TTverde


A Guerra Cibernética: está aqui?

Em 21 de outubro de 2016, começou o maior ataque cibernético desse tipo, derrubando grandes áreas da internet. Netflix, Twitter, Reddit, CNN e The Guardian estavam entre os sites de primeira linha a ficarem offline quando a Dyn, uma enorme empresa de infraestrutura digital que encaminha grande parte do tráfego da web para seu destino, foi sobrecarregada por uma negação de serviço distribuída extremamente poderosa ( DDoS) que foi duas vezes maior do que qualquer outro visto até hoje.

Os ataques DDoS não são novidade. A técnica é inundar um sistema com solicitações artificiais ou supérfluas de vários endereços IP, o que significa que ele não tem capacidade para lidar com usuários legítimos. Imagine alguém se juntando a seus amigos para pedir pizza em um endereço de todas as pizzarias de Londres, bloqueando o tráfego para sua casa e toda a rua no processo. Tais ataques têm sido usados ​​por hackers para se vingar, ganhar dinheiro com extorsão e fazer declarações políticas em muitas ocasiões. Mas este último exemplo foi diferente.

Isso porque, em vez de usar os endereços IP de outros computadores para lançar o ataque, as forças obscuras por trás do ataque a Dyn usaram outros dispositivos menores e mais simples – dispositivos que compõem o que conhecemos como a “Internet das Coisas”.

Representantes da Dyn e outros do setor agora acreditam que o ataque foi realizado usando o botnet Mirai – uma ferramenta que usa um tipo de malware para explorar componentes dentro de dispositivos como impressoras conectadas à Internet, câmeras de segurança, gravadores de vídeo e babás eletrônicas – antes de instruir os dispositivos para sobrecarregar um alvo escolhido.

Apesar de seu enorme tamanho e poder, as consequências do ataque não foram muito graves. Dyn diz que suas operações voltaram ao normal no final do dia e, embora possa ter sido caro e irritante para as empresas afetadas, não há relatos de interrupções sérias no mundo real. Nenhum detalhe de cartão de crédito foi roubado, nenhum avião caiu do céu.

Mas isso não impediu o ataque de soar o alarme, por vários motivos. A primeira: mostra o que pode acontecer no futuro. Existem 6,4 bilhões de dispositivos conectados no mundo, de acordo com a consultoria de tecnologia Gartner. Esse número representa um aumento de 30% em relação ao ano anterior, mas será diminuído até 2020, quando se espera que quase 20 bilhões desses dispositivos existam. Até lá, haverá muito mais dispositivos conectados, como geladeiras, detectores de fumaça, torradeiras, termostatos, chaveiros, etc., então haverá bilhões de alvos viáveis.

O recente ataque DDoS estava testando os principais recursos defensivos das empresas que fornecem serviços críticos de Internet

O segundo motivo de preocupação é o sentimento generalizado na comunidade de segurança cibernética de que o ataque Dyn e outros recentes de sua laia foram apenas testes – talvez para algo muito maior.

Em setembro, antes do ataque DDoS a Dyn, o especialista em segurança Bruce Schneier foi solicitado por uma série de eventos semelhantes e menores a levar ao seu influente blog para dizer que 'alguém está testando as principais capacidades defensivas das empresas que fornecem serviços críticos de Internet .'

A leitura de Schneier da situação não é única. O especialista britânico em segurança cibernética Jamie Woodruff também me disse após o ataque Dyn que acredita que “um ataque maciço é iminente”. Mas Schneier, que é autor de vários livros sobre segurança cibernética e ocupa o cargo de diretor de tecnologia da Resilient, de propriedade da IBM, também especulou sobre quem pode estar por trás dessa atividade. “Não parece algo que um ativista, criminoso ou pesquisador faria”, escreveu ele. “A criação de perfis de infraestrutura central é uma prática comum em espionagem e coleta de inteligência. Não é normal que as empresas façam isso. Além disso, o tamanho e a escala dessas sondas apontam para atores estatais. Parece o cibercomando militar de uma nação tentando calibrar seu armamento no caso de uma guerra cibernética.'

Schneieir não está convencido de que o ataque de Dyn tenha sido obra de um ator estatal, mas quando eu o contato, ele explica que seria possível que uma ferramenta como o botnet Mirai fosse usada em uma guerra – 'não uma guerra falsa, mas exércitos reais matando uns aos outros em guerra.' Schneier diz: 'Uma botnet poderia ser usada da mesma maneira que um bombardeio estratégico: para interromper a frente doméstica. Ao colocar a infraestrutura crítica offline, um país pode atrapalhar o outro.'

Uma terceira razão para ter medo é que o poder do botnet Mirai agora parece estar disponível para quase todos. A parte que estava no controle da tecnologia recentemente disponibilizou o código-fonte gratuitamente on-line, mas mesmo para aqueles sem experiência para empunhá-lo, agora também há a opção de 'alugar' um botnet Mirai supostamente composto por 400.000 dispositivos. Hackers que são conhecidos pelos pseudônimos BestBuy e Popopret estão agora oferecendo aos apostadores a chance de contratá-lo. Tendo presumivelmente usado o código-fonte para criar seu próprio botnet Mirai, eles enviaram mensagens em novembro do ano passado anunciando a ferramenta e citando o preço de um ataque de uma hora usando 50.000 bots em cerca de US$ 3.500.

A provável explicação para a decisão do criador do botnet Mirai de oferecer o código-fonte gratuitamente é que eles esperam que isso os ajude a evitar a captura ou processo pelas autoridades. Se várias pessoas estiverem de posse dele, apenas ter o código-fonte do Mirai não é, por si só, evidência de irregularidade. No entanto, as chances de um criminoso cibernético competente ser pego e processado são pequenas.

Não haverá uma ciberpanaceia em breve. É uma corrida armamentista e não demorará muito para que essa tecnologia seja usada também no lado do ataque

Às vezes, os bandidos cometem erros. Por exemplo, parece que permitir que sua identidade real seja conectada a um endereço de e-mail usado para administrar outro ataque DDoS pode ter sido a ruína do suposto cibercriminoso Yarden Bidani. O israelense de 18 anos foi preso em conexão com uma investigação do FBI em setembro junto com outro homem da mesma idade, que se acredita ser seu associado, Itay Huri.

Mas parece que o descuido por parte dos perpetradores do cibercrime é a melhor esperança das autoridades de pegá-los. Usando o navegador da dark web Tor, os usuários podem evitar a detecção de seu comportamento online. O sistema – cuja sigla vem de seu nome completo, The Onion Router – aplica camadas de criptografia aos dados dos usuários (incluindo seu endereço IP) e os envia ao seu destino final por meio de vários outros computadores ou nós que passaram a fazer parte da rede.

E, quando você está prestes a coletar dinheiro para todas as suas empresas criminosas, é simples usar a criptomoeda Bitcoin e uma carteira digital anônima para receber um pagamento facilmente lavado. Outra coisa que facilita a vida dos cibercriminosos é que muitos dispositivos IoT são muito simples de explorar. O repórter independente de segurança cibernética Brian Krebs – cujo próprio site foi alvo de um enorme ataque de botnet Mirai – observa que um fabricante chinês XiongMai Technologies usou nomes de usuário e senhas padrão para muitos de seus componentes que são incorporados aos produtos IoT de outras marcas. Além disso, a empresa de inteligência de risco de negócios Flashpoint diz que uma varredura da Internet em busca de sistemas que usam o hardware inseguro XiongMai revelou que mais de 515.000 estavam vulneráveis.

Uma solução para esse problema pode ser instituir um selo de qualidade para a tecnologia IoT que seja protegida por uma segurança robusta – como um Kitemark para tecnologia. Isso é algo que a Comissão Europeia anunciou que está investigando, mas mesmo que seja bem-sucedido, os dispositivos vulneráveis ​​em circulação provavelmente causarão preocupações por algum tempo. E, claro, os problemas de segurança cibernética não terminam com o botnet Mirai.

O ransomware está crescendo rapidamente”, diz Jamie Bartlett, autor de A Rede Escura e diretor do Centro de Análise de Mídias Sociais do think-tank Demos. ‘Você clica em malware acidentalmente por meio de um e-mail que recebeu e ele criptografa seu disco rígido. Para descriptografá-lo, você precisa pagar um resgate, geralmente em Bitcoin, para uma carteira anônima, por isso é difícil de rastrear. Existem milhares de casos disso acontecendo.'

Embora não haja nada para forçar os criminosos por trás dos ataques de ransomware a desbloquear um dispositivo depois de receberem o pagamento, Bartlett diz que normalmente o fazem – afinal, seu modelo de negócios depende de as pessoas terem confiança de que vale a pena fazer o pagamento.

Dra. Mary Aiken, autora de O Efeito Cibernético , diz que o anonimato e a “desinibição online” significam que muitas pessoas “podem fazer coisas em um cibercontexto que não fariam de outra forma”. Isso, combinado com informações críticas, como dados bancários armazenados em dispositivos portáteis, significa que 'estamos caminhando para um estado de vítimas de alto risco, o tempo todo'.

Dr Aiken, que trabalha como consultor acadêmico do Centro de Crimes Cibernéticos da Europol, acrescenta que: “Estamos vendo a evolução do “crime como serviço” online. Alguns policiais argumentam que estamos enfrentando um tsunami de criminalidade vindo até nós.' Bartlett acrescenta que não é incomum que grandes empresas de todos os tipos, incluindo hospitais e forças policiais, armazenem Bitcoin no caso de serem vítimas. ‘Você pode simplesmente ficar online e comprar algum software de ransomware com milhares de endereços de e-mail roubados e simplesmente enviar um e-mail. Assim, você pode se tornar um criminoso de ransomware sem fazer muita coisa. Você acabou de colher o Bitcoin.'

Mas também existem operações especializadas. Bartlett menciona o recente ataque TalkTalk, quando detalhes pessoais de 150.000 clientes da empresa de telecomunicações do Reino Unido foram hackeados, como exemplo de um empreendimento mais sofisticado, provavelmente planejado em detalhes e realizado de forma organizada. ‘Eles teriam um site de mercado configurado para começar a vender os [dados roubados]. Uma empresa do Reino Unido pode ser atacada de qualquer lugar - Rússia, Ucrânia, qualquer lugar - e usará todos os tipos de proxies, VPNs ou navegadores Tor. Portanto, é difícil localizar de onde vem um ataque.'

Bartlett aponta os “testes de penetração” como uma boa forma de defesa. A ideia é que especialistas em segurança sejam contratados para sondar as defesas físicas e digitais de uma organização em busca de fraquezas. Se for bem-sucedido, outras proteções podem ser adicionadas. O britânico Jamie Woodruff, mencionado anteriormente, é um desses profissionais certificados e muitas vezes usa técnicas de “engenharia social” para encontrar uma maneira de entrar. Durante uma apresentação de conferência na Noruega, ele ligou remotamente o bem protegido carro Tesla do organizador da conferência depois de obter acesso às suas informações pessoais por meio de seu laptop.

O cibercrime custou à economia global impressionantes US$ 445 bilhões no ano passado, de acordo com um relatório do Fórum Econômico Mundial. Mas se está causando dor de cabeça para empresas e indivíduos no momento, também criou oportunidades. Em 2003, a indústria global (legítima) de segurança cibernética valia US$ 3,5 bilhões, mas agora é de US$ 122 bilhões, de acordo com um relatório publicado pela Markets and Markets.

Como seria de esperar, os EUA estão liderando o ataque, mas também há um centro de segurança cibernética em expansão em Israel e outro aqui, no Reino Unido. “Somos um dos melhores lugares para segurança cibernética”, diz Emily Orton, uma das fundadoras da empresa Darktrace, com sede em Cambridge. “Temos um forte conjunto de capacidades no Reino Unido – alguns dos melhores talentos técnicos. Recrutamos da universidade para [expertise em] aprendizado de máquina. Temos uma equipe de classe mundial.'

Embora Orton admita que 'em comparação com os EUA, não temos o mesmo ecossistema' para investimento e financiamento, ela enfatiza que o recente anúncio do governo de £ 1,9 bilhão a ser gasto em cinco anos, incluindo investimento no Centro Nacional de Segurança Cibernética , é um bom augúrio para o futuro. Assim como o progresso feito pela Darktrace, cujos produtos já estão sendo usados ​​em 1.500 sites em 20 países, apesar de ter sido fundado apenas em 2013.

A mais recente tecnologia desenvolvida pela empresa, o Enterprise Immune System, foi projetada para imitar a maneira como o corpo humano evita doenças. Faz parte de uma nova onda de sistemas de defesa de segurança cibernética que usam Inteligência Artificial moderna e aprendizado de máquina para oferecer proteção contra ameaças.

Mas, adverte Orton, apesar de toda a empolgação, não haverá uma ciberpanaceia em breve. “É uma corrida armamentista”, diz ela. 'Não demorará muito para que essa tecnologia também seja usada no lado do ataque.'