Os hackers escolheram bem o momento.
Em 7 de abril de 2011, cinco dias antes de a Microsoft lançar uma correção de uma vulnerabilidade crítica no Internet Explorer que havia sido divulgada três meses antes em uma lista de e-mails sobre segurança, indivíduos não identificados fizeram um ataque de phishing com um foco bem específico contra os funcionários do Laboratório Nacional de Oak Ridge no Tennessee.
O laboratório, que foi fundado pelo Departamento de Energia dos Estados Unidos, conduz projetos relacionados à segurança e energia para o governo federal americano. Alguns deles são confidenciais.
O e-mail, que fingia ser do departamento de recursos humanos do laboratório, foi enviado para 530 pessoas, ou 11% dos funcionários do laboratório.
A mensagem incluía um link para uma página maliciosa, onde os trabalhadores supostamente poderiam obter informações sobre benefícios para funcionários. Mas ao invés de ler sobre planos de saúde ou fundo de aposentadoria, os funcionários que visitaram o site usando Internet Explorer tiveram suas máquinas infectadas com um código malicioso que foi instalado sem ninguém perceber.
Apesar de o laboratório detectar o ataque de phishing pouco depois de ele ter começado, os administradores não foram rápidos o suficiente para impedir que 57 funcionários clicassem no link malicioso. Felizmente, apenas duas máquinas foram infectadas com o código. Mas isso foi suficiente para que os intrusos entrassem na rede do laboratório e começassem a extrair dados. Quatro dias depois dos e-mails chegarem, os administradores notaram um tráfego suspeito saindo de um servidor.
Apenas alguns megabytes de dados roubados saíram do servidor, mas outros servidores acusaram atividade maliciosa. Então os administradores tomaram a medida drástica de desligar a internet de todos os computadores do laboratório enquanto investigavam.
Oak Ridge acabava de se tornar o mais novo membro de um clube ao qual ninguém quer pertencer – uma sociedade não-exclusiva que inclui empresas listadas na revista Fortune que estão protegendo propriedades intelectuais inestimáveis e escritórios de advocacia que estão cuidado de processos delicados e empresas de segurança que todos esperavam que estivessem protegidas contra tais investidas. Até mesmo Sua Santidade, o Dalai Lama, foi vítima de um ataque.
Ano passado, a empresa de antivírus McAfee identificou 70 alvos de uma ação de espionagem chamada de Operation Shady RAT que atingiu empreiteiras, agências governamentais e outros, em diversos países. Os intrusos tinham códigos-fonte, segredos nacionais e contratos legais ao seu alcance.
Códigos-fonte e outras propriedades intelectuais também foram alvo de hackers que invadiram o Google e 33 outras empresas em 2010. Em outro ataque distinto, espiões online extraíram segredos para o projeto de US$300 bilhões do Pentágono, o Joint Strike Fighter.
E no ano passado, o mito da segurança dos computadores sofreu um golpe fatal quando invadiram a RSA Security, uma das líderes mundiais em segurança, que também organiza a Conferência Anual de Segurança da RSA, um evento gigantesco para empresas da área. Os hackers roubaram dados relacionados aos sistemas de autenticação SecurIC da empresa, o principal produto da RSA que é usado por milhões de corporações e funcionários do governo para logar com segurança em seus computadores.
Felizmente, o ataque foi menos eficaz ao tentar invadir outros sistemas do que os intrusos provavelmente esperavam. Mas o fato de ter havido uma invasão mostrou que até mesmo quem guarda as chaves não está totalmente seguro.
O pesquisador independente especializado em segurança, Dan Kaminsky, diz estar feliz que a bolha da segurança finalmente estourou e que as pessoas estão percebendo que nenhuma rede é imune a ataques. Segundo ele, isso significa que a indústria de segurança e seus clientes podem finalmente enfrentar o desconfortável fato que o que eles têm feito não está mais funcionando há anos.
“Há muito conservadorismo por aí, ‘Faça o que todo mundo está fazendo, independente de funcionar ou não’ não é mais sobrevivência, é sobre alegar que você fez devido a estar consciente dos riscos,” Kaminsky disse. “Isso é normal se você está tentando manter seu emprego. Mas é ruim se você está tentando resolver um problema técnico.”
Na verdade, segundo Kaminsky, “ninguém sabe como fazer uma rede segura agora. Não há uma resposta óbvia que não seja a de que não estamos fazendo isso por preguiça.”
Simplesmente instalar firewalls ou sistemas de detecção de invasão e manter os antivírus atualizados já não funciona mais – especialmente já que a maioria das empresas nunca sabem que foram atingidas até que alguém de fora conte para elas.
“Se alguém para você na rua e golpeia sua cabeça com um cano, você irá notar que alguém bateu na sua cabeça com um cano de metal,” diz Kaminsky. “A segurança dos computadores não tem como saber que foi atingida na cabeça por um cano.”
De acordo com Richard Bejtlich, diretor de segurança da empresa Mandiant, que ajudou o Google e muitas outras empresas a investigar invasões e limpar suas redes após um ataque, um ataque de ciberespionagem persiste por em média 416 dias, bem mais que um ano, antes que a empresa descubra que foi atacada. Segundo ele, isso na verdade é uma melhora em relação a alguns anos, quando era normal perceber que hackers invadiram uma rede dois ou três anos depois das barreiras terem sido rompidas.
Bejtlich atribui essa melhora não às empresas fazendo melhor monitoramento interno, mas à notificações feitas pelo FBI, o NCIS (Serviço de Investigação Criminal Naval dos EUA) e ao Escritório de Investigações Especiais da Força Aérea (AFOSI), que descobrem invasões através de várias táticas incluindo frequentar fóruns hackers e transformar hackers em informantes confidenciais, assim como outras táticas que eles recusam a citar publicamente. Estas agências governamentais então notificam as empresas que foram hackeadas antes mesmo que elas percebam.
Shawn Henry, ex-diretor executivo assistente do FBI, está alertando enfaticamente que o hackeamento corporativo é muito pior do que as pessoas imaginam.
Mas mesmo o FBI assumiu uma visão pessimista da situação recentemente quando Shawn Henry contou ao The Wall Street Journal, na véspera de sua aposentadoria do FBI, que os hackers estavam ganhando a guerra, e que os defensores das redes não tinham poder de fogo suficiente para combater a ameaça.
As abordagens atuais para combater os hackers são “insustentáveis”, Henry disse, e os cibercriminosos são muito habilidosos e ardilosos para serem impedidos.
Então, se os hackers estão por toda parte e todo mundo já foi hackeado, o que as empresas podem fazer?
Kaminsky diz que a vantagem do novo estado das coisas é que abre uma janela para a inovação. “O estado atual é inaceitável. O que faremos agora? Como mudaremos o jogo? Existe muito espaço para inovação na segurança defensiva. Não são apenas os hackers que podem se divertir.”
Empresas e pesquisadores estão explorando ideias para resolver o problema, mas até que novas soluções sejam encontradas para se defender contra ataques, Henry e outros especialistas dizem que aprender a viver com a ameaça, ao invés de tentar erradica-la, é o que será normal. Apenas detectar ataques e mitiga-los é o melhor que muitas empresas podem esperar fazer.
“Eu não acho que possamos vencer a batalha,” Henry contou à Wired.com. “Eu acho que será uma batalha constante, e é uma situação que iremos permanecer por muito tempo… Nós temos que repensar a maneira que avaliamos o risco e temos que mudar a maneira que fazemos negócio na rede. Isso será uma mudança fundamental que teremos que fazer para que as pessoas tenham mais segurança.”
Na maioria dos casos, o hacker será um intruso pedestre que está simplesmente tentando coletar nomes de usuários e senhas, roubar credenciais de bancos ou usar computadores para um botnet enviar spam.
Este tipo de indivíduo pode ser mais fácil de acabar do que os adversários focados – nações, competidores econômicos e outros – que estão tentando roubar propriedade intelectual ou manter uma posição estratégica em uma rede para usar depois, tal qual conduzir uma sabotagem em conjunto com um ataque militar ou em algum outro tipo de operação política.
Uma vez que as redes de uma empresa já foram invadidas, Bejtlich diz que a sua empresa foca em descobrir todos os sistemas e credenciais que foram comprometidos e se livra de qualquer tipo de backdoor que os intrusos plantaram. Porém, depois que todos os invasores são chutados da rede, há normalmente uma enxurrada de novas tentativas para voltar para ela, muitas vezes através de uma grande onda de ataques phishing.
“Na maioria dos casos, uma vez que você vira alvo desses caras, você terá que lidar com isso pelo resto da sua carreira,” Bejtlich disse.
Muitas empresas aceitaram o fato que elas nunca vão conseguir manter os espiões completamente fora de sua rede e simplesmente aprenderam a conviver com os intrusos adotando passos para separar e garantir a segurança de dados e controles importantes.
Henry, que agora é presidente do CrowdStrike Services, uma empresa de segurança recém lançada, diz que uma vez que as empresas aceitarem que nunca vão conseguir manter os intrusos de fora para sempre, o próximo passo é determinar como eles podem limitar o dano. Isso se resume, em partes, a perceber que “existem algumas informações que simplesmente não precisam ficar na rede.”
“Isso se resume a pesar os riscos, e as empresas precisam avaliar quão importante é garantir a segurança dos dados contra quão importante é continuar fazendo seus negócios ou ser eficaz nos negócios,” ele diz. “Nós temos que assumir que o adversário está na rede e se assumirmos que eles estão lá, então deveríamos mudar a maneira que decidimos o que colocar nela e como transmitir isso. Nós devemos transmitir abertamente ou criptografado? Devemos manter na rede ou tirar da rede?”
Bejtlich diz que além de tirar os dados da rede, as empresas que tiveram mais sucesso lidando com invasores redefiniram o que é digno de confiança em suas redes e ficaram mais atentas ao monitoramento. Ele disse que existem algumas organizações que foram infestadas com intrusos por oito ou nove anos e que aprenderam a conviver com eles investindo em bons sistemas de detecção.
Outras empresas descartam toda a sua infraestrutura e começam do zero, ficando inoperante por uma semana ou mais enquanto refaziam a rede, usando ferramentas de virtualização que permite aos trabalhadores conduzirem o negócio enquanto protegem o núcleo da rede contra ataques.
Bejtlich, que já trabalhou na General Electric, disse que uma das primeiras coisas que ele fez depois de ser contratado pela GE foi estabelecer uma rede segmentada para suas operações de segurança, então qualquer intruso que já estivesse na rede corporativa não teria acesso aos seus planos de segurança e outros projetos que ele desenvolveu para defender a rede.
“A primeira coisa que você precisa fazer é estabelecer algo que você confie porque ninguém mais terá acesso a isso, e então monitore tudo para verificar se ninguém mais está tentando entrar,” ele disse. “Então você sai de uma postura de empilhar um monte de ferramentas e ficar sentado, para uma que é muito vigilante e está caçando os vilões… O objetivo é encontra-los tão rápido que antes que eles possam fazer qualquer coisa para roubar seus dados, você já os chutou pra fora de novo.”
Kaminsky defende diminuir o perímetro para limitar danos.
“Ao invés de fazer um servidor gigante, você deveria criar pequenas ilhas, tão pequenas quanto for operacionalmente possível”, ele diz. “Quando você diminui o seu perímetro, você precisa interagir com pessoas de fora do seu perímetro e descobrir como fazer isso em segurança.” Usando criptografia e autenticação entre os sistemas que um dia já se comunicaram livremente.
“Isso muda as regras do jogo”, ele diz. “Você não pode confiar que as máquinas de seus desenvolvedores não estejam comprometidas. Você não pode confiar que as suas máquinas de suporte não estejam comprometidas.”
No entanto, ele sabe que isto é uma solução cara e que nem todos serão capazes de adotá-la.
Apesar de todas estas soluções serem mais trabalhosas do que simplesmente se assegurar que todos os sistemas Windows em uma rede estejam com as atualizações em dia, existe pelo menos algum conforto em saber que ter um hacker no seu sistema não significa que isto seja game over.
“Existiram organizações onde isso foi um problema que durou oito ou nove anos”, diz Bejtlich. “Elas ainda estão operando. Você não vê seus nomes nos jornais o tempo todo [por terem sido hackeadas], e elas aprenderam a conviver com isso e a ter respostas de detecção de incidentes como um processo contínuo.”
Kim Zetter é um repórter sênior na Wired cobrindo cyber crimes, privacidade, segurança e liberdades civis.