terça-feira, 5 de janeiro de 2021

Riscos da Segurança Presumida

No ano que terminou, o da pandemia, houve um crescimento acelerado de tudo o que se relaciona a ambiente digital. Consequentemente cresceu o número de eventos preocupantes relacionados à nossa segurança e privacidade.

Se a maioria dos incidentes se encaixou nos perfis tradicionais, desde identidade enganadora (“phishing”), passando por envio de código malicioso (vírus, vermes), encriptação de conteúdos ou negação de serviço, houve casos mais preocupantes e sofisticados. Uma das formas dissimuladas e mais perigosas é, por exemplo, a que se vale da invasão de um certificado de autenticidade real e registrado, e compromete internamente uma cadeia de distribuição segura já estabelecida.

Talvez o caso mais paradigmático de 2020, com engenhoso comprometimento, seja o do Sunburst (irrupção solar), revelado só em dezembro. Além de levar mais de seis meses para ser identificado, ele atacou uma plataforma largamente utilizada por companhias e pelo governo norte-americano: a Orion, da empresa SolarWinds. Orion é um bem conceituado aplicativo para apoio a sistemas financeiros e de tecnologia da informação, adotado inclusive por agências de inteligência e ministérios dos Estados Unidos.

O primeiro aspecto notável foi a maneira com que o Sunbust se infiltrou nos sistemas. Todos sabemos que uma das mais enfatizadas recomendações de segurança reza sobre a necessidade de manter os equipamentos sempre atualizados, usando a última versão que o fabricante tornou disponível. Essas alterações são muitas vezes (e para nosso conforto) automáticas. O próprio programa identifica a intenção do fabricante em fazer uma atualização, confere a assinatura do pacote que recebeu e, normalmente, apenas nos pergunta se pode finalizar o processo já que, no mais das vezes, isso envolve uma reinicialização do sistema. Sunburst encontrou uma forma insidiosa de apresentar-se como uma corriqueira e segura “atualização de sistema” e ser reconhecido como “proveniente do fabricante”. De fato era um “cavalo de tróia” que carregava e instalava no Orion um módulo dll (“dynamic link library”) malicioso.

Uma vez instalado o Sunburst buscava seguir despercebido a programas de proteção e de varredura. Durante duas semanas mantinha-se dormente, sem nenhuma atividade visível, apenas examinando as características de seu hospedeiro. Se concluía que estava na instalação de um simples usuário e sem nada de interessante a vasculhar, o Sunburst armava sua própria desinstalação sem deixar vestígios. Mas se, por outro lado, o hospedeiro era uma empresa importante ou algum órgão de governo, ele iniciava sutilmente a comunicação remota com seu criador, preservando complexas maneiras de se manter invisível e não chamar a atenção. Com esse sutil e ardiloso comportamento permaneceu por mais de seis meses infectando máquinas sem ter sido detectado. E pelo tipo de vítima preferencial que escolhia, tudo indica que se trate de uma iniciativa ampla, que envolveria bem mais que a simples ação de maliciosos e competentes programadores buscando enriquecer.

Estamos em um cenário crescentemente complexo, em que há de se “confiar desconfiando”. Como diriam os escoteiros, estar“sempre alerta”, mas sem perder o otimismo: que 2021 ainda seja bom para todos! E aqui não consigo evitar um comentário: não atino com nenhum argumento lógico para trocar por “todos e todas”.  Em minha visão (míope), “todos” é completamente inclusivo, com a elisão de “indivíduos”. Ou, se preferirem, “todas”, com a elipse de “pessoas”… Mas esse é outro pântano, em que, prudentemente, tentarei por enquanto não me afundar. Então, um ótimo 2021 para todas (as pessoas)!

===
sobre o caso Sunburst

https://www.theguardian.com/technology/2020/dec/16/solarwinds-orion-hack-scrutiny-technology

https://www.bbc.com/news/technology-55321643

https://www.varonis.com/blog/solarwinds-sunburst-backdoor-inside-the-stealthy-apt-campaign/

https://medium.com/swlh/a-summary-of-fireeyes-detailed-analysis-on-the-sunburst-malware-d76cef328a3b


https://miro.medium.com/max/700/1*nmRzSvLJvOeVT0tIljIfiQ.jpeg

Nenhum comentário: