Você: o ponto fraco da segurança dos seus dados
Depois dos ataques do WannaCrypt, um vírus de computador, que bloqueou computadores com sistema Windows de várias empresas e organizações na semana passada, não poderia ficar de fora e dar meus dois centavos sobre o ocorrido. Apesar da minha posição relativamente confortável como usuário GNU/Linux há quase 5 anos, não posso ignorar o fato de que a maioria de nós começou e ainda continua a sua jornada com os computadores no sistema operacional da Microsoft, e um acontecimento como esse poderia afetar pessoas próximas, o nosso trabalho e o andamento de nossas vidas. No mundo inteiro, milhões de pessoas dependem do bom funcionamento dos sistemas Windows e eles estão presentes em muitos outros lugares além do escritório, como escolas, supermercados, bancos e até provedores de internet (o que me faz ter arrepios quando penso no assunto).
O WannaCrypt é um tipo especial de vírus chamado de ransomware , que recebe esse nome porque "sequestra" algo - como dados pessoais ou funcionalidades do computador - e pede à vítima do ataque um "resgate" ou ransom, quase sempre em dinheiro, para liberá-lo do sequestro. Desde sempre ouvimos sobre crackers - hackers com objetivos perversos - que exploram falhas de segurança nos sistemas da Microsoft e que lançaram vírus que abusam destas falhas para os mais variados fins. O WannaCrypt explorou uma falha em um protocolo de troca de arquivos em rede do Windows, conhecido como SMB, e foi baseado em uma solução chamada EternalBlue, que foi supostamente desenvolvida pela NSA (agência de segurança nacional dos EUA) para fins de espionagem, e cujo código-fonte teria sido vazado por um grupo de hackers no início do ano. Sabemos que encontrar e corrigir essas falhas é uma corrida de gato e rato para as empresas de software, uma corrida na qual não se economiza esforços, nem tempo e nem dinheiro.
O que mais me chamou a atenção na repercussão ao ataque foi a mera escala e a lista de organizações afetadas. Grandes corporações, forças armadas, agências governamentais, que contam com departamentos de TI, profissionais de segurança da informação, hackers, planos de contenção de desastres, boas infraestruturas de dados. Como uma ameaça como essa pôde passar desapercebida por todas essas barreiras aparentemente intransponíveis? Afinal, o que deu errado? E porque nesta escala monstruosa?
A resposta não está somente nos sistemas da Microsoft, e ela passa pelo elemento humano que usa a máquina: nós, os usuários. Sim, estou falando de todos os que abrem e-mails de origem desconhecida. Daqueles que baixam músicas e filmes em sites ilegais em algum canto escuro da Web. Daqueles que entram em páginas de pornografia no trabalho, e os que instalam o famigerado Baidu em suas máquinas por não lerem os termos e condições (sempre há uma caixa para desmarcar a instalação, e se não há, melhor nem prosseguir). A todos esses que o fazem, mas nunca o admitirão, um conselho: a melhor arma contra uma invasão é o bom senso.
Grande parte das invasões que ocorrem em sistemas corporativos não vêm da simples inteligência do cracker em encontrar portas abertas em firewalls. Esta forma de ataque ainda existe, mas é a mais fácil de ser corrigida por um bom time de profissionais de segurança. A maior ameaça à segurança da informação de qualquer organização vem na forma de engenharia social. Um cracker pode convencer um usuário desavisado a clicar em um link suspeito em um e-mail que seria supostamente da Receita Federal, alertando-o que sua declaração de imposto de renda caiu na malha fina. Sabemos que este procedimento não existe por parte da Receita Federal: correspondência oficial raramente chega a nós via e-mail. Como este usuário desavisado não usou de bom senso, ele expôs a si mesmo e a rede corporativa a uma brecha de segurança. Ao clicar no link o próprio usuário criou essa brecha, e como um vírus real em um hospedeiro, o cracker pode usar um trojan, ou cavalo de tróia, para acessar a rede corporativa de forma permanente e legítima. O WannaCrypt se espalhou desta forma.
A maior ameaça à segurança da informação de qualquer organização vem na forma de engenharia social.
O departamento de TI não pode simplesmente bloquear um serviço importante como os emails, e com a emergência da mídia social como ferramenta de trabalho, tornou-se cada vez mais difícil justificar o bloqueio de redes sociais como Facebook, Instagram e Whatsapp, limitando o raio de ação das equipes de segurança. O problema não se manifesta nos programas de computador, nos serviços, nas mídias sociais: muitos deles, como o Whatsapp, já usam criptografia ponto a ponto na troca das mensagens, o que deixa o aplicativo bastante pessoal e evita o vazamento das mensagens. É impossível manter uma rede corporativa em segurança se os próprios chefes abrem as portas para estranhos.
Proponho a todos que trabalham com segurança da informação um desafio: ao invés de pensar em todas as formas que podemos evitar um ataque de forma preventiva, façamos nós mesmos um ataque. Sim, façamos segurança ofensiva. Lembro-me de um vídeo que assisti de uma conferência de hackers em que o palestrante, um especialista em segurança, havia sido contratado por uma empresa para invadí-la disfarçado. Seu feito: ele conseguiu acesso à sala do CEO e falar com ele, apenas fantasiado de instalador de TV a cabo. O detalhe importante é que a empresa nunca contratou TV a cabo, e nem mesmo os seguranças no saguão do prédio desconfiaram de sua presença. Vejamos se conseguimos fazer o mesmo experimento em nossos próprios quintais e ver o quão longe chegaremos. De acordo com esta ofensiva saberemos o quão seguros estão os nossos locais de trabalho e como poderemos atacar a situação.
Segurança no trabalho também passa por nós e não só nas reuniões da CIPA. Na verdade, somos a CIPA que previne acidentes à inteligência da organização, e no mesmo espírito, também devemos ter a nossa própria placa na entrada para contar a quanto tempo trabalhamos sem invasões. Além disso, várias empresas tem uma semana para discutir a segurança no trabalho todos os anos, para conscientizar sobre os procedimentos de emergência e o uso dos EPIs. Porquê não 24 horas para discutirmos o que fazer para não cairmos novamente nas mesmas aramdilhas do mundo virtual?
Independente de sermos usuários Windows, Mac ou Linux, as armas mais importantes no nosso arsenal contra essas ameaças são as mais simples e eficazes: conhecimento e bom senso. E da mesma forma que terminamos uma reunião de CIPA, quero terminar com o mesmo bordão: "Segurança é responsabilidade de todos".