Os ataques informáticos vêm em ondas. Se olharmos para a cibersegurança e para as técnicas de ataque que são usadas, não encontramos um fluxo gradual e contínuo. Já houve tempos em que as empresas temiam os ataques de negação de serviço (DDoS na sigla em inglês). Agora já estamos numa fase em que fornecedores de serviços como a Cloudflare declaram os DDoS como algo que só vai ser encontrado nos livros de História.
Isto acontece pois a indústria adapta-se. Quando surge uma nova tipologia de ataque bem-sucedida, as organizações e os utilizadores aprendem a defender-se relativamente a essa realidade e com o tempo a eficácia dessas técnicas baixa de forma considerável. Foi o que aconteceu com o spam por exemplo: já foi muito popular, depois perdeu relevância e agora está a ganhar novamente uma grande preponderância. Tal e qual como um mar ondulado.
Siga o Future Behind: Facebook | Twitter | Instagram
Há muitos motivos para a existência de ataques informáticos. Por um lado temos ataques entre nações, como parece ter sido o caso do Petya, por outro temos ataques de hacktivismo, como aqueles que foram popularizados pelos Anonymous, temos ainda a espionagem industrial entre empresas concorrentes e temos numa outra categoria os ataques informáticos que são feitos para gerar dinheiro. Este último grupo é o mais popular de todos e é aquele que mais afeta utilizadores finais e empresas.
“Atualmente estamos numa fase de integração do modelo de negócio. Temos pessoas muito sofisticadas, com uma grande rede de fornecedores e que têm uma grande capacidade de disparar ciberataques”.
A declaração é de Simon Reed, vice-presidente da unidade de investigação da Sophos, empresa britânica de cibersegurança e que é uma das dez maiores do mundo segundo a Cibersecurity Ventures. O especialista esteve esta semana em Lisboa para abordar a evolução das ameaças informáticas e uma das ideias que veio partilhar foi justamente esta da profissionalização dos piratas informáticos.
“Agora um cibercriminoso pode ir a uma máquina, comprometer o sistema e pode ter uma discussão direta com a vítima e dizer ‘paga-me‘. É a isto que chamamos de modelo de negócio integrado”.
Os cibercriminosos controlam todo o ciclo de ataque, desde a sua preparação até ao momento de receber o dinheiro. As criptomoedas foram um elemento importante neste processo de profissionalização dos cibercriminosos, pois permitem que o dinheiro seja transferido sem intermediários e sem que se saiba quem recebe o dinheiro.
A afirmação das criptomoedas, associada a outros fatores como o facto de haver mais pessoas à procura de vulnerabilidades – sejam white ou black hat hackers – e o facto de haver empresas que recompensam a descoberta destas vulnerabilidades – seja a Google, o OLX, a Zerodium ou a Exodus -, estão a iniciar uma nova etapa na cibersegurança – estamos na era do ransomware.
“Não sei como os próximos passos serão, mas não duvido que a disponibilidade das criptomoedas é o último elo para tornar o modelo de negócio do ransomware viável. Antes das criptomoedas era muito difícil monitorizar o teu ataque ou os dados que tinhas roubado. Relativamente ao ransomware, a disponibilidade das criptomoedas tornou tudo muito mais fácil. A minha previsão é que estes ataques vão continuar e sinto que vão ser mais abrangentes”, disse Simon Reed em entrevista ao FUTURE BEHIND.
Como assim estamos a entrar na fase do ransomware? Há anos que ouvimos falar nestes ataques, já vimos ataques de ransomware massivos e também já vimos ataques muito mais direcionados, por exemplo a infraestruturas críticas.
“Penso que não vamos ver ataques do estilo do WannaCry. A minha opinião é que qualquer autor de malware comercial está focado em assegurar que os ataques passam despercebidos o mais possível para que possam maximizar o retorno do investimento feito. O crescimento vai estar no malware comercial normal e na utilização destas técnicas. O WannaCry e o NotPetya são exemplos em que algo que era suposto ser discreto, mas tornou-se em algo que chamou a atenção e provocou grandes danos”, salientou Simon Reed.
“O que vemos atualmente é um estágio ainda muito inicial, a quantidade de dispositivos nas nossas vidas está a explodir. A maioria dos ataques ainda são contra dispositivos Windows, mas estamos a ver um crescente número de ataques em dispositivos Android e Mac OS. E depois vemos a utilização de equipamentos de IoT para outros motivos”, acrescentou.
Na opinião do especialista a onda do ransomware ainda está na sua fase inicial. Interessante e preocupante vai ser quando o ransomware começar a afetar dispositivos da Internet das Coisas (IoT na sigla em inglês), como os veículos conectados. Consegue imaginar uma situação em que tenta ligar o carro e ele diz que não é possível até que um resgate seja pago? Ou então fazer uma questão à Alexa e ela dizer que só volta a responder aos nossos pedidos quando for feito o pagamento de um ransomware?
Pior vai ser quando os piratas informáticos ganharem acesso a outros equipamentos conectados, mas com os quais não temos uma interação tão próxima – como um frigorífico ou um forno inteligente.
“Um dos maiores ataques DDoS de sempre foi feito através de câmaras de videovigilância. Tens de pensar nisso não da perspetiva de ‘por que razão alguém quereria atacar o meu frigorífico?’, tens de ver do ponto de vista do atacante ‘Oh, agora posso usar aquilo e posso usar aquilo de uma forma que nem sequer adivinhas’. Pode ser qualquer coisa, o caso das câmaras foi usado para um ataque DDoS, mas pode instalar-se software de mineração de criptomoedas nestes dispositivos, o que significa que eles estão a roubar a tua eletricidade”.
Esta ideia apresenta-nos a outras dimensões da pirataria informática – o sequestro dos nossos equipamentos pode não ser usado para extorquir dinheiro diretamente aos utilizadores, mas para outros fins. Portanto daqui em diante poderá querer prestar especial atenção à fatura da eletricidade, não vá algum equipamento estar a produzir criptomoedas para pessoas alheias.
O gato, o rato… e o cão
Já sabemos que o universo da segurança informática é especialmente interessante por ser um jogo constante do gato e do rato. Não só as autoridades estão sempre a perseguir os cibercriminosos, como por vezes são as próprias autoridades a enganar os cibercriminosos – o caso do mercado ilegal Hansa é um excelente exemplo.
As duas partes também estão sempre a digladiar-se para ver quem está à frente em termos de inovação tecnológica e engenharia social. São estes os elementos que mais fazem pender a balança para um lado ou para o outro.
Luc Billot, engenheiro consultor na Cisco Security Systems, passou por Lisboa na semana passada a propósito de um evento organizado pela Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI) sobre Deep e Dark web. Na sua intervenção acabou por explicar um pouco esta ideia, dizendo que quando alguém entra nas subcamadas da web, nunca sabe se está a entrar num site que é operado por cibercriminosos ou se está a ser controlado pelas autoridades com o objetivo de identificar utilizadores e chegar até às suas atividades ilícitas.
Billot partilhou depois um conhecido cartoon do artista Peter Steiner, para a publicação The New Yorker, que apesar de ser de 1993 continua bastante atual.
É no submundo da internet que acontecem muitas das ações dos reis do malware, seja no recrutamento, seja na venda de dados roubados durante os ataques, seja na partilha de armas de ataque. “As armas de cibercrime são muito transferíveis, ao contrário das armas típicas”, referiu Simon Reed na sua apresentação no Sophos Day, em Lisboa. O perito referia-se claro à partilha de ficheiros que constituem as bases de um novo ransomware ou de um ataque informático de uma qualquer outra tipologia.
Por exemplo, Luc Billot revelou que a unidade de cibersegurança Cisco Talos conseguiu perceber com uma antecedência de três dias que um ataque de grande escala estaria iminente – acabaria por ser o WannaCry -, pois houve um grande aumento de tráfego em determinadas plataformas que estão no submundo da web. Era visível que as tropas estavam a ser movimentadas, só não se sabia em que formato viria e a partir de onde seria executado.
“Os ataques às vezes são vendidos na dark web e são pagos em bitcoin, pelo que torna difícil identificar [os autores]”, justificou Simon Reed.
Nesta fase já sabemos que as criptomoedas há muito que deixaram de ser apenas uma ferramenta de transação entre cibercriminosos, sendo usadas por milhões de pessoas em todo o mundo. Moedas digitais como o Bitcoin estão a afirmar-se como alternativas às moedas tradicionais e estão a surgir cada vez mais serviços que tentam democratizar ainda mais a sua utilização – como o projeto português Utrust.
A questão é que as criptomoedas continuam a ser extremamente apelativas para os cibercriminosos pelo seu carácter descentralizado e anónimo. Não deixa de ser curioso como estas moedas são completamente transparentes – qualquer um pode seguir o rasto de um bitcoin, pois essa informação é pública -, mas por outro lado é quase impossível chegar até ao beneficiário do dinheiro.
“O bitcoin é a ferramenta mais usada no que diz respeito a fazer negócio na Charter Web”, explicou Luc Billot na sua passagem por Lisboa. A Charter Web é uma das camadas mais ‘fundas’ da web e é uma área que está associada a plataformas onde são vendidos serviços de caça ao homem e de assassinatos, jogos ilegais, venda de animais exóticos e é onde estão também muitos conteúdos – vídeos e livros – que foram banidos da web que tipicamente é acedida por todos nós.
Mas serão de facto as criptomoedas 100% não-rastreáveis? “Nada é 100% indetetável. É uma combinação de quanto esforço gostarias de colocar e de como consegues encontrar um buraco na forma como aquela pessoa esconde a sua identidade. Será que seguem sempre boas práticas ou só o fazem ocasionalmente? Ou será que ocasionalmente acedem à carteira [de criptomoedas] sem ser através do TOR? É o exemplo clássico”.
É esta imperfeição que torna o jogo do gato e do rato ainda mais interessante e intenso. Da mesma forma que os erros das empresas são aproveitados pelos piratas informáticos para a criação de um exploit, o lado humano dos piratas informáticos faz com que também sejam desleixados em algum ponto, em algum momento.
A verdade é que encontrar os responsáveis por um ataque informático está cada vez mais difícil, salientou Simon Reed. Já alguém foi formalmente acusado pelos mega-ataques feitos contra a Yahoo? Já se encontrou a pessoa ou pessoas responsáveis pelo WannaCry? Quem esteve por trás da revelação do roubo de dados feito à Adult FriendFinder?
Para Simon Reed só há uma forma de manter esta luta relativamente equilibrada. “Penso que o elemento-chave é que tens de ter uma mente muito crítica. Só porque algo está a funcionar hoje de um ponto de vista da segurança, não quer dizer que funcione amanhã. Tens de ser focado em perceber o que está a funcionar para ti hoje, mas tens de ter um ponto de vista em que precisas de inovar mais no futuro para saber o que vai acontecer”.
