Sistemas mal configurados podem ser comprometidos em menos de 24 horas

Muito se fala sobre o perigo de servidores e infraestruturas mal configuradas, vulneráveis ou sem as melhores práticas de segurança. Mas um teste feito por especialistas mostrou o tamanho dessa ameaça, com plataformas propositalmente inseguras sendo criadas e comprometidas, na maior parte, em menos de 24 horas após serem conectadas à internet.

• História da segurança virtual: a origem do cibercrime
• Phishing cresce em todas as suas modalidades no Brasil em 2021

O experimento foi feito pelos pesquisadores em cibersegurança da Unit 42, braço da Palo Alto Networks, que configuraram 320 pontos de acesso vulneráveis, os chamados honeypots, ou potes de mel em inglês. Eram instâncias de acesso a desktops remotos (RDP), protocolos de shell segura (SSH), serviços de cloud computing, bancos de dados e outros, além de sistemas com senhas padronizadas ou pouco seguras, com combinações simples ou sequenciais.

De acordo com os resultados dos testes, algumas das infras foram acessadas e invadidas em questão de minutos, enquanto 80% dos honeypots estava comprometido menos de um dia depois de conectados. Ao final da primeira semana, todos já estavam nas mãos de criminosos, e caso pertencessem a sistemas corporativos reais, poderiam ser usados para o lançamento de ataques, extração de dados e outras atividades ilegais.

A telemetria mostra o nível de sofisticação e alcance dos criminosos. Segundo o estudo, um único atacante foi capaz de obter acesso a 80 bancos de dados desprotegidos em apenas 90 segundos, enquanto o honeypot mais atingido foi alvo de 169 tentativas de intrusão em um único dia. Entre os protocolos usados, o mais atingido foi o SSH, com média de 26 incidentes registrados por dia.

Jay Chen, pesquisador líder de segurança em cloud da Palo Alto, taxou a ideia de que os atacantes foram capazes de encontrar e explorar as aberturas em questão de minutos como chocante. Para ele, a resposta a incidentes, hoje, é medida em dias e meses, mas a noção de que bastam poucas horas para que infras sejam totalmente quebradas mostra tanto o perigo da má configuração destes sistemas quanto sinaliza possíveis mudanças na abordagem de proteção.

Os testes reforçam a necessidade de auditorias de segurança que garantem a robustez das plataformas online, a aplicação de atualizações e o uso de senhas seguras e complexas. Autenticação em dois fatores, sistemas de monitoramento e controle de acesso são essenciais em plataformas conectadas à internet pública, que estão sempre sendo localizadas e testadas por atacantes em busca, justamente, de um deslize. Não há margem de erro em situações desse tipo, completa Chen.

Fonte: Palo Alto Networks