Regra de segurança número 1 : considere-se hackeado !! ~ InforManiacos

Assumir que os sistemas da empresa tenham sido invadidos é o primeiro passo para a adoção de políticas efetivas de segurança de dados.

Um artigo recente da revista Forbes aconselhou aos leitores assumir que as empresas para as quais trabalham já foram hackeadas. Alguns leitores têm pedido minhas considerações a respeito, e eis o que penso: o artigo pode até ter exagerado no tom, mas no fim das contas a proposição é bastante apropriada. Boa parte das empresas são ativamente hackeadas e seus dados confidenciais são roubados e repassados a terceiros.

Há os que dirão que tais afirmações são imprecisas e sem fundamento, e se perguntarão onde estão as provas que lhes serviriam de base. É verdade. Não há dados ou pesquisas que sustentem a conclusão.

Levantamentos e entrevistas só podem medir os incidentes de segurança conhecidos; é difícil medir os desconhecidos. Mas, no último caso, sobram evidências circunstanciais.

Não posso dizer quando isso ocorreu. Mas, no decorrer dos últimos dois ou três anos, me dei conta de que todas as companhias nas quais trabalhei foram hackeadas. E esse sentimento vai além da minha própria experiência pessoal. Pergunte a qualquer consultor de segurança da informação que tenha contato com uma boa base de clientes e eles lhe dirão a mesma coisa: “Sim, toda empresa é hackeada!”.

Mas o nível da invasão pode diferir entre as empresas de diferentes tamanhos. Toda empresa é invadida no sentido que elas provavelmente têm um ou mais computadores onde estão instalados algum programa malware, zumbi ou Trojan.

Alvo de interesse

Se a empresa tem tamanho que desperta interesse ou atua numa indústria que depende de dados extremamente valiosos (por exemplo, uma que concorra com empresas estrangeiras, escritórios de advocacia, ou indústrias militares), é bem provável que um hacker malicioso tenha instalado vários programas do tipo backdoor e enviado lotes de dados sigilosos para outros locais.

Nas grandes empresas que visitei, os hackers chegaram a configurar programas que procuravam automaticamente por novos arquivos e pastas e enviavam para o site remoto apenas as informações alteradas. Essas empresas mal sabiam que tinham um serviço de "backup offsite".

Toda empresa com a qual lidei tinha dúzias de grandes vulnerabilidades de segurança. Os empregados de TI com os quais conversei admitiam que as defesas das empresas nas quais trabalhavam eram aplicadas de modo irregular e que sabiam de buracos de segurança muito maiores, que nem eu havia encontrado em minha limitada pesquisa. Raramente essas questões de segurança são novidade; a maioria tem vários anos e são bem conhecidas pelos gerentes de TI.

Há uma chance de que sua empresa não tenha sido hackeada. Mas, no ambiente hiperativo do crime cibernético da atualidade, isso é improvável. Se você ainda não foi hackeado, ou é extremamente bom (com uma gestão perfeita de suporte e recursos) ou sortudo.

O que fazer

Então como isso deveria afetar seu comportamento e suas táticas? Primeiro, e apesar de parecer estranho, provavelmente não será uma má ideia avisar o gerenciamento sênior de TI desse risco, isso se você já não o tiver feito. Se eles reagirem mal, mostre a eles este texto (ou o artigo da Forbes), e faça uma lista das principais questões de segurança que há anos permanecem abertas na empresa.

Segundo: o melhor jeito de prevenir invasões é travar as estações de trabalho e os servidores e permitir que apenas software pré-aprovado rode neles. A maioria dos departamentos de TI não tem ideia sobre o que roda em todos os computadores sob seu controle. Use um programa de inventário de software ou de controle de aplicativos para se informar sobre o que está em uso, revise cada programa ativo, aprove o que seja necessário e impeça o resto de funcionar. Se você não puder tomar essa medida, então a batalha estará provavelmente perdida – mas há outras ações que poderão ser seguidas, embora menos efetivas.

Uma das principais técnicas consiste em monitorar ativamente o tráfego da rede e buscar por grandes quantidades de dados sendo transferidas para destinos desconhecidos, ou entre computadores que não deveriam ter comunicação entre si. É bastante comum que os hackers copiem dados internamente para um computador centralizado antes de comprimi-los e enviá-los a um local externo. Há muitas ferramentas, bem como produtos que previnem e detectam vazamento de dados, que podem ajudá-lo com essas tarefas de mensuração e alerta.

Como sempre, sou grande fã de computadores “honeypot”, que ficam num canto, sem fazer nada, esperando alertá-lo quando alguém inadvertidamente tenta fazer logon. Os hackers podem ser bons, mas ainda estou para encontrar um que, antes de usar suas técnicas de invasão, não tente pelo menos um logon.

Isca falsa

Algumas empresas introduzem, em suas redes, conjuntos de dados apenas para chamar a atenção, para que possam ajudá-los depois na identificação de dados que possam ter vazados pra fora da empresa. Algumas vezes isso é tão simples quanto criar alguns endereços falsos de e-mail que nunca serão usados. Outros esquemas chegam ao ponto de criar registros de dados, projetos e até empresas completamente fictícias.

Uma das empresas para as quais trabalhei atuava no ramo de pescados. Seus bancos de dados internos continham um cliente inexistente, porém completamente documentado. A empresa fictícia recebeu um número de telefone sem uso (registrado em nome da empresa-pai) e um endereço que pertencia a uma de suas subsidiárias. Mas nenhuma dessas informações existiam fora do ambiente interno de TI da minha cliente.

Um dia, a empresa falsa começou a receber e-mails e chamadas telefônicas de uma concorrente da companhia de pescados. O caso foi investigado e, no processo, eles descobriram um sofisticado e singular programa Trojan que havia sido instalado em seu principal servidor de banco de dados. O programa tinha estado lá por tanto tempo que o pessoal de TI já o tinha incluído na “imagem dourada” – a cópia utilizada internamente para a criação de servidores de bancos de dados. Agora eles têm um sólido controle de mudanças e uma lista de todos os programas rodando em cada servidor e estação de trabalho.

Mesmo se não tiver sido hackeado de verdade, você deveria agir como se tivesse e, dessa forma, decidir o que faria de diferente para combater os hackers. No fim, é o que todos acabaremos por fazer um dia.