Por Francisco Camargo, presidente da ABES
Na sexta-feira (12/05/2017), o mundo inteiro ficou assustado com a escala e o alcance dos ataques hackers, que mostram que os cibercriminosos dispõem de bastantes recursos, financeiros e tecnológicos. Geralmente, os ataques de sequestro de dados (ramsoware) visam vítimas especificas, mas não foi o que aconteceu desta vez, pois eles atingiram tanto governos e grandes empresas, como também usuários domésticos, micro e pequenas empresas.
Em uma análise preliminar, sabemos que será muito difícil identificar os atacantes, pois isso exigiria colaboração internacional em grande escala, talvez a criação da Interpol da Net e existem países que são mais fechados e não participam destas iniciativas. O próprio uso do Bitcoin impede que se utilize a mais tradicional linha de pesquisa de criminosos: seguir o dinheiro.
Hoje em dia, na DeepWeb (acessível através de um browser específico), é possível que as pessoas comprem vírus e malwares para uma série de tarefas, aluguem uma armada de computadores zumbis para efetuar ataques de negação de serviço, e o envio de milhares de e-mails, entre outras práticas. Mesmo criminosos com pouquíssimos conhecimentos técnicos, mas com recursos financeiros, podem fazer um ciberataque altamente rentável.
Vivemos a profissionalização do mercado do cibercrime e o surgimento do conceito de cybercrime as a service. Tudo fica parecido com um projeto de engenharia de sistemas e que pode ser resumido em 7 etapas de planejamento e execução: 1) definem-se os alvos; 2) estabelece-se a extensão e a dispersão geográficas do ataque; 3) estima-se a receita prevista; 4) estima-se os custos de operacionalização do ataque; 5) escolhe-se as ferramentas que serão utilizadas; 6) contrata-se pessoas, seja para dar “consultoria” em lavagem de dinheiro, estabelecer a estratégia de engenharia social etc; 7) compra-se ou desenvolve-se um malware que explore uma vulnerabilidade pouco conhecida e ainda não corrigida ou pouco corrigida do sistema operacional ou de outros sistemas, como ERP, CRM, Office, Gerenciador de Conteúdo, PDF, etc. E: vamos ao ataque!
Por outro lado, entender os mecanismos desse ataque ajuda a prevenir a ocorrência de outros semelhantes. A questão não é só saber se ocorrerão outros ataques em grande escala, mas quando acontecerão e minimizar seus impactos. Outro ponto claro nesse último ataque, é que por menor que seja o montante coletado pelos criminosos, estas ações custas centenas de milhões de dólares para empresas e governos, mesmo quando não se paga o resgate pois vários sistemas saem do ar e paralisam os negócios e a gestão.
Lembramos que tudo isso poderia ser minimizado se a “Oitava Camada do Modelo OSI”, o "Peopleware", formado pelos usuários mal informados e desavisados recebessem orientação. Quantos mais usuários forem sensibilizados sobre o problema, melhor, pois é como uma campanha de vacinação, em que para alguns vírus, basta imunizar 50 a 60% da população para se proteger a população toda. Cada usuário consciente e disciplinado evita a contaminação de centenas de outros usuários.
A ABES criou a Iniciativa Brasil País Digital para discutir o uso, o fluxo, a privacidade e a segurança dos dados. Agora, face aos problemas de segurança e o crescimento do cibercrime, a entidade vai lançar outra iniciativa para informar a população sobre este tipo de crime e como se pode preveni-lo.
Existem ainda três medidas simples e baratas, que cada usuário pode tomar para se proteger dos ataques de ramsoware.
Com isso o usuário doméstico, o pequeno comerciante, o prestador de serviços não só estarão se protegendo, mas protegerão toda a sociedade, pois não estarão espalhando vírus para outros usuários. Existem ainda outras medidas adicionais também podem e devem ser tomadas e recomendamos:
Outra arma específica para desenvolvedores e sistemas e para os clientes destas empresas é a Auditoria de Código Fonte, que podem acelerar a descoberta de vulnerabilidades nas aplicações. Em uma programação de sistemas existem, em média, 15 erros por mil linhas de código, uma pelo menos gera uma vulnerabilidade. Grandes sistemas têm até 30 milhões de linhas de código, 30 mil vulnerabilidades por erros não intencionais. Para saber um pouco mais sobre os ataques e como se proteger a baixo custo, veja esta matéria na Globo News.
Na internet, no ambiente virtual, a segurança de um aumenta a segurança de todos.
*Francisco Camargo é Presidente da ABES. Engenheiro de Produção pela Escola Politécnica, o executivo tem especialização pela Harvard University. Francisco é também Fundador do Grupo CLM, distribuidor latino-americano focado em Segurança da Informação, Infraestrutura Avançada e Analytics.