Ciber-espionagem deve ser uma preocupação?

Se criar sistemas de segurança complexos e com várias camadas, os ciber-criminosos podem tentar atacar mas concluir que o esforço não compensa, explica Jarno Niemela, analista de segurança sénior da F-Secure.

Os relatos de países envolvidos em ciber-espionagem e outros ataques tecnológicos são cada vez mais frequentes. À medida que a Internet das Coisas (IoT) transforma o mundo em algo totalmente conectado e que o volume de dados cresce exponencialmente, é cada vez mais provável que a sua organização seja alvo da atenção de espiões, que, podem inclusivamente ser os próprios Governos.

O mercado está cada vez mais ciente desta hipótese. De acordo com estudo recente da Trend Micro, os responsáveis pelas tecnologias de informação na Europa e nos EUA acreditam que a ciber-espionagem está entre os mais sérios riscos para as suas organizações. Um relatório da comissão de contas públicas britânica assinalou, entretanto, que o risco de “perca de dados electrónicos devido ao cibercrime, à espionagem e até mesmo à divulgação acidental aumentou consideravelmente”.

Isto não significa que não se pode fazer nada para mitigar o risco. Mas até que ponto a espionagem industrial é um problema, tenha origem em Estados ou em outras organizações?

“A espionagem não mudou realmente”, diz Jarno Niemela, analista de segurança sénior da F-Secure, ao Computerworld UK. “Os objectivos são os mesmos, os métodos é que podem ter mudado”.

Estados envolvidos

As fugas de dados da CIA ou da GCHQ (serviços de inteligência, espionagem e contra-espionagem britânicos) confirmam que as capacidades destas agências são sofisticadas e abrangentes. Especula-se que os serviços secretos russos poderão estar a permitir a ocorrência de cibercrimes no país e que por vezes a informação subtraída é útil pelo país.

Uma acção do Departamento de Justiça norte-americano visou dois espiões e dois ciber-criminosos russos acusados de estar envolvidos no ataque ao fornecedor de correio electrónico Yahoo.

Outro caso citado refere que, em 2015, a China e os EUA chegaram a um ciber-acordo com o objectivo de reduzir a espionagem a empresas do sector privado, o que revela que esses ataques deveriam ser frequentes.

Entretanto, o FBI formalizou uma acusação federal contra cinco “hackers” da unidade 61398 do exército de libertação chinês acusados de roubar informação de grandes empresas norte-americanas, incluindo a US Steel e a Westinghouse, bem como de entrar nos sistemas do sindicato United Steelworkers. Uma outra acção do Departamento de Justiça norte-americano visou dois espiões e dois ciber-criminosos russos acusados de estar envolvidos no ataque ao fornecedor de correio electrónico Yahoo, a maior violação de dados da história.

Espionagem industrial

Muitas vezes os hackers procuram informação que possa ter implicações políticas ou militares, por encomenda de agências de inteligência governamentais. Mas, há casos em que o objectivo pode ser pura e simplesmente informação comercial pura, provavelmente disponibilizada por pessoas próximas e insuspeitas normalmente a troco de um qualquer favor.

Mais do que entrar directamente no alvo final, a maioria dos ataques de ciber-espionagem começa habitualmente em sistemas de parceiros de negócio.

“[Dados roubados] estão a ser utilizados como moeda de troca”, assinala Jarno Niemela. “Desde que a sua organização faça algo que possa ter algum tipo de valor que possa ser replicado a partir da informação, é um alvo em potência. Mesmo que a sua organização não seja interessante, é provável que algum dos seus parceiros seja”.

Mais do que entrar directamente no alvo final, a maioria dos ataques de ciber-espionagem começa habitualmente em sistemas de parceiros de negócio.

“Assistimos a casos em que o fornecedor de sistemas de segurança e alarmes foi atacado”, refere. “O objectivo final era alguém numa empresa de maior dimensão. Há também casos em que um fornecedor de uma qualquer componente de software é alvo de um ataque, através por exemplo, de malware discreto introduzido na documentação com o objectivo de atacar posteriormente os seus clientes”.

Mercado negro de informação

A maioria da espionagem de maior escala pode envolver governos, mas nem toda, diz Niemela. “Há também casos em que os criminosos entram nos sistemas de uma organização colocando a informação à venda na “web sombra”. São casos em que os compradores não estão directamente envolvidos na espionagem, mas estão dispostos a pagar pela informação.

Se a sua empresa “tiver um servidor com informação interessante visível na Internet e tiver uma vulnerabilidade, [os criminosos] vão entrar nos sistemas, monitorizar o que acontece e invadir toda a organização”, explica, Niemela.

Os métodos utilizados por países e por organizações apoiadas por Estados não são muito diferentes do crime organizado no mundo real. Os objectivos são também semelhantes: comprometer sistemas para monitorizar redes e recolher tanta informação útil quanto possível.

Se a sua empresa “tiver um servidor com informação interessante visível na Internet e tiver uma vulnerabilidade, [os criminosos] vão entrar nos sistemas, monitorizar o que acontece e invadir toda a organização”, explica, Niemela. Se não conseguirem, poderão utilizar técnicas de phishing e outros métodos para conseguir aceder a determinado posto de trabalho, a partir do qual conseguem obter credenciais de administradores e circular entre máquinas. “Se encontrarem as credenciais dos administradores de sistemas significa que entraram na sua rede, estão, uma vez mais, a observar e recolher informação”, assinala.

“Tudo depende de quão interessante é enquanto alvo, porque, até os espiões têm orçamentos e chefes”, explica Jarno Niemela. “E precisam que o chefe esteja feliz”. Esses orçamentos poderão ser maiores e os chefes politicamente mais poderosos, mas, de qualquer modo, são orçamentos e chefes, assinala.

“O que aprendemos com o caso Snowden e com outros semelhantes é que raramente a agência de espionagem tem como objectivo uma determinada empresa, têm indústrias como alvo”, refere Niemala. “Por exemplo, algumas equipas têm como objectivo aceder ao sector de energia a operar no Médio Oriente ou ao sector bancário na Síria. É extremamente raro uma determinada empresa ser o alvo propriamente dito”.

“Quando se está na savana, ameaçado por leões, não precisamos ser mais rápidos que o leão, apenas precisamos ser mais rápidos do que as outras pessoas do grupo”. Isto significa que as organizações que não levam a segurança tão a sério estão à mão de semear dos atacantes.

O responsável recorda uma anedota antiga: “quando se está na savana, não precisamos ser mais rápidos que o leão, apenas precisamos ser mais rápidos do que as outras pessoas do grupo”. Isto significa que as organizações que não levam a segurança tão a sério estão à mão de semear dos atacantes.

Niemala explica que “é necessário prestar atenção a vários aspectos da segurança e criar vários níveis de segurança. “É necessário combinar medidas preventivas passivas, preventivas activas, de limitação, de contenção, de detecção e de resposta.

“Se tiver várias camadas de segurança a funcionar será um alvo difícil, o que significa que, sendo significativamente mais difícil invadir a sua empresa do que outros alvos de igual valor, é mais provável que não seja atacado com meios suficientes para causar danos significativos”.

“Os ciber-criminosos vão tentar, mas se os detectar e os expulsar, eles rapidamente vão concluir que o esforço não compensa”.

Autores
O seu comentário...

*

Top