O fim da inocência (?)

A propósito do último ataque à Google, alegadamente conduzido por atacantes localizados na China, encontrei um relatório muito interessante (alarmante, até) sobre o estado da arte nesta onda de ataques mais sofisticados. É um relatório elaborado pela empresa MANDIANT, uma consultora de segurança norte-americana, intitulado M-Trends [ the advanced persistent threat ], e o sumário executivo, escrito aqui na língua de Camões, diz-nos isto assim:

Durante os últimos cinco anos, a MANDIANT tem observado uma mudança dramática nos incidentes de segurança da informação. Equipas de atacantes com capacidades extraordinárias expandiram, com sucesso, as suas intrusões a governos e alvos relacionados com a defesa até... investigadores, fabricantes, advogados, e até organizações sem fins lucrativos.

Estas intrusões parecem ser conduzidas por grupos de atacantes organizados e bem financiados. Chamamos-lhes Advanced Persistent Threat1 — APT — e eles não são 'hackers'. A sua motivação, técnicas e tenacidade são diferentes. São profissionais, e a sua taxa de sucesso é impressionante.

A APT compromete com sucesso qualquer alvo que deseja. As defesas de segurança da informação convencionais não funcionam. Os atacantes evadem, com sucesso, os sistemas antivírus, a detecção de intrusão na rede e outras boas práticas. Até conseguem derrotar [as equipas de] resposta a incidentes, permanecendo sem ser detectados no interior da rede do alvo, enquanto o alvo acredita que já foram erradicados.

Numa primeira observação, a motivação por detrás destes ataques parece familiar: aceder e roubar informação, e utilizá-la para ganhar uma vantagem competitiva. Isso não é invulgar, mas os atacantes da APT são diferentes. Eles estabelecem também uma forma para voltarem mais tarde, para roubarem dados adicionais, para permanecerem sem serem detectados pela sua vítima. Esta é uma diferença muito significativa.

A escala, a operação e a logística para conduzir estes ataques — contra o governo, e os sectores comerciais e privados — indica-nos que eles são patrocinados por estados. O governo Chinês pode autorizar esta actividade, mas não existe uma forma para determinar a extensão do seu envolvimento. No entanto, conseguimos correlacionar quase todas as intrusões por APTs que investigámos, a eventos ocorridos na China.

Muito embora o governo norte-americano e as comunidades da defesa estejam conscientes e a bloquear os ataques da APT, muitas vítimas e alvos não estão conscientes nem equipados. Muitas vezes, as vítimas da APT reagem de formas que fazem mais mal do que bem.

Este relatório apresenta tendências, técnicas, e detalhes reais sobre como a APT compromete com sucesso qualquer alvo que deseja. Em relatórios M-Trends futuros, iremos apresentar o que pode ser feito no sentido de começar a endereçar esta ameaça na vossa empresa.

in M-Trends [ the advanced persistent threat ] (nota: o registo é necessário para recebermos o documento).

As descrições apresentadas impressionam, nem tanto pela forma como foram conduzidos os ataques — porque são técnicas conhecidas e há muito antecipadas — mas sobretudo, por um lado, pela sua composição e sistematização, e, por outro lado, fazendo fé no que nos é apresentado no relatório, pela concretização real das ameaças.

Há já demasiado tempo que os profissionais de segurança alertam para as possibilidades agora descritas, e para a necessidade de activar e reforçar, mesmo a sério, os controlos de segurança nos sistemas de informação. Mas é sabido que as medidas de segurança encontram sempre resistência porque, pela sua natureza, podem introduzir alguma complexidade, algum custo, e até alguma entropia nos processos de negócio. No entanto, pelo andar da carruagem, podemos observar que a probabilidade de ocorrência de ataques com impacto relevante aumentou consideravelmente — há muito que não é zero (!).

O que será preciso acontecer para estes temas entrarem nas agendas dos responsáveis pelas organizações? E nos processos de gestão IT, operação, e desenvolvimento aplicacional? Quando é que vamos investir nas acções de formação e consciencialização dos profissionais e dos colaboradores internos? Tem mesmo que acontecer um problema sério qualquer? Vamos mesmo levar a coisa ao limite?

Food for thought.

1 Ameaça Persistente Avançada.