Quando a caça se torna caçador: virando o jogo contra os cibercriminosos

Por Colaborador externo | 05 de Outubro de 2016 às 06h11

Por Ian Farquhar*

O renomado criptógrafo e criador do PGP, Phil Zimmerman certa vez disse: “Nunca confie num algoritmo criptografado criado por alguém que não seja reconhecido por gastar muito tempo quebrando códigos”.

Seja isso verdade ou não, é complicado verificar de fora da Agência Nacional de Segurança (NSA, em inglês). Contudo, essa afirmação nos faz pensar em algo que normalmente é esquecido em muitas áreas da segurança: a dicotomia do invasor e defensor geralmente é falsa. Ou seja, um profissional de segurança não familiarizado com as técnicas utilizadas pelos criminosos provavelmente fará um mau trabalho em manter um hacker experiente do lado de fora. Por outro lado, se o cibercriminoso desconhece as capacidades defensivas de seu alvo, logo será detectado.

Bons invasores conhecem bem isso.

Desde 2010/2011, o comportamento dos invasores mais habilidosos tornou-se amplamente conhecido. As metodologias Lockheed-Martin’s Cyber Kill Chain e Computer Network Defense (CND) evidenciaram os grandes golpes de operações avançadas, geralmente aperfeiçoadas por anos de experiência defendendo clientes do governo e da Base Industrial de Defesa. Essa vivência, e o período considerável observando invasores em ação, transforma-se hoje em senso comum nas áreas de indústria e comércio, que também enfrentam ameaças.

Nesse artigo, vou usar o Lockheed Martin Cyber Kill Chain para descrever as fases de um ataque. Assim como organizações mais cautelosas sabem esperar violações de segurança, um bom invasor prevê sempre uma boa defesa. O que evidencia uma dualidade: um atacante deve saber também se defender. Na etapa de reconhecimento, a maioria dos hackers usará informações públicas e privadas visando compreender as prováveis capacidades defensivas a serem confrontadas. Alguns exemplos bem comuns são:

  • Busca no LinkedIn para compreender qual o quadro atual de empregados nas funções de segurança de arquitetura e operação.
  • Qual experiência desses funcionários e o conjunto de ferramentas que eles declaram utilizar?
  • Garantia dos Fornecedores: Esses parceiros apontam a organização alvo como uma “vitória” ou site de referência?
  • Bancos de dados comerciais compilados por empresas de marketing, indicando os produtos de TI comprados por companhias específicas, com base em pesquisas por telefone.
  • Pesquisas sobre endereços de e-mail específicos em fóruns de segurança, revelando problemas e o modo operante dos funcionários.

A lista não é exaustiva, e representa uma fase de reconhecimento puramente passiva. Quando realizado de forma ativa, em que o contato direto com a empresa pode ser feito por meio de vários canais anônimos, a eficácia é ainda maior, embora o risco seja mais elevado. Organizações mais prudentes sabem que suas informações públicas podem ser usadas como armadilha para detectar ataques, e programam seus weblogs em mídias sociais para que os avisem sempre que perceberem um padrão comum à fase de reconhecimento de um hacker.

Uma vez armado com o conhecimento sobre a sofisticação da defesa-alvo, o ataque segue pelas etapas armamentista, de entrega, exploração e instalação. Uma vez que os canais de comando e controle estiverem implantados, o invasor está dentro. E é nesse ponto que um bom cibercriminoso ficará imediatamente na defensiva, provavelmente executando três ações numa rápida sucessão:

  1. Traçar imediatamente um panorama no ambiente e iniciar o processo de mapeamento do movimento lateral, definindo seus objetivos.
  2. Planejar a abertura de um segundo ponto de ingresso, que deverá ser detectado e repelido pelos sistemas de proteção;
  3. Atacar os serviços de autenticação, buscando credenciais que lhe permita assumir a identidade de um usuário legítimo ou que irá abranger ainda mais suas atividades.

Mas por quê traçar um panorama no ambiente? Simples: para ter certeza de que o ataque não foi detectado.

Estabelecer uma porta SPAN, implantar ferramentas em servidores e colocar as interfaces em modo indiscriminado não podem dar pistas ao atacante sobre uma possível detecção. Uma vez que haja suspeita, o próximo passo é dirigir-se à base, desligar os canais C2 (com uma reinicialização programada), e parar todas as operações. Desse modo, encontrá-los vai ser extremamente difícil.

Nesse sentido, como arquiteto de uma estrutura CND eficaz para uma moderna e sofisticada empresa, é fundamental ampliar a visibilidade de toda rede, objetivando:

  • Habilitar o acesso para qualquer ferramenta CND a qualquer hora e para qualquer parte da rede;
  • Não precisar de qualquer mudança para a infraestrutura existente quando implantada taticamente. Isso inclui hardwares, softwares e mudanças de configuração;
  • Ser capaz de implantar ferramentas relativamente lentas nas redes altamente velozes;
  • Poder alimentar o tráfego de rede para quantas ferramentas forem necessárias, em paralelo isso deve ser totalmente invisível para os invasores.

Funcional, um tecido de visibilidade funciona como um diodo de dados: é possível direcionar o fluxo apenas para passar por portas de rede (anexadas à TAP invisível ao invasor) até as ferramentas. Esse movimento de tráfego unidirecional significa que não importa qual ferramenta você implante, o cibercriminoso não irá vê-la. Por outro lado, quem está na posição de defesa conta com completa visibilidade. E mais: seu oponente não é capaz de saber disso.

De fato, uma arquitetura de visibilidade em uma rede de fibra pode funcionar bem com as luzes de transmissão em portas da rede completamente desconectadas, e as de recebimento na porta da ferramenta também sem conexão. É possível implantar esses aplicativos numa zona de segurança altamente protegida, e, para segurança máxima, as mesmas podem ser air gapped inteiramente a partir da rede, com trânsito de dados apenas em meios físicos. Quando isso é impossível, é altamente recomendado o uso de firewalls mais potentes entre o restante da rede e essa localidade em questão.

É comum ouvimos dos clientes de segurança coisas como “eu queria que nós tivéssemos mais visibilidade para responder aos incidentes”. Então, vamos todos parar de pensar apenas sobre defesa, mas abraçar a ideia da dualidade de se tornar um invasor também. Não somos apenas a presa: precisamos pensar como o predador ao mesmo tempo. Não é possível se defender daquilo que não vê. E, se o inimigo não ver suas ferramentas, então desconhecerá suas capacidades de defesa, detecção e expurgo. Deixe que o invasor descubra como fazer isso do jeito difícil.

*Ian Farquhar é Distinguished Sales Engineer da Gigamon

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.