Malwares: mais alarde que realidade

Em um ano qualquer, acontecem aproximadamente 100 ataques de tubarão em todo o mundo. Desses 100, apenas 16 terminam em fatalidade. Engraçado que as pessoas tenham um medo tão irracional de serem atacadas por um tubarão enquanto estão nadando no mar. Claramente, os ataques de tubarão não são perigosos assim. Nosso pânico são simplesmente impulsionados por filmes e programas de televisão que nos fazem achar que esse perigo muito comum.

Sobre os malwares, acontece um fenômeno muito simular: eles existem, mas consomem muitos recursos desnecessariamente. E apesar do perigo, profissionais de segurança da informação colocam muita ênfase do que deveriam na perda de dados por meio dos malwares.

Primeiro, deixe-me dizer que os malwares podem sim ser um imenso problema e tempo deve ser gasto em estratégias profundas defesa que reduzem significativamente a exposição da companhia. Contudo, uma vez que isso é feito, é hora de seguir para a próxima lacuna de segurança em sua organização. Infelizmente, somos tão focados em malware que terminamos com uma postura de segurança que é pesadamente contra ataques eletrônicos, mas deficiente em outras áreas. Especialmente engenharia social.

O que a Target nos ensina

O caso de roubo de dados da Target é um exemplo perfeito disto. À medida que detalhes do caso emergem, começa a parecer que se o malware foi de fato usado para roubar informações financeiras. O que nós não sabemos é se a Target tem uma postura de segurança que poderia ter prevenido o ataque. Nós também não sabemos se o malware usado foi conhecido e poderia ser bloqueado inicialmente. Se o malware era novo e altamente sofisticado, ferramentas como IPS e softwares antivírus poderiam ser inúteis. O que pode ser controlado é como o malware foi instalado nos sistemas das lojas da Target. Como pontua um blog Bits, do The New York Times:

Para infectá-los, especialistas de segurança disseram a um funcionário da companhia inseriu o malware numa máquina da empresa, ou persuadiu algum funcionário acima de suspeitas a clicar em um link malicioso que realizou o download do malware, dando aos cibercriminosos a entrada nos sistemas dos pontos de venda da Target.

Na conferência DefCon21, por exemplo, uma competição de caça foi montada para ver o quão fácil seria obter informações sensíveis ao negócio usando métodos de engenharia social. O concurso mirava as companhias listadas na Fortune 500. É suficiente dizer que os resultados foram de arrepiar. É fácil demais para que pessoas destreinadas peguem o telefone, chamem um funcionário e retirem dados importantes desse empregado fingindo ser um estudante, um vendedor ou um colega de trabalho.

Informações sobre versões do sistema operacional, WiFi SSIDs, e até mesmo dados sobre segurança física foram dados de maneira amigável. Além disso, o concurso desse ano notaram que apenas buscas simples na internet sobre as empresas ou seus funcionários davam muito mais informações sensíveis do que no passado. O motivo pelo aumento nos vazamentos de dados na internet? Redes sociais como Facebook, Linkedin e Twitter. O problema que vejo aqui tem dois pontos:

1. Ciberespiões engajados em espionagem corporativa que estão procurando informações sobre uma empresa ? como uma potencial fusão, novo produto ou mercado ? muito provavelmente irão encontrá-las mais fácil pegando o telefone e usando métodos não técnicos de roubo de dados.

2. Hackers podem usar as informações obtidas por meio de engenharia social para encontrar fraquezas na infraestrutura da rede e assim se tornar capazes de atacar uma empresa usando um malware direcionado.

De qualquer maneira, as chances de vazamento de informação ou outras brechas de segurança aumentam significativamente porque seu time de segurança de TI tende a ignorar a educação do funcionário.

Não são os malwares. São as pessoas.

E por educação, estou falando sobre sessões de treinamento que ensinam as pessoas sobre armadilhas comuns que os engenheiros sociais usam. É importante demonstrar que é fácil forjar uma identidade de alguém ao telefone ? ou manipulação para dar a quem te liga tudo que ele quer. Apenas porque a chamada vem de um número conhecido, não significa que você tem que acreditar em quem fala.

Organizações também precisam mostrar aos funcionários como determinar que a pessoa que está falando é ela mesma. Por exemplo, quando você recebe um telefonema, peça para quem te ligou confirmar o assunto por e-mail, ou ligue de volta para verificar a identidade da pessoa. Insista com seus funcionários que informações sensíveis nunca devem ser passadas pelo telefone e que colegas de trabalho nunca devem pedir por elas. Treine-os para se tornarem altamente céticos em relação de quem está do outro lado da linha.

É verdade é que os malwares podem ser contidos se planos de segurança adequados estão em prática ? e é provável que sua organização já tenha medidas decentes para essa questão. Mas profissionais de segurança não podem parar aqui. Uma vez que a ameaça da maioria dos malwares é removida, podemos mover nossos esforços para ameaças muito mais sérias de perda de dados.