Não há como dizer isto de outra forma. Estamos neste momento e desde já há algum tempo, dentro de uma praga de pirataria direcionada a vários sectores ocidentais. A origem? Perde-se o rasto no Leste da Europa.
Enquanto os CEO das empresas e os CISO das empresas andam entretidos a fazer de conta que percebem do tema e que fazem o que é necessário, as evidências mostram precisamente o contrário. Nesta equação, nem vou incluir as micro/pequenas e também médias empresas. Essas certamente não possuem os recursos para combater ou talvez resistir a este problema, sem contratar fora assistência avençada para o assunto.
Estas últimas semanas tenho estado dentro de tantas situações críticas de recuperação de incidentes, cada uma delas mais devastadora que a outra, que de facto já não consigo achar que as coisas vão acalmar e decidi tentar ver mais a fundo o que está a acontecer. Devo dizer que uma organização repleta de recursos e verbas que necessite de pedir assistência especializada para retomar a normalidade, no mínimo precisará de quinze dias para ter apenas o básico. São duas semanas a trabalhar sem 99% dos serviços normais e funcionar sem os recursos normais numa empresa de bom porte é algo impensável. Neste tipo de cenário, o principal é cortar a ligação da empresa com o mundo, limpar a casa, fazer uma sanitização dos recursos informáticos, separar as redes físicas e as redes virtuais internas com pequenos circuitos, todos ligados a uma firewall. Entes pequenos passos, que nada mais são que os primeiros, possuem em si uma complexidade e um impacto tão grande no funcionamento da empresa que só é percetível no primeiro dia de retoma ao normal; o dia em que os colaboradores não conseguem trabalhar como trabalhavam antes.
Claro que no cenário acima há uma coisa que é muito necessária, a ajuda externa, pois se a interna fosse suficientemente abstrata, parte do problema não existia. Esta afirmação vai criar muitos anticorpos mas a realidade é que esta não é uma conjetura; é a experiência de vários anos em crises semanais onde eu estou na fila da frente tão preocupado como a equipa técnica de suporte da empresa. O receio que cada ação de recuperação possa ser destruída por uma pré-existente ação lateral nos sistemas, é algo que nos deixa literalmente a transpirar de ansiedade. Raras são as vezes que as equipas técnicas internas se deixam liderar nestes processos de recuperação. Estão extremamente apreensivas pois sentem que podem ser consideradas responsáveis pela omissão ou imperfeição do seu trabalho. Raramente o caso a isto se deve, sendo que a realidade é ditada por outro tipo de argumentos, aqueles que mostram que o atacante é mais ardiloso do que se pensa. O atacante está sempre à escuta de como entrar na infraestrutura e como a contaminar sem que alguém o encontre. É preciso ter um serviço de SOC e de boa alarmística para o detetar antes que faça muito estrago, e alguém sabe quanto isso custa? Demasiado para o nosso tecido empresarial e incomportável para a maioria, que se iria ver soterrada de avenças mensais e anuais.
Um SOC consegue estar minimamente atento a coisas invulgares, daquelas que quase nem se percebem quando a organização está sob ataque. O atacante, esse, se for dos profissionais, só dispara o programa de ransomware para bloquear ficheiros quando está já há uma ou duas semanas dentro da rede a criar rotas de acesso caso seja posto porta fora. Estão as equipas internas a repor tudo e mal voltam os sistemas a estar disponíveis, o problema retorna. Confesso que não é um cenário fácil de ver e combater.
A questão por cá está a tornar-se séria pois os grupos de atacantes globo fora, começaram a dividir entre si, de uma forma não oficial, os tipos de negócios a capturar. Uns estão dedicados às pessoas e esses não esperam para contaminar tudo, ou seja,
atacam logo a bloquear; outros estudam as empresas ao mais pequeno detalhe. O objetivo é antecipar toda a contramedida ao seu ataque. Mas o que me está a surpreender é a divisão entre grupos que se está a verificar. A título exemplificativo, na mira principal de um grupo muito conhecido estão as Instituições de Ensino Superior por todo o mundo, quando estavam apenas centrados nas escolas americanas. Por cá a Universidade Católica foi uma das vítimas do ViceSociety e não foi a única, mas isso fica para outro dia. Este grupo tem um gosto de estimação por atacar Universidades e Politécnicos pois o objetivo principal é mostrar que “em casa de ferreiro, espeto de pau” e que o que ensinam ou não é atual ou não funciona.
O que dizer deste grupo que em média se aloja um mês antes na rede das vítimas? Imenso, sendo que a primeira coisa é: conhecem de trás para a frente as pessoas, as equipas técnicas, os seus contactos, familiares, contas de redes sociais, entre muitas outras informações que permitam mais a diante, chegar ao dispositivo que recebe um código de MFA (autenticação multifator). Procuram por recursos, contas de administradores, contas normais que escalam a administrador e transformam uma rede funcional num autêntico queijo suíço. No momento em que colocam as mãos nos backups, nada os detém e aqui os técnicos dão graças ao divino por ainda usarem “tapes”. A partir daqui as equipas sabem que está alguém dentro de portas. Um SOC teria certamente percebido que alguns movimentos eram anormais. Um EDR ajudaria a mitigar parte do problema. Uma cold-storage seria ótima neste momento; ora, tudo palavões para a maioria das empresas.
O resultado é o que se vê na imagem a seguir, um autêntico desastre e um comboio de investimento para recuperar, e nem estou a considerar o pós-evento quando as autoridades aparecem para auditar o “sistema de proteção de dados”.
Estamos focados no que fazem estes grupos quando desatam a partir o ambiente, mas há os que lá ficam calmos e procuram um sistema de notas académicas. Para bom leitor, meia escrita basta.
Mas este grupo não está sozinho, está como escrevi acima, isolado na sua área de interesse. Há outros que procuram maioritariamente organizações ligadas ao Estado e embora ataquem em toda a linha, possuem o seu grupo organizado por camadas de interesse. Portugal não lhes escapa, não escapam as autarquias, entidades públicas, serviços críticos nacionais e todo um escaparate de organizações ligadas ao Estado, pelo menos pelo que arrogam no seu website.
Este é o estado da arte atual e que teima em crescer em vez de diminuir. É certo que há muito a fazer, aliás, basta ler o Estado da União de 15 de setembro de 2022 para perceber que estamos a caminhar para o responsabilizar de partes quando algo corre mal. Lendo o documento percebemos que os fabricantes e criadores de serviços e produtos não poderão continuar a fugir, e olhando para o que se passa nos Estados Unidos, também os CEO e CISO estão na mira de megaprocessos depois do incidente da SolarWinds.
Na minha opinião, portar para os CEO e CISO das organizações o impacto pecuniário da má observação das medidas técnicas e organizativas de segurança informática em
infraestruturas críticas é essencial para reduzir o erro por omissão. Neste dia o cenário mudará, pois, a responsabilidade não irá desaparecer com o fim da organização.
Como disse o tio Ben de Peter Parker: “Com grandes poderes vêm grandes responsabilidades”.
