Não culpe a China por falhas de segurança, culpe a si mesmo

Graças às manchetes espalhadas pelos principais jornais [internacionais] nas últimas semanas, você não tem como ter perdido as notícias de que a empresa de investigação digital forense, Mandiant, culpou o People’s Liberation Army (PLA), Unit 61398, um grupo chinês de ciberoperações militares, pelo lançamento de ataques de ameaças avançadas persistentes (APT) contra 140 negócios e órgãos governamentais desde 2006.

É claro que o botão de pânico foi acionado. Mas, como geralmente acontece com surtos repentinos ou ansiedade descontrolada, o ponto se perde: não se preocupe com a China. Preocupe-se, em vez disso, com o estado lamentável de suas defesas de segurança da informação e se elas serão capazes de deter anexos maliciosos em e-mails, que roubam propriedade intelectual ou, até mesmo, segredos de estado.

“Os chineses são como as Kardashians”, disse John Pescatore, ex-analista da Gartner, que no mês passado assumiu o cargo de diretor de tendências emergentes de segurança no Instituto SANS. “São centenas de ataques e muitos são tão inteligentes quanto, usando as mesmas técnicas – antes de os vermos em ataques chineses. Mas, é só mencionar a China em um ataque, que todos os jornalistas ligam as antenas”.

O tolo jogo de culpar a China foi logo abraçado pelos especialistas em segurança da informação. “Se você sabe que o People’s Liberation Army está te espionando, você muda suas defesas? Como? Você procura ferramentas de prevenção de intrusão em linguagem chinesa?”, disse Alan Paller, diretor de pesquisas do SANS, em uma recente newsletter.

“Os contínuos ataques à China simplesmente refletem a inabilidade dos observadores de ver evidências de ataques clandestinos vindos de muitas outras nações, que podem ter uma abordagem diferente para penetrar nossos sistemas de telecomunicações, bancários e de energia para roubar nossos bens nacionais”, disse ele. “O número de bandidos, espalhado por nações, terroristas, anarquistas e criminosos é tão grande que não é tão importante quanto o que fazemos para defender nossos sistemas – porque eles geralmente exploram os mesmos pontos fracos”.

Não surpreende que muitos dos ataques à China venham da indignação sobre a percepção de que ideias de negócios são roubadas de empreendedores americanos, que investem tempo e dinheiro nessas ideias. “China, França e diversos outros países são famosos – há algumas décadas – por espionagem industrial patrocinada pelo governo”, disse Pescatore. “Os EUA tendem a não fazer isso. Fazemos coleta de inteligência como um país. Podemos ou não ter feito parte do Stuxnet, em que o cibernético foi utilizado em nome da defesa nacional. Mas, os EUA nunca declararam: ‘Vamos ajudar a indústria americana ajudando a espionar a Huaewei’”, por exemplo.

O centro da questão, no entanto, é que sem práticas robustas de segurança da informação, sua rede pode ser dominada por qualquer um, desde um grupo de hacktivistas até um ex-funcionário enfurecido ou serviços de inteligência estrangeiros. O ponto não é quem consegue te atacar, mas sim que, apesar da prevalência de defesas conhecidas – e compensadoras – contra esses tipos de ataque, você ainda falhou ao proteger seu negócio.

Vamos pensar na notícia da semana passada, quando a Apple, o Facebook, a Microsoft e o Twitter foram comprometidos por ataques que, depois de ganhar acesso a um website de desenvolvimento terceirizado para iOS, usaram esse website para infectar sistemas Mac OS X de visitantes com um malware que explorou uma vulnerabilidade Java. Os sistemas do Twitter foram comprometidos e 250.000 contas de usuário foram expostas. O Facebook, por sua vez, disse que detectou atividades suspeitas em sua rede, que foram rastreadas até os sistemas Mac OS X de desenvolvedores, o que levou a um bloqueio de segurança.

Nem a Apple e nem o Facebook divulgaram o que os meliantes conseguiram acessar, exceto que não parece ter incluído dados de usuários. Ainda assim, ponto para as defesas de segurança da informação.

Quem atacou os gigantes da tecnologia? De um ponto de vista defensivo, não importa. O que importa é que os negócios conseguiram se defender relativamente bem. Agora é a vez de outros negócios seguirem o exemplo.

Hackear é fácil demais – mais de 90% dos ataques almejados foram bem sucedidos usando apenas as explorações mais básicas. E, mais uma vez, apenas 3% das brechas teriam exigido mecanismos de defesa mais caros ou complicados. Essas estatísticas vêm de um recente relatório, “Raising the bar for cybersecurity” [Elevando o nível da cibersegurança], escrito pelo conselheiro de cibersegurança da Casa Branca, Jim Lewis, do Centro de Estudos Estratégicos e Internacionais (CSIS).

Para criar melhores defesas para segurança da informação, Lewis diz que os negócios devem estudar a Diretoria de Sinais de Defesa da Austrália (DSD), que, junto com a Agência Nacional de Segurança, compilou uma lista de 35 técnicas que bloqueiam 85% de todos os ataques conhecidos.

Não se preocupe inicialmente com as 35 medidas. Em vez disso, Lewis diz que a maioria dos ataques almejados podem ser impedidos com apenas quatro técnicas: aplicação de uma “lista branca”, para permitir que apenas aplicativos aprovados rodem em qualquer PC ou servidor, conserto rápido tanto de sistemas operacionais quanto de aplicativos e a diminuição no número de contas em nível administrador.

“Agências e empresas que implementarem essas medidas verão os riscos caírem 85% e, em alguns casos, 100%”, disse Lewis.

O SANS divulgou um esforço relacionado – protegido pelo ex-oficial do NSA, Tony Sager e Pescatore – para levar negócio a adotarem essas contramedidas. “O que devemos fazer como comunidade é identificar as barreiras que impedem a adoção abrangente dessas defesas e derrubá-las”, disse Paller, que pede que especialistas em segurança da informação enviem por e-mail para o SANS (cca@sans.org) as principais barreiras que enfrentam no momento.

Para o resto de nós, vamos julgar os esforços de segurança da informação dos negócios não com base em quem pode querer ataca-los, mas sobre como eles se defendem. “Se você fechar a vulnerabilidade, você não precisa se preocupar com ataques chineses, com o crime organizado russo, com o grupo Anonymous ou com um adolescente rebelde”, disse Pescatore. “Porque existem muitos cibercriminosos que não tem nada a ver com a China”.