O Wall Street Journal revelou que a Nortel Networks Lda., a gigante das telecomunicações/networking, sofreu um ataque que deu acesso aos hackers a quase qualquer documento que a empresa tivesse armazenado desde há 10 anos
A partir de sete palavras-chave roubadas aos altos executivos da Nortel, incluindo o Director Executivo, os hackers, que aparentemente pareciam trabalhar a partir da China, conseguiram acesso aos computadores da Nortel, pelo menos desde o ano 2000 e nos últimos anos descarregaram documentos técnicos, relatórios de investigação e desenvolvimento, planos de negócio, e-mails dos empregados e outros documentos”, segundo a notícia do Wall Street Journal.
O precedente mais amargo
Num mundo onde os gestores das empresas tomam todas as precauções para proteger as estações de trabalho, servidores e outros elementos críticos da infra-estrutura, a secção mais débil continuam a ser os empregados. A mistura de ameaças de correio electrónico com as redes sociais são apenas dois dos maiores canais de entrada de malware, como demonstram os ataques de alto perfil contra gigantes da indústria, tais como RSA, Lockheed Martin, Nasdaq, Google, Adobe, Juniper e muitos outros.
As grandes corporações sempre foram o principal ponto de interesse dos ciber-delinquentes, já que a sua propriedade intelectual pode ser, facilmente, vendida em mercados clandestinos, ou pode ser utilizada para chantagear a empresa vítima. Entre 2009 e 2011, um bom número de empresas informaram que tinha sido vítimas de ataques, mas, enquanto que a maioria dessas ameaças se descobrem durante procedimentos de auditoria interna, a Nortel levou aproximadamente 10 anos a detectar a intrusão, o que é muito tempo para que os ciber-delinquentes completem a sua missão.
O que aconteceu?
O ataque contra a Nortel não é nenhuma surpresa desde o ponto de vista técnico. Se bem que os administradores da maioria das empresas de TI tomam, hoje em dia, as disposições necessárias para a protecção da sua rede contra ataques do exterior, os responsáveis destes assuntos no ano de 2000 tinham pouca ou nenhuma ideia sobre o que poderia acontecer. Inclusive, se a tivessem, não possuíam meios de protecção, já que muitas empresas de segurança acabavam de arrancar. Neste caso, inclusive na mais simples ameaças, como uma mistura de ataque de correio electrónico (a mensagem de spam convencional, tal como a conhecemos hoje em dia), ou o roubo de identidade clássico de correio electrónico, poderia ter funcionado, permitindo a introdução de um keylogger (software de roubo de palavras-chave) simples, mas efectivo, na máquina de um empregado desprevenido.
O nível de ameaça actual
Hoje em dia as ameaças persistentes avançadas são muito mais sofisticadas e os meios de as introduzir na infra-estrutura de uma organização incrementaram-se de maneira exponencial. Unidades USB ou CD-ROM perdidos e etiquetados chamativamente com textos com “Entradas Exec 2011” que se colocam ao alcance dos empregados em parques ou elevadores e que formam parte de um cuidado plano de ataque, é uma das formas favoritas pelas quais os ciber-delinquentes penetram a organização. Se a isto juntarmos as vulnerabilidades nas aplicações de escritório, as ameaças dos meios sociais e dos dispositivos móveis temos algumas das principais portas de entrada que podem usar os atacantes.
Como é habitual, o factor humano desempenha um papel chave no ataque a uma grande rede. Como Kevin Mitnick, a lenda viva do ciber-crime, disse uma vez: “se se pode convencer o utilizador de que os porcos podem voar, correrá para a janela para ver“. E há uma grande quantidade de recursos para se assegurar que um ataque de engenharia social tem êxito: o principal é dar-lhe credibilidade, e para isso os hackers fazem uso do contexto da empresa e do seu passado.
Ainda que este fenómeno exista desde há muito e a taxa de êxito seja consideravelmente alta, existe também um inconveniente importante que impede o uso desta técnica a grande escala. Para chegar a dominar os aspectos importantes relacionados com a engenharia social, faz falta uma considerável quantidade de investigação e, na maioria dos casos, apenas pode fazer-se mediante o uso de um “agente físico”, quer dizer, de uma pessoa infiltrada na empresa. Este foco revelou-se muito ineficaz até agora, já que os recursos necessários superavam em muito os benefícios e, por isso, não era um bom negócio.
Contudo, com a evolução de redes sociais, com a quota de mercado dos smartphones a crescer dia a dia e a melhoria das técnicas de processamento de linguagem natural, a automatização da engenharia social não é ficção científica. Toda a informação requerida está aí na Internet, organizada e catalogada. Para além das redes sociais, também temos sites como 123people.com, pipl.com, spokeo.com e outros, que oferecem informação sobre pessoas e empresas.
Com as ferramentas adequadas, um atacante pode converter facilmente a informação recolhida das redes sociais aos dados conhecidos acerca do dispositivo móvel em complexos ataques dirigidos, e tudo isto com custos mínimos. E como vimos nos casos do ano passado, alguns ataques podem ser tão incríveis que as vítimas ignoram, inclusive, as recomendações das suas soluções de segurança e caem na fraude.
Como impedir que isto aconteça consigo
Este tipo de ataques requer uma ampla gama de medidas preventivas. Os pontos de contacto entre a rede corporativa e o resto da Internet precisam de uma atenção especial, com especial ênfase no servidor de correio electrónico, e com a infra-estrutura em cloud. Também se deveriam estabelecer mecanismos pró-activos de defesa em equipamentos e servidores de arquivos para detectar e bloquear qualquer actividade suspeita causada pelo malware, já que as ameaças avançadas de hoje em dia baseiam-se principalmente em ataques de dia zero e em polimorfismos. Conhecer a rede é também importante: manter os registos de actividade e procurar os padrões de tráfego irregular, inclusive se têm como origem um destino popular, já que alguns bots podem desviar os seus dados dos grupos da Google, ou até criar as suas palavras-chave nas contas do Twitter.
Por último, mas não menos importante, há que educar os empregados. Há que ensiná-los a detectar uma fraude e aplicar políticas fortes relativas ao uso de redes sociais ou sites online de terceiros.