Cibercriminosos monitoram sistemas de empresas terceirizadas para obter informações de seus alvos

NYT

São Francisco – Eles chegaram pelo cardápio de comida chinesa.

Incapazes de invadir a rede de computadores numa grande empresa de petróleo, hackers infectaram com um malware o cardápio online de um restaurante chinês muito utilizado pelos funcionários. Ao escolherem seu almoço, eles acidentalmente baixaram um código que deu aos agressores uma base na ampla rede computacional da empresa.

LEIA TAMBÉM:
Google, Microsoft e Facebook se unem para evitar novo Heartbleed

Especialistas em segurança convocados para corrigir o problema não foram autorizados a divulgar os detalhes da invasão, mas a lição com o incidente ficou clara: empresas buscando proteger seus sistemas contra hackers e espiões do governo precisam procurar vulnerabilidades nos locais mais improváveis.

Veja fotos de data centers do Google pelo mundo

Na recente invasão do cartão de pagamentos da Target, hackers ganharam acesso aos registros da loja através do sistema de ar condicionado. Em outros casos, hackers usaram impressoras, termostatos e equipamentos de videoconferência.

As empresas sempre precisaram ser diligentes para se manter à frente dos hackers – e-mails e dispositivos pessoais vulneráveis são um problema antigo –, mas a situação vem ficando cada vez mais complexa e urgente agora que vários serviços terceirizados recebem acesso remoto a sistemas corporativos.

Esse acesso vem através de softwares que controlam todo tipo de serviços necessários a uma empresa: aquecimento, ventilação e ar condicionado, sistemas de gestão de contas, despesas e recursos humanos, funções de análise de gráficos e dados, provedores de seguro saúde e até mesmo máquinas de venda automática.

Berk, da FlowTrak: preocupação com serviços terceirizados
NYT
Berk, da FlowTrak: preocupação com serviços terceirizados

Invadindo um desses sistemas, é possível invadir todos os outros.

"Nos vemos constantemente em situações onde provedores de serviços externos conectados remotamente têm as chaves do castelo", explicou Vincent Berk, presidente da FlowTraq, uma firma de segurança de rede.

É difícil encontrar números do percentual de ataques virtuais que podem ser ligados a vazamentos de terceiros, em grande parte porque os advogados das vítimas encontram qualquer motivo para não divulgar uma invasão. Mas uma pesquisa com mais de 3.500 praticantes globais de TI e segurança virtual, conduzida no ano passado por uma firma de pesquisa de segurança, o Ponemon Institute, descobriu que 23 por cento das invasões eram atribuíveis à negligencia de terceiros.

Especialistas em segurança dizem que esse número é baixo. Arabella Hallawell, vice-presidente de estratégia na Arbor Networks, uma firma de segurança de rede em Burlington, Massachusetts, estimou que fornecedores terceirizados estavam envolvidos em cerca de 70 por cento das invasões analisadas por sua empresa.

"Geralmente são fornecedores de quem você nunca suspeitaria", afirmou Hallawell.

A invasão pelo cardápio chinês online – conhecida como ataque da nascente de água, o equivalente virtual a um predador que espreita um lago e ataca sua presa sedenta – foi extrema. Mas pesquisadores de segurança dizem que, na maioria dos casos, os agressores nem precisam se esforçar tanto quando o software de gestão de todo tipo de dispositivo se conecta diretamente às redes corporativas.

Acesso terceirizado é problema

Hoje, provedores de aquecimento e ar condicionado conseguem monitorar e ajustar remotamente a temperatura do escritório, e fornecedores de máquinas de venda automática podem ver quando seus clientes estão quase sem refrigerantes e salgadinhos. Esses fornecedores muitas vezes não possuem os mesmos padrões de segurança de seus clientes mas, por motivos comerciais, acabam sendo autorizados pelo firewall que protege a rede.

Especialistas em segurança dizem que os fornecedores são alvos tentadores aos hackers, pois costumam utilizar sistemas mais antigos, como o software Windows XP da Microsoft. Além disso, especialistas afirmam que esses dispositivos aparentemente inofensivos – equipamentos de videoconferência, termostatos, máquinas de venda e impressoras – costumam ser entregues com as configurações de segurança desligadas. Assim que os hackers encontram uma porta de entrada, os dispositivos lhes oferecem um esconderijo.

"A beleza é que ninguém presta atenção nesses dispositivos", declarou George Kurtz, presidente da Crowdstrike, uma firma de segurança. "Então é bastante fácil para o intruso se esconder".

No ano passado, pesquisadores de segurança conseguiram invadir a sede do Google em Sidney e o North Shore Private Hospital – e seus sistemas de ventilação, iluminação e até mesmo câmeras de vídeo – através de seu fornecedor de gestão predial. Mais recentemente, os mesmos pesquisadores descobriram ser possível invadir os disjuntores da área olímpica de Sochi através de seu fornecedor de aquecimento e ventilação.

Felizmente, os pesquisadores estavam apenas procurando por falhas que pudessem ser exploradas por hackers reais.

Rios, da Qualys: corporações não monitoram devidamente suas redes
NYT
Rios, da Qualys: corporações não monitoram devidamente suas redes

Billy Rios, diretor de inteligência de ameaças na Qualys, uma firma de segurança, era um desses pesquisadores. Ele disse ser cada vez mais comum as corporações configurarem suas redes de forma descuidada, com sistemas de ar condicionado conectados à mesma rede que atende bancos de dados contendo informações confidenciais.

"Seu sistema de ar condicionado nunca deveria conversar com seu banco de dados de recursos humanos, mas por algum motivo ninguém nunca fala sobre isso", afirmou Rios.

A pesquisa do instituto Ponemon, realizada no ano passado, descobriu que em 28 por cento dos ataques, não foi possível encontrar a fonte da invasão. Hallawell comparou o processo a "encontrar uma agulha num palheiro".

Idealmente, segundo especialistas em segurança, as corporações deveriam montar suas redes de forma que o acesso a dados confidenciais seja bloqueado para sistemas de terceiros, com monitoramento remoto, senhas avançadas e tecnologia que possa identificar qualquer tráfego anormal – como alguém com acesso ao sistema de monitoramento de ar condicionado tentando entrar num banco de dados de funcionários.

Mesmo assim, porém, as empresas precisam de equipes de segurança com experiência em detectar tais ataques. Embora a Target usasse tecnologia de segurança fornecida pela FireEye, uma empresa que dispara alertas sobre atividades incomuns, sua equipe de TI ignorou as luzes vermelhas, segundo várias pessoas que confirmaram as descobertas de uma investigação da Bloomberg Businessweek em março – mas que não podiam falar publicamente sobre o inquérito interno da Target.

Como tudo o mais, trata-se simplesmente de uma questão de prioridades. Um estudo da Arbor Networks descobriu que, diferente de bancos, que gastam até 12 por cento de seus orçamentos de tecnologia da informação em segurança, os varejistas investem, em média, menos de 5 por cento de seus orçamentos em segurança. O grosso dos gastos de TI vai para marketing de clientes e análise de dados.

"Quando você sabe que é um alvo e não sabe quando, onde ou como ocorrerá o ataque, a guerra é constante", disse Hallawell. "E a maioria das organizações não está preparada para a guerra".

    Faça seus comentários sobre esta matéria mais abaixo.