Um laptop comprometido é o suficiente para derrubar todas as defesas

Pelo menos é o que a empresa de segurança cibernética, Crowdstrike, demonstrou em um dos casos detalhados em seu relatório Cyber Intrusion Services Casebook 2018, e que vem nos lembrar o quanto é importante mantermos em mente que dispositivos móveis, sejam eles corporativos ou particulares, devem receber cuidado especial quando tentarem se conectar às redes internas.

Tudo começou quando um dos colaboradores de uma grande empresa de vestuário, de posse de um dos laptops corporativos, resolveu clicar em um link de email de um dos parceiros comerciais da referida companhia. As empresas citadas tiveram suas identidades preservadas.

Não haveria nada demais nesta ação, a não ser que o referido equipamento contasse com proteções apenas quando estivesse dentro dos limites da rede interna, algo que não era o caso no momento, visto que o colaborador estava acessando a Internet a partir de uma cafeteria, e que o link constante no citado email não fosse um phishing, que redirecionaria este mesmo colaborador para um site previamente comprometido.

Os pesquisadores da Crowdstrike relataram que o referido site havia sido afetado por vulnerabilidades relativas a gerenciadores de conteúdo como WordPress e Joomla, e que foi vítima de uma campanha envolvendo engenharia social e malwares, conhecida como FakeUpdates.

A mecânica do ataque consistia em que o visitante fosse enganado para acreditar que seu navegador web precisava de atualização, o que permitia aos criminosos a instalarem trojans e ferramentas de controle no equipamento da vítima.

Quando retornou para o ambiente corporativo, o laptop passou a servir como porta de entrada para que os atacantes iniciassem o comprometimento da rede, permitindo que estes acessassem dezenas de sistemas, que puderam ser afetados através da utilização das permissões de usuário da vítima.

A partir daí se iniciou a coleta de credenciais privilegiadas, e a obtenção de acesso a servidores, com o ataque se entranhando ainda mais na rede corporativa. Privilégios de administrador local facilitaram as ações dos criminosos, permitindo que estes obtivessem controle do domínio, e deixando a companhia completamente exposta. Os atacantes infectaram o servidor da loja de varejo, com o intuito de coletar dados de cartões de crédito.

Os pesquisadores identificaram um grupo de criminosos cibernéticos chamado Indrik Spider como sendo os autores do ataque, cujas operações remontam a 2014, e que se suspeita ter rendido milhões de dólares aos atacantes.

O relatório não esclareceu se o objetivo do ataque foi alcançado, e se dados de cartões de crédito foram coletados da companhia. Porém nos faz refletir nas políticas de segurança aplicadas nas empresas, nos mecanismos implantados para impor estas políticas, e no comprometimento da alta direção na imposição destas políticas.

Recursos de segurança, como endpoints, antivírus e firewalls, devem ser providos para proteger os equipamentos corporativos quando fora do perímetro das redes da empresa.

Por mais que o dispositivo móvel tivesse sido comprometido no exterior da companhia, mecanismos de regulação de acesso como um NAC (Network Access Control), vinculados a recursos de sanitização de equipamentos, e segregação de redes, poderiam ter evitado a contaminação da rede interna através do isolamento e desinfecção do dispositivo.

A utilização de credenciais com privilégios de administrador local também deve ser restrita ao mínimo de pessoal necessário, e visando apenas atender a demandas específicas.

Políticas para BYOD (Bring Your Own Device) devem ser cuidadosamente desenhadas, visando garantir que os dispositivos atendam a requisitos mínimos de segurança, antes que possam obter acesso à rede interna e, ainda assim, restringir este acesso ao mínimo de recursos necessários.

Estas e outras formas de proteção devem ser empregadas, visando elevar o quanto possível os níveis de segurança dos ativos envolvidos, mitigando os riscos a que estes são expostos diariamente, devendo, portanto, ser avaliadas e aplicadas de acordo com o perfil de cada empresa, bem como considerando os recursos e alternativas disponíveis para estas implementações.

Para acessarem ao artigo original, em inglês, dirija-se ao site da ZDNet.

A maioria dos ataques explora contas privilegiadas

Embora vejamos muitas notícias relacionadas a vulnerabilidades “zero-day” sendo veículadas com frequência, causando a preocupação de muitos administradores de sistema com relação às medidas a serem tomadas para a proteção dos ambientes por eles administrados, não são estas as maiores fontes de acesso a sistemas utilizadas por atacantes.

Segundo pesquisa recente, conduzida pela CyberArk, e que entrevistou vários especialistas de grandes companhias como Cisco, Deloitte, Mandiant, RSA Security e Verizon, revelou que ataques realizados com a utilização de contas privilegiadas são mais rapidamente efetuados e são mais difíceis de serem detectados que aqueles baseados predominantemente na utilização de malwares ou vulnerabilidades. Estes especialistas também afirmam que algo em torno de oitenta por cento dos ataques envolvem a quebra de segurança de contas privilegiadas em algum ponto.

“Todos pensam sobre vulnerabilidades zero-day, mas elas são raramente exploradas de forma generalizada. Elas são tão valiosas que os atacantes as aplicam de uma forma bem limitada”, disse Craig Williams, especialista em segurança na Cisco Talos Security Intelligence and Research Group. “Para cada vulnerabilidade zero-day que você ouve falar, existem milhões de vulnerabilidades conhecidas que são mais prováveis de serem usadas contra você”.

Em média, os entrevistados nesta pesquisa disseram que os ataques geralmente persistem por meses ou anos antes de serem descobertos. Esse cenário é corroborado pelas descobertas publicadas pela Mandiant, afirmando que a média de dias para um ataque em andamento é de duzentos e vinte e nove.

“Contas privilegiadas permitem ainda que os atacantes destruam evidências de suas atividades e estabeleçam pontos de acesso redundantes e backdoors que tornam praticamente impossível mantê-los longe das redes internas”, afirma a CyberArk.

Uma parte significante do problema é relacionado a inventário. Os dados da CyberArk sugerem que, em média, as empresas tem pelo menos três ou quatro vezes mais contas privilegiadas que empregados. Muitas empresas não tem nem ciência de quantas contas privilegiadas existem em seus sistemas. Mesmo que contar contas pareça algo simples, o problema é um pouco mais complicado que isso, particularmente quando a empresa deve contabilizar a proliferação de dados corporativos e aplicações em nuvem, assim como em ambientes de dispositivos móveis e de redes sociais.

Muitas dessas contas são geradas para máquinas ao invés de para pessoas. Os departamentos de tecnologia da informação são designados a criar “contas de serviço” para permitir o acesso de aplicações, dados e equipamentos computacionais entre máquinas. Essas contas geralmente permitem amplo acesso à rede e às vezes a habilidade de se conectar a qualquer máquina nesta. Existem tantas destas contas de serviço em algumas organizações que muitas são esquecidas ou são quase impossíveis de ser efetivamente monitoradas.

Outro dado interessante é que a técnica de phishing, não os ataques de força-bruta ou de dicionário, é a mais comum de ser utilizada no sequestro de contas de usuários, sugerindo que  senhas fracas não sejam o problema relacionado a elas. Entretanto, as equipes de TI assumem que as contas de serviço serão usadas apenas internamente, e muitas delas terminam com credenciais padrão ou ainda fáceis de se adivinhar.

“Nós vimos recentemente vinte e cinco ou trinta ataques onde os atacantes utilizaram senhas padrão publicamente disponíveis”, disse Christopher Novak, que atua na equipe de resposta investigativa da Verizon RISK Team.

Para acessar o conteúdo completo da pesquisa, incluindo as recomendações para mitigar os riscos de comprometimento da segurança, ligados às contas privilegiadas, basta preencher um pequeno registro e realizar o download através do site da CyberArk. Conteúdo em inglês.

Todo cuidado é pouco

As técnicas utilizadas por crackers para infectar computadores estão cada vez mais elaboradas. Não bastassem as tentativas de contaminação por virus, worms, invasões por brute force, etc., também utilizam-se de páginas de internet aparentemente seguras  para induzir ao erro os(as) navegantes incautos(as). Aquele e-mail de aparência inocente, e com o que parece ser um erro de destinatário, pode levar um(a) usuário(a) curioso(a) a instalar um malware em sua máquina e comprometer a segurança de seu sistema operacional, além da integridade das informações nele contidas.

Várias destas mensagens são enviadas a milhões de destinatários todos os dias e muitos destes acabam sendo vitimados por elas. E-mail’s que parecem ter sido enviados por bancos, sites de vendas conhecidos, empresas aéreas, um(a) amigo(a) que talvez não se lembre, um(a) admirador(a) secreto(a), tudo isso com o intuito de que a sua curiosidade faça com que seja instalado algum software malicioso em seu computador, sempre com os mais variados tipos de intenção, desde a simples infecção do maior número de máquinas possível, até a destruição ou captação de informações pessoais dos computadores afetados.

Felizmente estes tipos de mensagens, ainda que elaboradas com capricho, permaneçem com falhas que podem ser percebidas pelo(a) usuário(a) atento(a). Mesmo que com um nível de detalhes impressionante, pequenas contradições jogam por terra todo o trabalho gasto na produção da armadilha. No exemplo abaixo vemos o screenshot de uma mensagem que recebi por e-mail. Um(a) usuário(a) desatento(a) poderia imaginar que se tratava de uma mensagem enviada para o destinatário incorreto, e a curiosidade o(a) instigasse a saber que fotos seriam aquelas, mas já nesta mensagem teria as primeiras pistas de que se trata de um engôdo, afinal posicionando o ponteiro do mouse sobre o link do suposto blog nos é mostrado abaixo um outro endereço de destino, como pode ser visto onde as setas vermelhas apontam. Clique na imagem para ampliar.

Clicando no link da mensagem somos encaminhados para uma página aparentemente confiável, que levaria a crer ser uma página da Adobe, questionando sobre a disponibilidade do Flash Player. Mais uma vez a curiosidade do(a) usuário(a) levaria a acreditar que havia um problema com a versão instalada em seu sistema, e que para ver as referidas fotos teria de instalá-lo novamente. Porém, embora tenha havido capricho para com o acabamento da aparência da página, a mesma não dispõe das funcionalidades da original, deixando mais evidente a intenção do (a) criador(a). Embora estivesse acessando a partir do Slackware Linux, a página mostra que o sistema operacional “detectado” foi um Microsoft Windows, na verdade é somente uma página estática, evidenciando a plataforma para a qual o ataque foi desenvolvido.

No meu caso isso já foi mais uma evidência de golpe, mas para um(a) ususário(a) de Windows haveria ainda mais alguns vestígios que lhe indicariam isso antes que o pior acontecesse. Novamente os endereços do topo da página e da origem do executável que estaria prestes a instalar nada tem a ver com os da Adobe, caracterizando a fraude na página. A partir da concordância da instalação do software no sistema, este seria mais uma vítima do autor da página, podendo expor os dados da mesma a criminosos(as) na internet, ou mesmo vindo a tomar parte de um ataque ainda maior, atuando como mero zumbi em uma rede de computadores contaminados.

Portanto fica aqui a dica para que controlem a sua curiosidade e que desconfiem de mensagens que lhe peçam para instalar algo em seus sistemas, mesmo que estas venham de fontes confiáveis em sua lista de contatos. Pode ser que aquele(a) amigo(a) tenha se deixado levar e tenha sido infectado, tornando-se assim mais uma fonte de propagação do golpe mesmo sem saber. Atente para onde quer que esteja sendo redirecionado e na dúvida confirme o conteúdo da mensagem com o(a) amigo(a) antes de aceitar que seja instalado qualquer tipo de software em sua máquina. Somente aceite a instalação de softwares que realmente tenha solicitado e alerte seus(uas) amigos(as) caso receba uma mensagem vinda de seus endereços e que julgue não ter sido enviada por eles(as). Afinal, todo cuidado ainda é pouco.