – é o roubo e uso de uma credencial válida. Basicamente, eles roubam senhas, montam ataques tipo man-in-the-middle (NT: literalmente, homem-no-meio; é uma forma de ataque que consiste na interceptação – e muitas vezes na alteração – de dados entre duas partes sem que elas percebam; por exemplo, entre você e o seu banco) para capturar logins legítimos ou usam ataques mais inteligentes passando-se por usuários autorizados. É um leque de ataque mais efetivo sob muitos aspectos: não exige a descoberta de uma vulnerabilidade zero-day (NT: vulnerabilidade descoberta antes de ser noticiada aos usuários) ou o uso de uma vulnerabilidade ainda não corrigida, há menor risco de ser pego e dá ao atacante mais flexibilidade para escolher as técnicas a serem usadas.
Rob Joyce, chefe do grupo TAO (Tailored Access Operations – Operações de Acesso Personalizadas, em tradução livre) da NSA – basicamente, o hacker-chefe do país – fez um raro aparecimento público em uma conferência em janeiro. Em essência, ele disse que o uso de vulnerabilidades zero-day é superestimado e que invade as redes usando roubo de credencial: “Muita gente pensa que governos baseiam as suas operações em vulnerabilidades zero-day mas isso não é o usual. Em grandes redes corporativas, persistência e foco levarão você para dentro sem a necessidade de usar vulnerabilidades zero-day; há muitos outros vetores mais fáceis de usar, menos arriscados e mais produtivos.”
Isso é verdadeiro para nós e também é verdadeiro para quem está nos atacando. Foi assim que os hackers chineses invadiram o Office of Personnel Management em 2015. O ataque criminoso contra a Target Corporation em 2014 começou após hackers terem roubado as credenciais de acesso de um fornecedor AVAC – Aquecimento, Ventilação e Ar Condicionado – da empresa. Hackers iranianos roubaram credenciais de acesso americanas. E os hacktivistas que invadiram o Hacking Team, fabricante de ciber-armas, e publicaram praticamente todos os documentos proprietários da companhia, usaram credenciais roubadas.
Como disse Joyce, roubar uma credencial válida e usá-la para ter acesso a uma rede é mais fácil, menos arriscado e principalmente mais produtivo do que usar uma vulnerabilidade existente, mesmo uma zero-day.
O nosso conceito de defesa deve se adaptar a essa mudança. Em primeiro lugar, as organizações precisam melhorar os sistemas de autenticação. Há inúmeros artifícios a serem usados: autenticação de dois fatores, senhas descartáveis, tokens, autenticação baseada em celular e assim por diante. Nada disso é à prova de burro, mas dificulta o roubo de credencial.
Em segundo lugar, as organizações precisam investir na detecção de invasões e – mais importante – na resposta a incidentes. Ataques por roubo de credencial tendem a bypassar os softwares de segurança de TI tradicionais. Os ataques, porém, são complexos e compostos por um conjunto de ações. Ser capaz de detectá-los durante o andamento, responder rápida e efetivamente para neutralizá-los e restabelecer a segurança é essencial nos dias de hoje em uma rede de segurança resiliente.
As vulnerabilidades ainda são críticas. Corrigi-las ainda é vital para a segurança; a introdução de novas vulnerabilidades nos sistemas existentes ainda é um desastre. Mas uma forte autenticação e uma robusta resposta a incidentes também são críticas. E uma organização que falhar nesses pontos será incapaz de manter a segurança das suas redes.
*
Este ensaio foi publicado originalmente no site Xconomy.
***
HASHI AVAC Aquecimento Ventilação Ar Condicionado 