O caso Ashley Madison: nova tendência em crimes digitaisO conhecido site de relacionamentos Ashley Madison foi alvo de um ataque cibernético bem sucedido. O slogan deste portal é: “Ashley Madison – A vida é curta. Curta um caso” Ray Jimenez (*) O Ashley Madison pertence à empresa Avid Life Media, que admitiu que o ataque atingiu, também, os portais Cougar Life e Established Men. Há 37 milhões de usuários do portal Ashley Madison e, agora, cada uma dessas pessoas espera ansiosamente para ver se suas informações mais íntimas e privativas serão publicadas ou se lhes será dada, mediante um custo, a oportunidade de impedir que isso aconteça. Dada a confidencialidade dos dados, esse ataque pode ser o roubo cibernético mais lucrativo de todos os tempos, uma ação que pode estabelecer outros precedentes muito preocupantes. As repercussões dessa história são profundas em um mundo no qual registros médicos e pontuações de cartão de crédito estão conectados à Internet e podem ser acessados por meio de dispositivos; um mundo onde carros em movimento podem ser controlados remotamente por hackers e obrigados a participar de acidentes. Os dados pessoais, financeiros e de emprego relacionados aos usuários do Ashley Madison enfrentam a perspectiva de ter um resgate solicitado por um grupo denominado Impact Team. Esses hackers já vazaram alguns detalhes da base de dados Ashley Madison e estão ameaçando divulgar ainda mais ao público. Hipótese de ter acontecido uma invasão sistêmica É difícil, nesta fase, identificar como esse ataque ocorreu. Já sabemos que os usuários costumam usar senhas de baixa qualidade. Entretanto, uma violação tão abrangente como esta sugere que 37 milhões de senhas individuais não foram adivinhadas uma a uma; é mais provável ter ocorrido uma invasão sistêmica. Em outras violações, as causas variaram desde ex-funcionários descontentes até funcionários atuais cujas credenciais de acesso foram comprometidas por engenharia social. Outras falhas são resultado de ataques digitais automatizados. Trata-se de ciber crimes que utilizam infecção por malware avançado para romper as barreiras da segurança corporativa. Nesse período pós-invasão, as discussões nos escritórios do Ashley Madison devem estar muito aquecidas. A verdade, porém, é que ntanto, crises como essas tendem a ser vistas por muitos e só esquecidas como e quando a mídia decide que escreveu, gravou e registrou material suficiente para denominá-la “notícia velha”. Num quadro como este, os gestores do Ashley Madison estarão claramente procurando encontrar uma maneira de limitar os danos à reputação da empresa. Natureza dos dados roubados causará estragos por longo tempo Eu acredito, no entanto, que a invasão do Ashley Madison terá uma longa duração em virtude da escala e da confidencialidade dos dados pessoais extraídos dos seus membros. Dada a natureza das informações, ela poderia ser explorada amanhã ou daqui a um ano e ainda causar muitos estragos. Os atacantes cibernéticos dispõem de muitas opções para explorar as informações colhidas por eles. A primeira possibilidade é o Impact Team prosseguir com a sua ameaça de expor as informações dos usuários com a intenção de envergonhá-los publicamente. Isto faria do ataque ao Ashley Madison um dos primeiros ataques cibernéticos em grande escala motivados principalmente por moralismo – mesmo que o ataque tenha sido parcialmente motivado por razões financeiras. Tais ataques são preocupantes no sentido de que os adversários não são tão facilmente dissuadidos pelos altos custos da realização do ataque. Um outro efeito do ataque é que as pessoas que tiveram seus dados roubados precisarão se preocupar pelo resto da vida com o risco de terem suas vidas privadas expostas publicamente. A verdade, porém, é que a maioria dos ataques contra empresas tende a ter uma motivação financeira e os atacantes se concentram nas atividades que eles acreditam que proporcionará o maior retorno pelos seus esforços investidos. Alguns analistas de mercado acreditam que o Impact Team divulgou o ataque e alguns dados específicos para aumentar o valor do resgate a ser cobrado. Outra teoria diz que essa divulgação inicial aumentaria o valor de revenda dos dados que estão em poder do Impact Team. Um cenário é que o Impact Team – ou quem quer que comprar os dados roubados pelo Impact Team – usará os dados para pedir resgate aos usuários do Ashley Madison, com a ameaça de divulgar tudo publicamente ou em mensagens direcionadas a entes queridos registros que deveriam ser particulares. Isso será feito a menos que seja paga uma quantia específica aos sequestradores de informações. Com 37 milhões de potenciais vítimas, muitas das quais podem ser pessoas físicas de elevado patrimônio, isso pode tornar a invasão do Ashley Madison altamente lucrativa, potencialmente um dos roubos cibernéticos mais rentáveis de todos os tempos. Usuário do portal pode se tornar refém dos ciber criminosos Mesmo usuários donos de um menor patrimônio líquido podem ser interessantes para os atacantes cibernéticos, especialmente no caso de pessoas que tenham acesso profissional a redes corporativas ou a recursos de alto valor. Os atacantes cibernéticos podem manter tais funcionários ‘na mira’, numa posição de reféns em que seriam obrigados a colaborar com criminosos facilitando acesso a um banco de dados corporativo ou permitindo um vazamento de dados. Isso seria feito em troca do retorno seguro e discreto dos dados confidenciais dessas pessoas. Os invasores também podem revender registros de dados pessoais a outros criminosos digitais mediante uma taxa, o que poderá, depois, proporcionar pontos vitais de entrada para ataques direcionados de maior escala a organizações específicas. Quando frescos e recentemente obtidos, os dados podem ser vendidos no ‘mercado cinza’ pelo maior lance. O valor é inflacionado porque, depois desta venda, teoricamente ninguém mais teria acesso a esse conjunto de informações. O que sabemos é que existem algumas manobras defensivas que todos nós podemos fazer para reduzir o acesso a dados pessoais confidenciais. Segundo uma pesquisa realizada pela Blue Coat, os trabalhadores do Reino Unido – o local onde foi feito o levantamento – ainda não estão conscientes das melhores práticas de proteção de informações pessoais e de trabalho online. Hoje, 54% dos trabalhadores do Reino Unido se conectam com estranhos em mídias sociais e 18% dos trabalhadores do Reino Unido nunca tiveram formação em TI. A melhor formação não é a única solução para as ameaças cibernéticas, mas mais orientação é claramente necessária. Não há mais lugar para a ingenuidade. Os criminosos cibernéticos estão, por exemplo, usando as mídias sociais para encontrar informações sobre pessoas que possam levar à descoberta de senhas. Em caso de sucesso, há suficiente alavancagem no universo das redes sociais para os atacantes obterem acesso irrestrito a redes corporativas e roubarem informações de trabalho confidenciais. Ao se refletir sobre todos esses pontos fica claro que, embora as consequências da invasão do Ashley Madison não venham a ser totalmente conhecidas até o Impact Team mostrar a que veio, parece que este caso deixará um legado duradouro. Ataque motivado por moralismo ou ideologia Se o Impact Team decidir usar os dados para obter resgate, este será um dos mais lucrativos – e embaraçosos – roubos de dados dos últimos anos. Mas, se levarem adiante sua ameaça de divulgar os dados publicamente, isso poderá muito bem marcar o início de uma tendência em que grandes ataques cibernéticos passam a ser motivados por moralismo ou ideologia, em vez de ganho financeiro. O crime cibernético se tornará uma ferramenta em campanhas para derrubar pessoas, corporações e agências governamentais, ou para defender posicionamentos sociopolíticos. Neste quadro, o slogan da Ashley Madison (“A vida é curta. Curta um caso”) ganharia uma nova versão: a vida é curta, e alguns casos podem produzir longos e perturbadores resultados. (*) É Vice-Presidente da Blue Coat América Latina e Caribe | Pequenos dados, grandes riscosNaturalmente, os casos de invasões hacker mais noticiados nos últimos anos têm sido os de grandes empresas, como Target, United Airlines, JP Morgan, Sony e Itaú Mike Foreman (*) No entanto, apesar da cobertura dada a esse tipo de ataque, os donos de pequenas empresas ainda esquecem-se de dar atenção aos seus dados e são negligentes ao achar que estão imunes. Eles não poderiam estar mais enganados! O rackeamento da Target, pro exemplo, foi feito a partir de uma empresa de manutenção terceirizada que trabalhou nos edifícios da rede varejista. A prática de pequenas empresas infiltradas nas grandes tem crescido nos últimos anos, e é cada vez mais investigada. É um equívoco comum entre os micro e pequenos empresários acreditar que os dados de suas empresas não têm importância para os hackers. O que eles esquecem é que as pequenas empresas reúnem e mantém exatamente os mesmos tipos de informações que as empresas maiores: dados de consumidores, de empregados, financeiros, de propriedade intelectual – todos igualmente valiosos e ainda mais atrativos por serem, teoricamente, mais fáceis de acessar, uma vez que essas empresas possuem menos equipes internas de TI e menor orçamento para gestão de segurança de tecnologia. Mas como as pequenas empresas podem efetivamente cuidar das brechas e minimizar o perigo de expor seus dados? Os gastos dessas empresas com segurança virtual continuam variando bastante e mudam muito de país para país. A maior parte das empresas deste porte foca seus investimentos na melhoria das atividades de core business, como atendimento ao cliente, prospecção e área administrativa, tendo a segurança digital, muitas vezes, fornecida por terceirizadas. Mas apesar do baixo investimento em segurança, o mesmo não pode ser dito sobre os investimentos de TI em geral, e essa incompatibilidade é a razão da vulnerabilidade. A indústria está se tornando cada vez mais ‘mobilecêntrica’ – reconhecendo os claros benefícios dos dispositivos móveis em termos de produtividade, redução de custos, satisfação dos empregados, dentre outros – e a demanda por equipamentos móveis deve crescer ainda mais em 2015. De fato, o estudo sobre Soluções Mobile SMB Group’s 2014 revelou que ano após ano, o gasto com soluções mobile, comparando com o gasto total em tecnologia, cresceu 10% ao ano nas microempresas e 7% nas pequenas. Mas, ao mesmo tempo em que vemos aumentar a implementação de soluções móveis, um grande número de pequenas empresas ainda não possui sistemas de segurança compatíveis, políticas corporativas e treinamentos que garantam que seus empregados estejam seguros e protegidos dos riscos que seu comportamento no uso de mobiles pode gerar. Infelizmente, existe uma clara evidência de que o comportamento inapropriado dos empregados no uso mobile é o maior problema de segurança digital nas empresas. Por exemplo, uma pesquisa recente de uma parceira da AVG, a Centrify, descobriu que um em cada três usuários corporativos é negligente com a segurança de seu smartphone, e que muitos desses usam senhas simples e fáceis de adivinhar, o que coloca os dados de seus empregadores em risco. Esse é um problema bem real. No Reino Unido, por exemplo, o roubo de dados pode custar às pequenas e medias empresas entre US$ 100 mil e US$ 170 mil ao ano, com uma média de seis invasões por ano. Somado a isso, há o fato de que os cibercriminosos estão cada vez mais sofisticados em sua abordagem, usando técnicas de engenharia social para enganar empregados com e-mails fraudulentos muito bem feitos ou usando falsos sites redirecionados para páginas maliciosas. Até agora, um caminho comum para qualquer empresa preocupada com vazamento de dados, era investir no Gerenciamento de Dispositivo Móvel. Essa ferramenta funciona garantindo que todos os dispositivos móveis dos empregados estejam autorizados pela empresa e solicita aos empregados o ingresso em uma série de Políticas de TI pré-definidas para que possam ter acesso a dados e recursos da companhia. Em troca, os administradores de TI recebem os privilégios que precisam para desempenhar procedimentos de segurança, tais como acesso e comandos remotos para ‘localização, bloqueio e eliminação’, checagem de redes e VPNs e outras questões de segurança alinhadas com a empresa. Um dos problemas com a gestão Mobile é alguns empregados podem se sentir cerceados e acabar buscando soluções alternativas para esses mesmos usos. Uma solução alternativa, que prevê tanto a mobilidade dos empregados quanto a produtividade via BYOD (sigla que reflete a política de uso de devices próprios dos empregados nas empresas), assim como políticas de segurança rigorosas, é a tecnologia de Segurança única (SSO) com dois fatores de autenticação. Ela permite aos gestores de TI implantar a segurança, o acesso móvel e autenticação multifator para seus clientes de pequenos negócios de maneira simples, baseada na nuvem, com um serviço que amplia a usabilidade, segurança e compliance para todos os recursos móveis disponíveis, além dos tradicionais laptops e desktops Windows e OSX. Essa abordagem ajuda os proprietários de pequenas empresas e gestores de IT a garantir que os dados confidenciais da empresa ficarão seguros, privados e sob controle, mesmo que sejam compartilhados com dispositivos móveis de propriedade dos empregados e em serviços na nuvem. Para os proprietários de pequenas empresas que não estão prontos para integrar uma solução completa de TI como segurança SSO, há ainda uma série de práticas recomendadas que podem ajudar na proteção de dados dos seus negócios: • Eduque seus funcionários por meio de treinamentos presenciais e forneça recursos regularmente atualizados; • Certifique-se de que os dados de seus clientes estejam armazenados em um banco de dados criptografado; • Exija vários níveis de senhas para acessar qualquer banco de dados ou armazenamento de informações do cliente; • Altere essas senhas frequentemente; • Regularmente execute verificações com os empregados que tem contato direto com dados de clientes; • Tenha um software de detecção de malware em execução em ambos os servidores (hospedados ou não) e nas estações de trabalho e garanta que ele e seus sistemas operacionais estejam regularmente atualizados; • Garanta que seu sistema de gestão de Crise ou “Disaster Plan” (que, obviamente, você deve ter) inclui um plano de violação de dados. Se você não tem um técnico qualificado que possa atender internamente a gestão de defesas de seus dados, seria bom considerar a contratação de um prestador de serviços de TI. Com o volume e o escopo das ameaças à segurança de pequenas empresas em ascensão, elas não podem mais se dar ao luxo de esperar e correr o risco de se tornar a próxima vítima nas páginas dos jornais. Além das perdas monetárias com tais infracções, o dano à reputação pode ser incalculável e afetar gravemente a credibilidade, erodindo a confiança dos seus clientes. (*) É General Manager da AVG Business, divisão da AVG Technologies. |