• Inteligência no Combate às Ameaças Cibernéticas

    Os Advanced Persistent Attacks (APTs) tem conseguido cada vez mais, atrair ao máximo a atenção da comunidade de segurança cibernética. Isso porque, no papel de defensores, é necessário estar vigilantes contra as técnicas mais insidiosas. E na intenção de enfrentar todo esse cenário, é muito mais interessante para os profissionais de segurança, analisar e discutir sobre as ferramentas sofisticadas de ataque, além das técnicas e perfis relacionados. No entanto, essa atitude unilateral ignora uma realidade muito mais ampla: em sua maioria, os criminosos digitais são tão preguiçosos como os criminosos no "mundo real".


    Mas, o que realmente significa essa "preguiça"? Significa dizer que os atacantes costumam usar o método do "menor denominador comum" contra a mais ampla gama de endereços IP, a partir de seu próprio acesso como usuário a Internet sem se preocupar em ser descoberto ou pego (ou pior, achando que nada de errado vai acontecer com eles).

    Até mesmo os atacantes considerados "mais avançados" acabam usando uma "plataforma de ataque reciclado", ao fazer o reconhecimento inicial contra um alvo ou contra um conjunto de alvos sem se preocupar com sua localização, mascaramento, ou rotas seguras, além de demais precauções que um cracker de verdade (em extinção no mundo, ainda bem) tomaria como base primordial.

    Assim sendo, esta abordagem resulta em atacantes usando o mesmo tipo de ataques contra uma grande área de superfície, sempre utilizando o mesmo conjunto de ferramentas (exploits e malware), e o mesmo conjunto de servidores de comando e controle (C&C - Command and Control) como IPs de origem dos ataques.

    E enquanto essa abordagem continuar trazendo uma enorme eficácia e alta rentabilidade, os atacantes continuarão a usá-la, pois sabem que implementá-la trará exatamente os resultados que eles esperam. Mas infelizmente, o custo para atacar e explorar um sistema é significativamente menor se comparado ao custo que a área de segurança precisa para defender. Há também um outro ponto de destaque, que são as legislações vigentes em todo o mundo contra ataques cibernéticos, o que garante em muitos casos, a absolvição do acusado por falta de provas, ou mesmo de uma lei específica, nas remotas vezes em que são "pegos" pela justiça.


    Economia nos Custos dos Ataques do tipo Broad-Based

    Deixando de lado os custos incrementais de kits de exploração e os
    potenciais riscos legais, não existe de fato um custo significativo para o
    lançamento de um ataque. Com kits exploits fáceis de utilizar e prontamente disponíveis na Web para download, um atacante pode usar uma única máquina para atacar milhares de alvos à procura de apenas uma "vítima", que possua suas defesas bastante suscetíveis às investidas. Portanto, o custo de aquisição de um novo alvo é apenas o custo de geração de um novo número aleatório para os ataques.

    Por outro lado, cada novo vetor de ataque requer um esforço adicional
    por parte dos defensores. Eles devem implantar e manter vários controles de segurança ao mesmo tempo, contribuindo para que todos os seus sistemas estejam sempre atualizados com as últimas correções de segurança que estejam disponíveis. Este é um custo substancial, que passa a ser muito familiar para qualquer empresa atuante na indústria de segurança.

    Neste ponto, a vantagem, de forma incontestável, está completamente do lado do atacante. Embora cada defensor deva incorrer em um custo substancial para defender suas organizações, os atacantes podem facilmente encontrar alvos que não pagaram esse preço. A questão agora é a seguinte: como aumentar o custo que um atacante deve pagar para cada alvo que eles atacam? Claramente, o risco de processo criminal é um "custo" encorrente ao atacante. No entanto, a dificuldade técnica de atribuição e da facilidade de cruzar fronteiras geopolíticas nesse sentido, complicaria os esforços da esfera pública e privada e, como resultado, esse risco permaneceria no plano abstrato.


    Ataques Direcionados e Reutilização de Técnicas de Exploração

    E o que fazer contra ações de grande porte? Mesmo que os atacantes
    estejam implantando ataques avançados em larga escala contra uma
    indústria ou organização específica, ainda sim eles reutilizam as mesmas técnicas e códigos de exploração usados em ataques direcionados contra organizações semelhantes, que atuam no mesmo setor. Bons exemplos disso são o "Sykipot" e o "Red October". Em cada um destes casos, o código de exploração inicial foi desenvolvido há muitos anos. E ao longo de todo esse tempo, o código "evoluiu", devido ao fato de ter sido reutilizado e reaproveitado contra novas vítimas, por vários grupos de criminosos digitais até os dias de hoje.


    A Necessidade de Informações Colaborativas nas Comunidades Underground

    Outra ferramenta que consta no arsenal dos atacantes, é a enorme habilidade de compartilhar informações uns com os outros. Em muitos fóruns de hackers/crackers e diversas outras comunidades "underground", ferramentas de ataque e técnicas são amplamente compartilhadas, discutidas, analisadas ​​e promovidas. Claro que, como também acontece com qualquer comunidade na Internet, existem rivalidades ativas e algumas controvérsias que acabam minando a colaboração conjunta entre criminosos.

    No entanto, em uma última análise, esta partilha dá aos atacantes recursos adicionais para que eles sejam cada vez mais eficazes e audaciosos em seus esforços, mas sem a força da união entre as mais diversas comunidades criminosas espalhadas por todo o planeta. Assim sendo, no intuito de superar esse obstáculo e se aproveitar da
    "aparente" falta de organização global dos criminosos, é necessário que haja uma melhor abordagem colaborativa entre os diversos grupos
    defensores no mundo inteiro.

    Lembram da "plataforma de ataque reciclado" usada pelos atacantes? E por que não estariam os defensores, também colaborando com a fonte, usando todas as ferramentas e técnicas utilizadas para estes ataques e colhendo os enormes benefícios dessa partilha de ameaças?

    Sem mencionar que essa colaboração entre os defensores também
    pode contribuir perfeitamente, para aumentar os custos associados com a execução destes ataques por parte dos criminosos, e reduzir os custos associados ao processo de defesa global.


    Identificação de Servidores de Comando e Controle

    Uma vez que um atacante tem como alvo qualquer membro de uma plataforma colaborativa, os servidores de comando e controle são facilmente identificados por seus endereços IP em toda a rede. Isto significa que os atacantes não podem mais se beneficiar do isolamento de suas metas, que devem usar um novo IP para cada ataque que eles lançarem, dificultando ainda mais a manutenção e execução de suas redes de bots espalhadas pela Internet.

    Ao invés de serem capazes de lançar milhares de ataques a partir de um único IP, eles precisarão pagar o custo de aquisição (leia-se: obtenção ilícita por meios de invasão e tomada de controle de servidores alheios localizados em diversas partes do planeta) de um número maior de IPs, que é proporcional ao número de ataques que pretendem montar. Além disso, as ferramentas e táticas utilizadas por um atacante podem ser muito menos eficazes caso os defensores colaborem na sua própria proteção.


    Evolução Contínua das Ameaças Cibernéticas

    O cenário das ameaças cibernéticas evoluiu de uma maneira muito rápida, tal como um acompanhamento ao avanço tecnológico com o qual temos convivido durante todo esse tempo. Os worms e vírus passaram de simples incômodos a sérios desafios à segurança, além de serem instrumentos perfeitos para a espionagem cibernética. Na sequência, vem ainda os ataques de Negação de Serviços Distribuídos, os famosos DDOS, que até então eram considerados como nada mais do que a forma assumida online pelos classificados como "bloqueios de protesto", e tornaram-se uma ferramenta poderosa nessa verdadeira guerra de informação.

    Vale destacar que em Junho de 2010, o malware "Stuxnet" tornou-se público, algo como um "destruidor de bunkers digital", atacando o programa nuclear iraniano. Foi dessa forma que os avisos iniciais dos especialistas da área, que datam do ano de 2001, tornaram-se realidade, sugerindo que a dimensão cibernética poderia, mais cedo ou mais tarde, vir a ser utilizada para ataques de maiores dimensões e seriedade, com consequências devastadoras para o mundo físico.


    Personagens Relevantes no Cenário Ameaçador

    Até ao momento, os personagens mais perigosos no domínio cibernético ainda são as nações Estado. Apesar da disponibilidade crescente de capacidades ofensivas nas redes cibercriminais que, no futuro, também poderão ser usadas por elementos não estatais como os terroristas, a espionagem e a sabotagem altamente sofisticadas do domínio cibernético ainda requerem as capacidades, a determinação e o racional custo-benefício das nações Estado.


    Ciberterrorismo e Atentados Cibernéticos

    Porém, ainda não houve uma verificação aos danos físicos e uma classificação real de uma paisagem de ciberterrorismo. Porém, a tecnologia dos atentados cibernéticos está evoluindo de maneira desenfreada para um cenário de ameaças cada vez mais sério contra a segurança da informação, e até mesmo contra a segurança de infraestruturas nacionais críticas.

    Não há dúvida nenhuma de que algumas nações já estão investindo de forma maciça, em capacidades cibernéticas que possam vir a ser utilizadas para fins militares. À primeira vista, a corrida às armas digitais baseia-se numa lógica clara e indubitável, uma vez que o domínio da guerra cibernética oferece inúmeras vantagens: é assimétrica, apelativamente barata e, inicialmente, as vantagens estão todas do lado atacante.


    Dificuldades na Identificação dos Atacantes

    Vale ressaltar que não existe praticamente, nenhuma dissuasão efetiva na guerra cibernética, uma vez que até a identificação do atacante pode ser feita de maneira extremamente difícil e que, respeitando a lei internacional, é praticamente impossível. Nestas circunstâncias, qualquer forma de retaliação militar seria altamente problemática, tanto em termos legais quanto em termos políticos. Em contrapartida, as capacidades de defesa cibernética também estão a evoluir e a maioria das nações ocidentais reforçaram consideravelmente, as suas defesas nos últimos anos. Uma boa defesa cibernética facilita muito o gerenciamento destas ameaças, ao ponto de que os riscos residuais pareçam bastante aceitáveis, à semelhança das ameaças clássicas.



    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=1857&p=2

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L