A segunda-feira de 8 de agosto de 2005 não foi um dia habitual para os brasileiros. Naquela manhã, ficamos sabendo que ladrões haviam invadido o cofre do Banco Central, em Fortaleza, e levado 164 milhões de reais em dinheiro vivo. Quase dez anos depois, um novo roubo sacudiu o país. No início de julho deste ano, quase um bilhão de reais foi desviado de bancos conectados ao sistema financeiro nacional por meio de transferências Pix. O primeiro levou um fim de semana para ser executado e envolveu a escavação de um túnel e a remoção de 30 toneladas de terra, além do transporte de mais de três toneladas de notas. Já o segundo levou menos de uma noite, e envolveu apenas comandos para transferência de dinheiro. Mas, talvez mais surpreendente que o roubo em si, foi descobrir que ele ocorreu mediante a ajuda de funcionário de uma das empresas vítimas.
As primeiras notícias davam conta de um sofisticado ataque hacker, para depois ficarmos sabendo que os criminosos precisaram somente explorar a ganância humana, e nem pagaram muito por isso. O que nos leva a refletir sobre como prevenir, detectar e remediar ocorrências envolvendo credenciais de acesso e até a participação de funcionários em ilícitos e fraudes.
As credenciais por usuário e senha são ainda o principal método de autenticação do mundo digitalizado de hoje, apesar de todos as suas falhas e imperfeições. Há, claro, métodos alternativos extremamente mais seguros e confiáveis, que porém não substituíram a velha dupla usuário e senha. Tentou-se ainda, como se diz informalmente, “dar um tapa”, ao se exigir senhas complexas impossíveis de serem descobertas em tempo hábil ou na mesma geração, a exigência da mudança periódica da senha,e a adição de um segundo fator de autenticação. Atualmente, todas as três técnicas têm pouca eficácia contra os atacantes mais sofisticados, apesar de serem válidas para reduzir ao menos as possibilidades de um ataque.
Veja também: Liderança que protege: o papel do CEO na segurança da informação
Senhas complexas são realmente impossíveis de serem descobertas, no entanto, as vítimas a digitam para os atacantes em páginas falsas de login. O segundo fator de autenticação também limita em muito a possibilidade do uso da senha por um terceiro, porém ferramentas como Sneaky 2FA e outros permitem aos atacantes contorná-las. Alguns sistemas usam, ainda, senhas dinâmicas enviadas por SMS ou outro sistema de mensagens, que podem ser mais facilmente interceptados. O terceiro método, de mudança periódica da senha, é. há muito tempo, completamente inútil como medida de segurança. Não faz a menor diferença mudá-la ou não a cada 30, 60 ou 90 dias no cenário atual de ameaças. Às vezes, até atrapalha, pois na dificuldade de lembrar a senha alterada, o usuário a anota em algum lugar que não deveria.
Visibilidade e monitoração
Toda essa dificuldade em garantir a segurança total, ou quase total, das credenciais, nos leva novamente a um dos pilares da boa prática de segurança cibernética: visibilidade e monitoração. Visibilidade, nesse caso, está em coletar informações, ou os metadados, das conexões e uso das credenciais. O mínimo seria saber de onde, fisicamente, e de qual computador está se logando um usuário. A simples identificação de que um login ocorreu em um computador que não é o equipamento de uso corporativo do funcionário é uma indicação forte de que algo não está correto. Se for então de outro país, o que é suspeita, vira uma certeza. Essa monitoração cobre, inclusive, situações em que o próprio funcionário é corrompido e cede o segundo fator de autenticação ao invasor. Outro item a monitorar é o que o usuário está fazendo. O acesso não usual é também uma indicação para suspeitas. Apesar de ser uma boa prática antiga de segurança, é pouco aplicado no mundo real das empresas.
A plena adoção das nuvens adicionou mais dificuldade para esse cenário, fazendo da monitoração mais que uma boa prática, uma necessidade. Em um caso real recente, um usuário caiu em um golpe via e-mail e digitou suas credenciais em uma página falsa do provedor de serviços de nuvem da empresa, que incluía o e-mail. Apesar de usar MFA, o atacante usou o Sneaky 2FA para interceptar o token da sessão e sequestrar a sessão. Na sequência, com o controle da caixa postal, passou a acessar as mensagens existentes, lista de contatos e incluiu regras no processamento de e-mail para enviar mensagens vindas de um fornecedor da empresa para a pasta de lixo, possivelmente porque estava planejando se passar pela vítima e cometer alguma fraude.
A empresa detectou o ataque e se livrou de maiores danos, porque toda a parte de autenticação e uso tinha visibilidade e era monitorada. Inicialmente, o invasor estava em outro país, e o fato de que no meio do ataque o país origem da conexão ter mudado, corroborou a suspeita de um roubo de credencial. Durante a investigação, se verificou que o invasor utilizava VPNs para ocultar a verdadeira origem e, por alguns momentos, a conexão reportava outro país, provavelmente onde ele estava de fato. Uma vez estabelecida a suspeita do acesso, a empresa monitorou as atividades, identificando as mudanças nas regras. Certamente, se não tivesse bloqueado a tentativa, veria mudança no compartilhamento de arquivos ou das apps publicadas na nuvem.
Mas e se, como vimos no desvio dos valores no caso do Pix, um funcionário estivesse ele mesmo executando a fraude com as suas credenciais, a partir de dentro da empresa? O problema cresce ainda mais quando levamos em conta os funcionários terceirizados e as empresas contratadas para projetos específicos, com seus colaboradores também tendo acesso aos ativos em rede. A ação, nesse caso, segue o mesmo princípio de visibilidade e monitoração que, aliás, não é nada novo no mundo empresarial. Fraudes internas sempre aconteceram e sempre acontecerão e, naturalmente, prosperam onde há pouco ou nenhum controle. Antes de tudo, inclusive, é essencial que cada funcionário tenha as permissões mínimas e necessárias para executar seu trabalho e, caso este envolva ativos críticos, que os acessos e atividades sejam monitoradas.
Nesse campo das fraudes internas, outro risco extremamente alto está sendo detectado: o funcionário que, de dentro da empresa, cede o acesso de seu computador a um terceiro via ferramenta de acesso remoto, permitindo que este tenha acesso a toda à rede. Em um caso extremo, o terceiro pode instalar software para dar-lhe acesso direto independentemente de ajuda.
Visibilidade e monitoração são, dessa forma, os pilares da prevenção e detecção de ameaças cibernéticas modernas. Sem visibilidade, a empresa está em uma espécie de quarto escuro, onde qualquer coisa pode ser executada sem ser detectado e os autores sem serem identificados. A monitoração dá à visibilidade contexto, buscando anomalias ou desvios suspeitos, sinais de algo mais sério. E, em complemento a ambos, um bom processo para atuação das equipes em caso de qualquer ocorrência, essencial para a interrupção de um evento antes que seja tarde demais.
Marcelo Bezerra, líder em Engenharia de Segurança da Proofpoint para a América Latina.
Inscreva-se em nosso canal do Whatsapp e tenha acesso as principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
