Quando a caça se torna caçador: virando o jogo contra os cibercriminosos

image_pdfimage_print

O renomado criptógrafo e criador do PGP, Phil Zimmerman certa vez disse: “Nunca confie num algoritmo criptografado criado por alguém que não seja reconhecido por gastar muito tempo quebrando códigos”.

Seja isso verdade ou não, é complicado verificar de fora da Agência Nacional de Segurança (NSA, em inglês). Contudo, essa afirmação nos faz pensar em algo que normalmente é esquecido em muitas áreas da segurança: a dicotomia do invasor e defensor geralmente é falsa.

Ou seja, um profissional de segurança não familiarizado com as técnicas utilizadas pelos criminosos provavelmente fará um mau trabalho em manter um hacker experiente do lado de fora. Por outro lado, se o cibercriminoso desconhece as capacidades defensivas de seu alvo, logo será detectado.

Bons invasores conhecem bem isso.

Desde 2010/2011, o comportamento dos invasores mais habilidosos tornou-se amplamente conhecido. As metodologias Lockheed-Martin’s Cyber Kill Chain™ e Computer Network Defense (CND) evidenciaram os grandes golpes de operações avançadas, geralmente aperfeiçoadas por anos de experiência defendendo clientes do governo e da Base Industrial de Defesa. Essa vivência, e o período considerável observando invasores em ação, transforma-se hoje em senso comum nas áreas de indústria e comércio, que também enfrentam ameaças.

Nesse artigo, vou usar o Lockheed Martin Cyber Kill Chain para descrever as fases de um ataque. Assim como organizações mais cautelosas sabem esperar violações de segurança, um bom invasor prevê sempre uma boa defesa. O que evidencia uma dualidade: um atacante deve saber também se defender. Na etapa de reconhecimento, a maioria dos hackers usará informações públicas e privadas visando compreender as prováveis capacidades defensivas a serem confrontadas. Alguns exemplos bem comuns são:

? Busca no LinkedIn para compreender qual o quadro atual de empregados nas funções de segurança de arquitetura e operação.

? Qual experiência desses funcionários e o conjunto de ferramentas que eles declaram utilizar?

? Garantia dos Fornecedores: Esses parceiros apontam a organização alvo como uma “vitória” ou site de referência?

? Bancos de dados comerciais compilados por empresas de marketing, indicando os produtos de TI comprados por companhias específicas, com base em pesquisas por telefone.

? Pesquisas sobre endereços de e-mail específicos em fóruns de segurança, revelando problemas e o modo operante dos funcionários.

A lista não é exaustiva, e representa uma fase de reconhecimento puramente passiva. Quando realizado de forma ativa, em que o contato direto com a empresa pode ser feito por meio de vários canais anônimos, a eficácia é ainda maior, embora o risco seja mais elevado. Organizações mais prudentes sabem que suas informações públicas podem ser usadas como armadilha para detectar ataques, e programam seus web logs em mídias sociais para que os avisem sempre que perceberem um padrão comum à fase de reconhecimento de um hacker.

Uma vez armado com o conhecimento sobre a sofisticação da defesa-alvo, o ataque segue pelas etapas armamentista, de entrega, exploração e instalação. Uma vez que os canais de comando e controle estiverem implantados, o invasor está dentro. E é nesse ponto que um bom cibercriminoso ficará imediatamente na defensiva, provavelmente executando três ações numa rápida sucessão:

1. Traçar imediatamente um panorama no ambiente e iniciar o processo de mapeamento do movimento lateral, definindo seus objetivos.

2. Planejar a abertura de um segundo ponto de ingresso, que deverá ser detectado e repelido pelos sistemas de proteção;

3. Atacar os serviços de autenticação, buscando credenciais que lhe permita assumir a identidade de um usuário legítimo ou que irá abranger ainda mais suas atividades.

Mas por quê traçar um panorama no ambiente? Simples: para ter certeza de que o ataque não foi detectado.

Estabelecer uma porta SPAN, implantar ferramentas em servidores e colocar as interfaces em modo indiscriminado não podem dar pistas ao atacante sobre uma possível detecção. Uma vez que haja suspeita, o próximo passo é dirigir-se à base, desligar os canais C2 (com uma reinicialização programada), e parar todas as operações. Desse modo, encontrá-los vai ser extremamente difícil.

Nesse sentido, como arquiteto de uma estrutura CND eficaz para uma moderna e sofisticada empresa, é fundamental ampliar a visibilidade de toda rede, objetivando:

? Habilitar o acesso para qualquer ferramenta CND a qualquer hora e para qualquer parte da rede;

? Não precisar de qualquer mudança para a infraestrutura existente quando implantada taticamente. Isso inclui hardwares, softwares e mudanças de configuração;

? Ser capaz de implantar ferramentas relativamente lentas nas redes altamente velozes;

? Poder alimentar o tráfego de rede para quantas ferramentas forem necessárias, em paralelo isso deve ser totalmente invisível para os invasores.

Funcional, um tecido de visibilidade funciona como um diodo de dados: é possível direcionar o fluxo apenas para passar por portas de rede (anexadas à TAP invisível ao invasor) até as ferramentas. Esse movimento de tráfego unidirecional significa que não importa qual ferramenta você implante, o cibercriminoso não irá vê-la. Por outro lado, quem está na posição de defesa conta com completa visibilidade. E mais: seu oponente não é capaz de saber disso.

De fato, uma arquitetura de visibilidade em uma rede de fibra pode funcionar bem com as luzes de transmissão em portas da rede completamente desconectadas, e as de recebimento na porta da ferramenta também sem conexão. É possível implantar esses aplicativos numa zona de segurança altamente protegida, e, para segurança máxima, as mesmas podem ser air gapped inteiramente a partir da rede, com trânsito de dados apenas em meios físicos. Quando isso é impossível, é altamente recomendado o uso de firewalls mais potentes entre o restante da rede e essa localidade em questão.

É comum ouvimos dos clientes de segurança coisas como “eu queria que nós tivéssemos mais visibilidade para responder aos incidentes”. Então, vamos todos parar de pensar apenas sobre defesa, mas abraçar a ideia da dualidade de se tornar um invasor também. Não somos apenas a presa: precisamos pensar como o predador ao mesmo tempo. Não é possível se defender daquilo que não vê. E, se o inimigo não ver suas ferramentas, então desconhecerá suas capacidades de defesa, detecção e expurgo. Deixe que o invasor descubra como fazer isso do jeito difícil.

Fonte: http://computerworld.com.br/quando-caca-se-torna-cacador-virando-o-jogo-contra-os-cibercriminosos

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!