13 de julho de 2020

Uma guerra cibernética é fruto dos avanços da tecnologia, os quais enriquecem nossas vidas na medida em que derrubam fronteiras, disseminam o conhecimento e expandem as oportunidades associadas a um mundo mais livre e mais conectado.

guerra cibernética

Ou ao menos essa era a proposta lá nos primórdios da internet.

Hoje, sabemos que a tecnologia pode ser uma faca de dois gumes. Inúmeras conquistas mundiais seriam impossíveis sem a ideia de uma rede global de computadores. Porém, conforme nos tornamos mais e mais dependentes dessa rede, a mesma interconexão que possibilitaria maior união entre as nações é usada como arma de guerra, provocando destruições excepcionalmente dramáticas para qualquer um que tenha um dispositivo capaz de se conectar à internet.

Nesse contexto, surge um novo conflito mundial, baseado na ameaça invisível de ataques operados inteiramente em ambientes digitais. De um lado, temos espiões, criminosos e ativistas pegando carona nas contínuas evoluções tecnológicas para promover a disrupção das estruturas globais através de ativos relativamente simples: dados. Do outro, temos a cibersegurança, tentando impedir que esses mesmos dados sejam violados.

E, no meio desse conflito – que ganhou a alcunha de cyberwar (guerra cibernética) -, estão os cidadãos comuns e as empresas, sofrendo as repercussões de uma ameaça invisível e em constante evolução, sem saber como se proteger efetivamente.

Neste artigo, iremos falar sobre…

O que é uma Guerra Cibernética?

Cyberwar, guerra cibernética, ou ciberguerra, pode ser definida como o uso de ataques cibernéticos (digitais) por um país ou nação para dissolver os sistemas de computadores de outro país ou nação, com o objetivo de gerar danos significativos e “comparáveis à guerra real”, conforme define P. W. Singer em seu livro “Cybersecurity and Cyberwar: What Everyone Needs to Know”.

Porém, existe ainda alguma controvérsia em torno do termo, pois alguns especialistas opinam que, até o momento, os danos resultantes da guerra cibernética jamais poderiam se comparar aos causados, por exemplo, pela guerra da Síria.

Por outro lado, há quem seja favorável ao rótulo “guerra cibernética”, uma vez que ataques cibernéticos causam danos físicos e psicológicos a pessoas e objetos no mundo real e podem desestruturar tão ou mais dramaticamente os alicerces de uma nação quanto um ataque “real”, isto é, a invasão literal de países.

Se formos julgar pelo seu potencial de devastação, de fato, os ataques cibernéticos são uma ameaça altamente destrutiva, silenciosa e, em alguns casos, dependendo de sua gravidade, irreversível. Mas vamos à história: como a cyberwar começou? Por que ganhou esse nome? Quais os seus desdobramentos?

E, sobretudo, por que você e a sua empresa podem estar no fogo cruzado?

O começo da Guerra Cibernética

As histórias sobre a guerra cibernética começaram não tem muito tempo, trazendo hipóteses assustadoras: e se hackers patrocinados pelo Estado organizassem ataques generalizados capazes de deixar uma cidade inteira no escuro? Ou de desestabilizar sistemas bancárias e congelar todos os caixas eletrônicos em um país? Ou de desligar empresas de transporte, refinarias e fábricas? Ou de paralisar aeroportos e hospitais?

Hoje, esses cenários não são mais hipotéticos: todos esses eventos já ocorreram.

Incidente catastrófico por incidente catastrófico, a guerra cibernética deixou as páginas das distopias para se tornar realidade. Mais do que isso, transformou-a: tem ficado claro que a ameaça de hackers vai muito além de um vandalismo incômodo, especulação criminosa ou até espionagem para provocar o tipo de perturbação no mundo físico que antes só era possível por meio de ataques militares e de terrorismo. Ainda que, até o momento, não haja casos claramente documentados de um ataque cibernético que cause diretamente a morte, um único ciberataque já causou até 10 bilhões de dólares em danos econômicos.

A guerra cibernética, portanto, tem sido usada para comprometer empresas de grande, médio e pequeno porte e, prejudicando-as, deixar governos inteiros temporariamente em um estado de coma.

Mas o mais perturbador é que a guerra cibernética está evoluindo constantemente em países como o Irã, a Coréia do Norte, a China, os EUA e a Rússia, tornando as ameaças excepcionalmente devastadoras.

A linha do tempo da Guerra Cibernética

  • 1969 | Dezembro – É fundado o DARPA (Defense Advanced Research Projects Agency), um ambiente online que conecta quatro das principais universidades dos EUA. Projetado para organizações de pesquisa, educação e governo, fornece uma rede de comunicações que liga o país inteiro no caso de um ataque militar destruir sistemas de comunicação convencionais.
  • 1982 | Junho – Depois de saber que a União Soviética planejava roubar software de uma empresa canadense para controlar seu oleoduto transiberiano, a CIA altera o software para causar a explosão do oleoduto. É considerado o primeiro ataque cibernético da história.
  • 1986 | Agosto – Ao longo de 10 meses, com início em agosto, Clifford Stoll, um pesquisador de Física da Universidade da Califórnia, em Berkeley, rastreia o hacker que invadiu os computadores do Lawrence Berkeley National Laboratory, uma instalação do Departamento de Energia dos EUA e computadores das forças armadas norte-americanas. Ele localizou o hacker na Alemanha. É a primeira investigação desse tipo a ocorrer no mundo.
  • 1988 | Novembro – Um worm encerra temporariamente cerca de 10% dos servidores de Internet ao redor do mundo. É a primeira ocorrência de algo do tipo. Robert Tappan Morris, um estudante da Universidade de Cornell, lançou o worm. Morris é a primeira pessoa julgada e condenada sob a lei de fraude e abuso cibernético.
  • 1994 | Março e Abril – Computadores do Centro de Desenvolvimento Aéreo de Roma, na Griffiss Air Force Base, em Nova York, são atacados 150 vezes por hackers anônimos, que usam um programa de “sniffer” para roubar credenciais de login e informações confidenciais do laboratório, que realiza pesquisas em sistemas de inteligência artificial, radares de sistemas de orientação e sistemas de detecção e rastreamento de alvos. Os hackers usam as informações de login para acessar os computadores de outras instalações militares e governamentais, incluindo o Goddard Space Flight Center da NASA e a Base da Força Aérea Wright-Patterson.
  • 1997 | Junho – A NSA realiza um teste, conhecido como “Receptor Elegível” (Eligible Receptor), para avaliar a vulnerabilidade de computadores governamentais e militares a um ataque cibernético. O exercício revela que os sistemas em todo o país podem ser invadidos e interrompidos com relativa facilidade usando computadores e softwares comerciais.

1998 | Fevereiro e Dezembro

    • Fevereiro – Analistas da equipe de emergência de computadores da Força Aérea em San Antonio, Texas, notam invasões em suas redes de computadores de várias instituições acadêmicas, incluindo Harvard. Os hackers, que eram três adolescentes, exploraram uma fraqueza no sistema operacional da rede. O evento é um alerta para o governo e levou o presidente Bill Clinton a desenvolver um plano de cibersegurança para o país.
    • Dezembro – O Departamento de Defesa dos Estados Unidos cria a Força-Tarefa Conjunta de Defesa de Redes de Computadores para defender as redes e sistemas do departamento “contra invasores e outros ataques”.
  • 2001 | Julho – Um worm chamado “Code Red” afeta redes de computadores que executam o sistema operacional Microsoft. Alguns sites, incluindo o site da Casa Branca, são desativados.
  • 2003 – Surge o Anonymous, grupo de hackers organizado que se referem a si mesmos como “ativistas da Internet” e atacam sites governamentais, corporativos e religiosos.
  • 2006 – A NASA começa a bloquear e-mails com anexos antes do lançamento de ônibus espaciais para impedir que hackers sabotem os planos de lançamento, obtendo acesso não autorizado à rede de computadores da agência.
  • 2007 | Abril e Maio – Os sites do governo da Estônia são invadidos por ataques de negação de serviço e ficam comprometidos por 22 dias. Acredita-se que os hackers sejam apoiados pelo governo russo. Os alvos incluem o gabinete do presidente, o Parlamento, as autoridades policiais e os dois maiores bancos da Estônia.

2008 | Julho e Outubro

    • Julho – Nas semanas que antecedem a guerra entre a Rússia e a Geórgia, a Geórgia é atingida por ataques de negação de serviço e muitas das redes de computadores do governo são desativadas, incluindo a do presidente Mikheil Saakashvili. As empresas de mídia e transporte também são afetadas. As autoridades da Geórgia acusaram a Rússia de lançar o ataque.
    • Outubro – As autoridades do Pentágono descobrem que um pen drive contendo um programa secreto inserido em um laptop em uma base no Oriente Médio. O programa coletou dados de uma rede classificada de computadores do Departamento de Defesa e os transferiu para computadores no exterior. Autoridades do governo dizem que o hack foi realizado por uma agência de inteligência estrangeira e chamou a invasão de “a violação mais significativa dos computadores militares dos EUA”.

2009 | Janeiro, Março e Dezembro

    • Janeiro – Os websites do governo de Israel são atacados durante o conflito com o Hamas na Faixa de Gaza. Os computadores do governo são bombardeados com até 15 milhões de e-mails indesejados por segundo, e os computadores ficam temporariamente paralisados. Israel suspeita que o Hamas financiou o hack.
    • Março – Pesquisadores canadenses do Munk Centre for International Studies da Universidade de Toronto anunciaram que hackers chineses haviam invadido quase 1.300 computadores em 103 países, incluindo os pertencentes a embaixadas, escritórios do governo e ao Dalai Lama, roubando documentos e outras informações.
    • Dezembro – As notícias dizem que insurgentes iraquianos invadiram feeds ao vivo enviados por drones dos EUA para oficiais militares no local.

2010 | Abril, Junho, Agosto, Novembro e Dezembro

    • Abril – Pesquisadores da Universidade de Toronto relatam que hackers invadiram o Ministério da Defesa da Índia e roubaram informações confidenciais sobre o sistema de segurança nacional do país. O relatório, que aponta a China como líder do ataque, também diz que os computadores das embaixadas de todo o mundo foram comprometidos.
    • Junho – Especialistas em segurança descobrem o Stuxnet, a primeira arma cibernética de nível militar do mundo que pode destruir oleodutos e causar explosões em usinas e fábricas de energia, além de manipular máquinas. É o primeiro worm que corrompe equipamentos industriais e também o primeiro worm a incluir um PCL (controlador lógico programável), software projetado para esconder sua existência e progresso.
    • Agosto – O Pentágono declara o ciberespaço como “novo domínio da guerra”.
    • Novembro – O presidente iraniano Mahmoud Ahmadinejad reconhece que o worm Stuxnet destruiu cerca de 1.000 das 6.0000 centrífugas do país em sua instalação nuclear em Natanz. Acredita-se que Israel e os EUA estejam por trás do ataque, na tentativa de retardar o progresso do Irã em obter armas nucleares.
    • Dezembro – O grupo Anonymous ataca várias empresas vistas como “inimigas” do WikiLeaks. A ação foi em resposta à prisão do fundador do WikiLeaks, Julian Assange.

2011 | Junho e Dezembro

    • Junho – Funcionários do Fundo Monetário Internacional relatam que, nos meses anteriores, o fundo havia sido atingido por “uma violação significativa” de seus sistemas de computadores. O FBI anunciou evidências ligando o governo chinês ao ataque.
    • Dezembro – O malware batizado de Mahdi, em homenagem ao Messias, no Islã, se infiltra em cerca de 800 computadores de funcionários do governo, funcionários da embaixada e outros empresários no Irã, Israel, Afeganistão, Emirados Árabes Unidos e África do Sul. O malware foi incorporado aos anexos de e-mail e os usuários que abriram os documentos estavam suscetíveis a ter seus e-mails e mensagens lidos por hackers.

2012 | Maio, Agosto, Setembro e Outubro

    • Maio – É descoberto o Flame, malware que ataca computadores usando o Microsoft Windows. Acredita-se que seu desenvolvimento tenha sido patrocinado pelo Estado. Um relatório, divulgado pelo CrySyS Lab, da Universidade de Budapeste, afirma que “sem dúvida é o malware mais complexo já encontrado”. O Flame é capaz de gravar conversas do Skype, áudios, atividade do teclado, tráfego de rede e capturas de tela. É espalhado por uma rede local ou pen drive. O Flame também possui um comando de eliminação, que deleta todos os seus vestígios do computador.
    • Agosto – Os hackers islâmicos se infiltram nas redes de computadores da Saudi Aramaco, uma empresa petrolífera da Arábia Saudita, e detonam com os discos rígidos de cerca de 30.000 computadores.
    • Setembro – Nove bancos nos EUA, incluindo o Bank of America, Wells Fargo e JP Morgan Chase, foram atingidos por um ataque de negação de serviço que impediu o acesso dos clientes aos sites dos bancos por vários dias. O grupo hacktivista islâmico Izz ad-Din Al-Qassam Cyber ​​Fighters (também chamados de Brigadas Al-Qassam) assume a responsabilidade pelo ataque. O grupo está ligado à ala militar do Hamas.
    • Outubro – o Secretário de Defesa dos EUA, Leon Panetta, alerta que os EUA devem se proteger contra um “cyber Pearl Harbor”.
  • 2013 | Agosto – O site do New York Times fica fora do ar por cerca de 20 horas após ser invadido, supostamente pelo Exército Eletrônico da Síria, um grupo de hackers que apoia o presidente sírio Bashar al-Assad. Os invasores acessaram o site por meio da Melbourne IT, o fornecedor que registra nomes de domínio.

2014 | Maio, Julho e Novembro

    • Maio – O Departamento de Justiça dos EUA denunciou uma acusação de cinco membros da Unidade 61398 do Exército de Libertação do Povo Chinês, acusando-os de invadir as redes de computadores da Westinghouse Electric, da US Steel Corp. e de outras empresas norte-americanas. A unidade 61398, com sede em Xangai, é a divisão cibernética do exército nacional da China.
    • Novembro – As redes de computadores da Sony Pictures são invadidas, com informações médicas pessoais sobre funcionários, informações financeiras, e-mails e milhares de outros documentos sendo levantados e divulgados pelos hackers. Os EUA suspeitam que a Coreia do Norte esteja por trás do ataque, em retaliação pelo lançamento da Sony de uma comédia bizarra chamada The Interview, sobre um plano da CIA para assassinar o líder norte-coreano Kim Jong-un. Em dezembro, o FBI acusou formalmente a Coreia do Norte de organizar o ataque, dizendo que tinha evidências significativas ligando o governo à emboscada.

2015 | Abril, Junho, Setembro e Dezembro

    • Abril – As autoridades dos EUA anunciam que os hackers russos obtiveram acesso aos e-mails da Casa Branca e do Departamento de Estado em 2014. Os e-mails não foram classificados, mas provavelmente continham informações confidenciais. Os hackers invadiram os arquivos de e-mail das autoridades da Casa Branca e do Departamento de Estado que correspondem ao presidente Barack Obama.
    • Junho – A Casa Branca anuncia que os números do Seguro Social e outras informações de identificação pessoal de cerca de 4 milhões de funcionários atuais e antigos do governo foram violados. O governo acredita que o hack tenha sido originado na China.
    • Setembro – hackers russos começaram a desencadear uma série de ataques de malwares de exclusão contra a Ucrânia. Eles têm, como alvo, a mídia e a infraestrutura ucranianas, incluindo a ferrovia nacional e o aeroporto de Kiev, paralisando centenas de computadores nas redes desses alvos.
    • Dezembro – hackers russos atacam três concessionárias regionais de energia ucranianas, deixando cerca de 225.000 civis sem luz – o primeiro apagão da história a ser causado por um ataque cibernético.
  • 2016 | Dezembro – Hackers russos voltam a causar um blecaute na Ucrânia, desta vez em Kiev, capital do país. O blecaute dura uma hora.
  • 2017 | Junho – No final de junho de 2017, hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya. O NotPetya ficou conhecido como o ciberataque mais devastador da história, causando um prejuízo estimado de 10 bilhões de dólares ao redor do mundo e atingindo diversos países, que vão da Ucrânia ao Estados Unidos.

2019 | Junho, Agosto, Setembro e Dezembro

    • Junho – Serviços de inteligência chineses invadiram o sistema da Universidade Australiana para coletar dados que poderiam ser usados para fazer dos estudantes informantes antes de eles serem contratados pelo serviço público. O Irã anunciou que expôs e ajudou a desmantelar uma suposta rede de espionagem cibernética apoiada pela CIA em vários países. Foi descoberto que, ao longo de sete anos, um grupo de espionagem chinês invadiu dez operadoras telefônicas que operavam em trinta países para rastrear dissidentes, funcionários e suspeitos de espionagem.
    • Agosto – Um grupo indiano, suspeito de espionagem, realizou uma campanha de phishing mirando agências do governo chinês e empresas estatais para obter informações relacionadas ao comércio econômico, à defesa nacional e às relações externas da China.
    • Setembro – Hackers iranianos atacaram mais de 60 universidades ao redor do mundo, incluindo dos EUA, Austrália, Reino Unido, Canadá, Hong Kong e Suíça, na tentativa de roubar propriedade intelectual.
    • Dezembro – Hackers desconhecidos roubaram credenciais de login de agências governamentais em 22 países da América do Norte, Europa e Ásia.

2020 | Janeiro, Março e Abril

    • Janeiro – A multinacional Mitsubishi anuncia que um grupo de hackers chineses mirava a empresa como parte de um ataque cibernético maciço que comprometia dados pessoais de 8.000 indivíduos, além de informações relacionadas a empresas parceiras e agências governamentais, incluindo projetos relacionados a equipamentos de defesa.
    • Março – A empresa chinesa de cibersegurança Qihoo 360 acusou a CIA de usar hackers em uma campanha que já vem durando 11 anos contra alvos da indústria chinesa, organizações de pesquisa científica e agências governamentais.
    • Abril – Hackers alegadamente apoiados pelo governo iraniano tentaram invadir as contas dos funcionários da OMS em meio à pandemia do COVID-19.

A fantasia e a realidade de uma guerra invisível

o que é real em uma guerra cibernética

A ideia de uma guerra cibernética populada por robôs, ao melhor estilo Exterminador do Futuro, deu lugar, nos anos 90, a uma que focava nos computadores e na internet, que vinham transformando cada vez mais a vida humana e tornando-a, gradativamente, dependente da tecnologia.

Isto é, se antes o medo girava em torno de uma máquina que se assemelha – e supera – os humanos, não tardou muito a que ele desse lugar ao medo do que o homem poderia fazer por trás de uma máquina.

“Cyberwar Is Coming!”, um artigo de 1993 escrito por dois analistas do laboratório RAND, descreve como hackers militares logo seriam usados não apenas para reconhecimento e espionagem de sistemas inimigos, mas também para ataques planejados, cujo objetivo seria interromper as atividades dos computadores que um inimigo usa para comando e controle.

Alguns anos depois, porém, os analistas do RAND perceberam que hackers militares não necessariamente limitariam seus ataques disruptivos a computadores militares. Eles poderiam atacar, com facilidade, todos elementos computadorizados e automatizados da infraestrutura do inimigo, com consequências potencialmente desastrosas para os civis.

Em um mundo que evoluía tendo os computadores como cerne, isso significaria o comprometimento de sistemas de transporte, bolsas de valores, companhias aéreas e até mesmo a rede elétrica que sustentava todos desses sistemas vitais.

Como sabemos hoje, eles não estavam longe da verdade.

Conforme a guerra cibernética se desenvolvia, ficou claro que hackear não precisava se limitar a táticas periféricas de guerra: os ataques cibernéticos poderiam ser eles mesmos uma arma.

Talvez tenha sido essa definição de guerra cibernética que o presidente Bill Clinton tinha em mente em 2001 quando alertou, em um discurso, que “ hoje, nossos sistemas críticos, desde estruturas de energia até controle de tráfego aéreo, estão conectadas e operam por computadores” e que alguém poderia, por trás de outro computador, hackeá-lo, entrar num sistema e potencialmente paralisar uma empresa, uma cidade, ou um governo inteiro.

Essa definição de guerra cibernética se tornou mais clara no livro “Cyber War”, de 2010, co-escrito por Richard A. Clarke, consultor de segurança nacional dos presidentes Bush e Clinton, e Robert Knake, que, posteriormente, seria o consultor de segurança cibernética do presidente Obama.

No livro, Clarke e Knake definem a guerra cibernética como “ações de um estado-nação para penetrar nos computadores ou redes de outro estado-nação com o objetivo de causar danos ou perturbações.”

Em termos mais simples, essa definição abrange aproximadamente as mesmas coisas que identificamos como “atos de guerra”, mas agora realizada por meios digitais. Porém, como o mundo veio a aprender enquanto Clarke e Knake escreviam essa definição, os ataques digitais tinham potencial de ir além de “meros computadores” para terem consequências reais e, como muitos temiam, físicas.

Guerra Cibernética: do mundo digital ao mundo físico

A concepção mundial de guerra cibernética mudou de vez em 2010.

Tudo começou quando a VirusBlokAda, uma empresa de segurança da Bielorrússia, encontrou um misterioso código de malware que causava um “crash” – ou falha de sistema – nos computadores que executavam seu antivírus.

Em setembro daquele ano, pesquisadores de segurança cibernética chegaram à chocante conclusão de que o espécime de malware, apelidado de Stuxnet, era o código mais sofisticado já criado para um ataque cibernético e que fora projetado especificamente para destruir as centrífugas usadas nas instalações de enriquecimento nuclear do Irã.

Cerca de dois anos depois, o The New York Times confirmou que o Stuxnet era uma criação da NSA e da inteligência israelense, com o objetivo de impedir as tentativas do Irã de construir uma bomba nuclear.

Ao longo de 2009 e 2010, o Stuxnet destruiu mais de mil das centrífugas de alumínio de aproximadamente dois metros de altura da instalação de enriquecimento nuclear subterrâneo do Irã, em Natanz, provocando caos e confusão. Depois de se espalhar pela rede iraniana, ele injetou comandos nos chamados controladores lógicos programáveis, ou PLCs (programmable logic controllers), responsáveis pelo funcionamento das centrífugas, fazendo com que elas acelerassem, ou ou manipulando a pressão dentro delas, até que quebrassem “sozinhas”.

O Stuxnet seria reconhecido como o primeiro ataque cibernético já projetado para danificar diretamente equipamentos físicos, e um ato de guerra cibernética que ainda não foi replicado em seus efeitos destrutivos.

Seria também o estopim de uma subsequente corrida global por armas cibernéticas.

A corrida armamentista da guerra cibernética

O Irã foi um dos primeiros a entrar nessa corrida, desta vez como agressor, não como alvo.

Em agosto de 2012, a empresa Saudi Aramco, da Arábia Saudita, uma das maiores produtoras de petróleo do mundo, foi atingida por um malware conhecido como Shamoon, que limpou 35.000 computadores da empresa – cerca de três quartos de sua força computacional – deixando suas operações essencialmente paralisadas. Nas telas das máquinas danificadas, algo digno de cinema: o malware deixou uma imagem de uma bandeira americana em chamas.

Um grupo autodenominado Cutting Sword of Justice reivindicou o crédito pelo ataque como uma declaração ativista, mas os analistas de segurança cibernética rapidamente suspeitaram que o Irã era o responsável final e usaram os sauditas como um alvo em retaliação ao Stuxnet.

No mês seguinte, hackers iranianos, que se autodenominavam Operação Ababil, atingiram todos os principais bancos dos EUA, desativando seus sites com rajadas de ataques apoiados em DDoS. Novamente, os analistas de segurança cibernética identificaram a mão do governo iraniano na sofisticação do ataque, apesar da fachada “hacktivista”.

Até que, pouco mais de um ano depois, em fevereiro de 2014, hackers iranianos lançaram outro ataque direcionado ao solo americano: após comentários públicos do bilionário sionista Sheldon Adelson, sugerindo que os EUA usassem uma arma nuclear no Irã, hackers atacaram o cassino Las Vegas Sands, de Adelson, usando um malware destrutivo para derrubar milhares de computadores, como ocorrera em Saudi Aramco.

Mas, em 2014, o Irã não era mais o único país a explorar o potencial de ataques cibernéticos em todo o mundo.

A Coréia do Norte também se preparava para entrar com tudo na guerra cibernética. Depois de anos organizando ataques DDoS punitivos contra seu adversário favorito, a Coréia do Sul, hackers norte-coreanos arquitetaram uma operação mais ousada: em dezembro de 2014, eles revelaram que haviam penetrado profundamente na rede da Sony Pictures pouco antes do lançamento de The Interview, um filme de baixo custo de comédia sobre uma trama de assassinato contra o ditador norte-coreano Kim Jong-un.

O caso repercutiu ao redor do mundo à época.

Os hackers norte-coreanos, que se autodenominavam Guardiões da Paz, roubaram e vazaram resmas de e-mails, além de vários filmes ainda não lançados. Eles terminaram o ataque limpando milhares de computadores da corporação e, seguindo o exemplo dos iranianos, deixaram uma imagem ameaçadora nos computadores apagados, que mostrava um esqueleto juntamente com uma mensagem de extorsão: eles exigiram dinheiro e que o lançamento de The Interview fosse cancelado.

Apesar desse crime cibernético, o FBI nomeou publicamente o governo norte-coreano como o autor do ataque, baseado em parte em uma falha que revelou um endereço de IP chinês conhecido por ser usado por hackers norte-coreanos.

E a lista de potências mundiais entrando na briga da guerra cibernética crescia.

De lá pra cá…

Apesar desse casos envolvendo o Irã e a Coréia do Norte, e de sua dimensão, a guerra cibernética em meados de 2014 foi limitada a incidentes isolados.

Contudo, nesse mesmo ano a Ucrânia passava pela revolução que culminaria em uma invasão por parte da Rússia e estruturaria os alicerces para a primeira guerra oficialmente cibernética do mundo.

Em meados de setembro de 2015, depois de as tropas russas anexarem a península ucraniana da Crimeia e atravessarem a fronteira oriental da Ucrânia a fim de impulsionar um movimento separatista pró-russo na região de Donbas, hackers russos começaram a desencadear uma série de ataques de malwares de exclusão contra o país. Eles tinham, como alvo, a mídia e a infraestrutura ucranianas, incluindo a ferrovia nacional e o aeroporto de Kiev, paralisando centenas de computadores nas redes dessas vítimas.

Mas se por um lado, embora preocupante, esse tipo de ataque não representava uma novidade no histórico da guerra cibernética, por outro, um dia antes do Natal, os hackers russos realizaram um feito sem precedentes: atacaram três concessionárias regionais de energia ucranianas, deixando cerca de 225.000 civis sem luz – o primeiro apagão da história a ser causado por um ataque cibernético.

A interrupção durou apenas seis horas, mas enviou uma mensagem poderosa à população ucraniana sobre sua vulnerabilidade a ataques remotos – e ao mundo sobre a ameaça cibernética em evolução na Rússia.

À medida que a guerra da Ucrânia avançava, os hackers russos lançaram outra série de ataques no final de 2016, muito mais amplos e ousados do que no ano anterior. Eles atingiram o fundo de pensão do país, o tesouro nacional, a autoridade portuária e os ministérios de infraestrutura, defesa e finanças – excluindo terabytes de dados que incluíam o orçamento do próximo ano.

Eles também atingiram a companhia ferroviária da Ucrânia, desativando seu sistema de reservas online por dias durante o pico da temporada de viagens de férias.

Então, uma semana antes do Natal de 2016, os hackers desencadearam outro apagão, desta vez na capital do país, Kiev. O ciberataque derrubou apenas uma fração da energia da cidade por uma hora, mas atingiu uma estação de transmissão em vez de subestações de distribuição, como os hackers haviam feito no ano anterior – direcionamento que poderia ter causado um apagão mais generalizado.

Este segundo blecaute também se aproveitou uma arma nova e ainda mais nociva, que os pesquisadores denominaram de Industroyer ou Crash Override. O malware, feito sob medida, foi projetado para enviar comandos de disparo rápido diretamente para disjuntores em um “utilitário” vítima, automatizando o processo de interrupção de energia e ampliando-o para que ele pudesse, no futuro, ser usado simultaneamente em várias instalações.

Esse malware russo foi o primeiro espécime de código encontrado por aí, desde o Stuxnet, que mirava diretamente equipamentos físico, ou endpoints. A ferramenta apresentava uma estrutura modular que permitiria uma fácil adaptação a outros alvos na Europa Ocidental ou nos EUA – sinal de que os hackers da Rússia estavam procurando não apenas infligir mais perturbações e terror aos ucranianos, mas também experimentando técnicas que poderiam facilmente ser replicadas em outros lugares.

O pior de tudo é que, na verdade, todos esses ataques foram apenas um prelúdio para o principal evento da guerra cibernética contra a Ucrânia: o NotPetya.

NotPetya: o ciberataque mais devastador da história (até agora)

No final de junho de 2017, hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya.

Combinando o EternalBlue, um programa de hackers da NSA, e a ferramenta de roubo de senha Mimikatz em um worm automatizado, o NotPetya se espalhou quase que instantaneamente para cerca de 10% de todos os computadores na Ucrânia, criptografando seu conteúdo com uma carga destrutiva disfarçada para parecer um ransomware – ataque caracterizado pelo “sequestro” de informações de um computador -, mas sem nenhum mecanismo para descriptografar os arquivos depois que a vítima pagasse um resgate.

O nome NotPetya se deu porque o malware parecia, a princípio, ser uma versão do antigo ransomware Petya, usado por criminosos cibernéticos para ataques de ransomware, mas não era. Na Ucrânia, ele fechou bancos, caixas eletrônicos e sistemas de ponto de venda, paralisando quase todos as agências governamentais do país e incapacitando a infraestrutura nacional, como aeroportos e ferrovias, além de hospitais, correios e até a operação de monitoramento dos níveis de radioatividade nas ruínas da usina nuclear de Chernobyl.

Mas a virulência do NotPetya não se limitou às fronteiras da Ucrânia. Também atingiu a A.P. Møller-Maersk, a maior empresa de transporte marítimo do mundo; a empresa farmacêutica norte-americana Merck; a subsidiária europeia da FedEx, TNT Express; a empresa de construção francesa Saint-Gobain; a produtora de alimentos Mondelez; e a fabricante Reckitt Benckiser.

Em cada um desses casos, saturou redes, apagando milhares de computadores e causando um prejuízo centenas de milhões de dólares em negócios perdidos e custos de cibersegurança. Além disso, o NotPetya também atingiu pelo menos dois hospitais dos EUA e fechou a empresa de software de transcrição Nuance, que fornecia serviços de transcrição de registros médicos para mais de cem hospitais e clínicas.

Aliás, o NotPetya chegou a se espalhar pela própria Rússia, causando danos colaterais adicionais a vítimas como a empresa estatal de petróleo Rosneft, a siderúrgica Evraz, a empresa de tecnologia médica Invitro e o Sberbank.

Ao todo, uma estimativa da Casa Branca mais tarde colocaria o custo do NotPetya em 10 bilhões de dólares, pelo menos, embora a extensão total de seus danos talvez nunca seja conhecida.

Da guerra cibernética ao cibercrime: quando os ciberataques viram uma ameaça generalizada

Mas qual a relação entre esses ataques dignos de filmes de conspiração e o seu celular ou computador? Como a gente sai de uma usina no Irã para uma um risco à rede de pequenas empresas aqui no Brasil?

Parece uma curva muito acentuada, mas não.

Governos e agências de inteligência ao redor do mundo temem que ataques digitais contra infraestrutura vital, como sistemas bancários ou redes elétricas, forneçam aos agressores uma maneira de contornar as defesas tradicionais de um país. Afinal, diferentemente dos ataques militares padrão, um ataque cibernético pode ser iniciado instantaneamente a qualquer distância, com poucas evidências óbvias, e muitas vezes é extremamente difícil rastrear esse ataque de volta aos seus operadores.

A questão é que as economias modernas, sustentadas por redes de computadores que abrangem tudo, desde saneamento básico até distribuição de alimentos e comunicação, são particularmente vulneráveis a esses ataques, especialmente porque esses sistemas são principalmente mal projetados e pouco protegidos.

O chefe da Agência de Segurança Nacional dos EUA (NSA), almirante Michael Rogers, diz que o pior cenário de ataque cibernético envolveria “ataques destrutivos”, focados em alguns aspectos da infraestrutura crítica dos EUA e acoplados à manipulação de dados “em grande escala”. Isto é, ele não seria dramático a ponto de mirar em uma usina de energia, e sim gradativo e paciente, violando dados e derrubando as empresas aos poucos, até chegar ao ponto de os prejuízos se tornarem irreversíveis.

Afinal, atacar uma rede de telecomunicação ou embaralhar registros bancários poderia facilmente causar danos severos a qualquer país. E alguns especialistas alertam que é um caso de quando, não de se.

Mas, para além da motivação política, existe um elo que coloca a guerra cibernética e o cibercrime não como primos relativamente próximos, com interesses em comum, mas sim como irmãos e, sobretudo, aliados.

Isso porque uma das principais características da guerra cibernética é a contratação, por parte dos governos, de hackers para espionagem ataques internacionais. Esses hackers, na maioria das vezes, são criminosos, oriundos de diferentes países.

Logo, sob a premissa da guerra cibernética, um mercado de trabalho do crime cibernético se forma, evolui e ganha vida própria. O conhecimento a respeito do modus operandi dos cibercriminosos se espalha e as empresas passam a ser alvos, independentemente das motivações políticas.

Logo, mesmo que os ataques de hackers individuais, ou mesmo de grupos de hackers, normalmente não sejam considerados guerra cibernética, per se, a menos que estivessem sendo auxiliados e dirigidos por um Estado, eles podem ser considerados frutos da guerra cibernética.

Da mesma forma, o uso de hackers para espionar ou mesmo roubar dados não seria considerado um ato de guerra cibernética isoladamente, mas poderia ser uma das ferramentas utilizadas, que, como já bem sabemos, tem se espalhado para além dos limites de um conflito digital entre nações.

As diferenças entre guerra cibernética e cibercrime

as diferenças entre guerra cibernética e ataque cibernético

Isso posto, qual é a diferença entre um crime cibernético e a guerra cibernética?

Existem diferentes elementos em um ciberataque que nos ajudam a entender essas nuances: os alvos, os autores das ameaças por trás do ataque, bem como as ferramentas usadas.

Mas, acima de tudo, um dos aspectos mais importantes, algo que impulsiona todos os outros aspectos, é a intenção.

A diferença nas intenções é importante porque define a ameaça em si. Existem muitos relatórios sobre diferentes tipos de organizações sendo vitimadas com sucesso por ataques direcionados, e essa realidade se tornou esmagadora ao ponto de obscurecer nossa visão quanto aos diferentes tipos de ameaça com os quais estamos lidando e a importância de se desenvolver uma cultura de cibersegurança de proteção de dados como aspecto mandatório para sobreviver no século XXI.

E, embora o conhecimento da intenção possa não nos ajudar a interromper um ataque, ele pode nos permitir avaliar os alvos em potencial, a dimensão do impacto, os objetivos dos cibercriminosos por trás dos ataques e prever, ainda que minimamente, suas repercussões.

Por exemplo, quando um cibercriminoso do país A realiza um ataque direcionado contra várias empresas do país B, isso conta como guerra cibernética ou crime cibernético? A resposta depende da intenção.

A guerra cibernética, refere-se a ataques de motivação política que podem destruir dados ou até causar danos físicos à infraestrutura de um país específico. Portanto, no exemplo acima, se o objetivo do ataque é destruir os dados das empresas ou sua infraestrutura com uma intenção política, isso pode ser considerado um ato de guerra cibernética.

No entanto, se o ataque for realizado para roubar informações das empresas com uma intenção financeira pura, deve ser considerado uma forma de crime cibernético. A maioria dos esquemas de cibercrime que vimos no passado visava afetar o maior número possível de usuários, mas os cibercriminosos encontraram um alvo maior e melhor nas empresas.

A questão é que precisamos encarar os dois fatores como complementares, e não como excludentes. Uma guerra que se desdobra entre Rússia e Ucrânia até poderia passar batida no Brasil em tempos primordiais, mas hoje, que vivemos em mundo predominantemente digital e sem fronteiras, é praticamente impossível sair incólume de uma guerra cibernética.

É claro que, embora os objetivos finais sejam diferentes, há uma clara sobreposição entre os dois, que é a coleta de informações. Por exemplo, obter informações internas para ganhar dinheiro é o objetivo do crime cibernético, mas em termos de guerra cibernética, o mesmo esquema pode ser apenas parte do reconhecimento de uma operação maior. Portanto, se olharmos para ele, o ataque direcionado em si é simplesmente uma ferramenta para atingir a intenção. As estruturas, técnicas e ferramentas usadas podem ser as mesmas, mas o final pode ser completamente diferente.

Isso significa que, no fim das contas, mesmo que uma empresa – qualquer empresa – não seja alvo de um ataque movido pela guerra cibernética, ela pode – e a cada minuto que passa, essa probabilidade aumenta -, em algum momento, se descobrir no meio do fogo cruzado.

As grandes ameaças de segurança às empresas

Assim como a ideia de uma guerra cibernética só parecia possível em ficção científica alguns anos atrás, uma violação que comprometesse os dados de milhões de pessoas já foi o tipo de notícia de parar o mundo. Agora, porém, violações que afetam centenas de milhões ou até mesmo bilhões de pessoas são muito comuns.

Cerca de 4 bilhões de pessoas já viram seus dados pessoais serem roubados ao longo de algumas das maiores violações deste século. Isso é quase metade da população mundial atual.

Mas mais do que comprometer sua privacidade, as violações são uma preocupante ameaça econômica.

O custo médio global de uma violação de dados é de 3,92 milhões de dólares, de acordo com o 2019 Cost of a Data Breach Report da IBM – um aumento de 1,5% em relação ao estudo de 2018. Entre 2014 e 2019, o aumento do número gastos com prevenção ou retaliação de ataques foi de 12%, um crescimento vertiginoso em cinco anos, que parece que vai ganhar ainda mais força até meados de 2025.

Isso porque, em uma era de contínua transformação digital, os ataques cibernéticos rapidamente se tornaram a atividade criminosa que mais cresce atualmente, com uma expectativa de custar 5,2 trilhões de dólares às empresas em todo o mundo dentro dos próximos cinco anos.

Até lá, as consequências dos ataques cibernéticos continuam seguem evoluindo, com os incidentes agora custando às empresas de todos os tamanhos 200 mil dólares, em média, e encerrando as atividades de pelo menos 60% das empresas menores, seis meses após elas serem vítimas de um ciberataque.

Não se trata mais de uma guerra aos titãs. Qualquer um pode ser vítima de um ataque, a qualquer momento – inclusive empresas de pequeno porte.

A frequência com que esses ataques estão ocorrendo também está aumentando, com mais da metade de todas as pequenas empresas sofrendo uma violação, em 2018, e 4 em cada 10 sofrendo vários incidentes ao longo dos anos.

Por outro lado, de acordo com o 2019 SMB Cyberthreat Study, da Keeper Security, 66% dos executivos de pequenas empresas ainda acreditam que é improvável que sejam alvos de criminosos online. E, igualmente, 6 em cada 10 não têm nenhum plano de cibersegurança em vigor, caso sejam vítimas.

Prevenir é melhor do que remediar

Como as ameaças cibernéticas tendem a levar alguns meses até serem detectadas pelos operadores, os danos a uma organização podem se acumular rapidamente, se não houver planos de prevenção de contenção.

Um exemplo de prejuízo significativo a pequenas empresas é a Volunteer Voyages, organizadora de viagens de ajuda humanitária, que teve 14 mil dólares comprometidos por cobranças fraudulentas após um criminoso online roubar suas informações de cartão de débito, que o banco se recusou a reembolsar.

Ou ainda startup americana de delivery de comida DoorDash, que sofreu uma grande violação de dados em setembro passado, com hackers acessando dados confidenciais de mais de 4,9 milhões de clientes, resultando em dezenas de milhares em despesas.

E temos também a Miracle Systems, que fornece serviços de TI e engenharia a mais de 20 agências federais, e que sofreu, recentemente, perdas de 500 mil a 1 milhão de dólares devido a uma violação interna do servidor.

Considere que remediar um ataque implica em uma série de despesas adicionais, como conformidade regulamentar, honorários advocatícios, investigações técnicas e perda de receita e relacionamentos com clientes, além de custos auxiliares associados a ataques cibernéticos, que podem ser agravados rapidamente para grandes empresas e absolutamente fatais para as pequenas.

E, ironicamente, mesmo diante disso tudo e com 480 novas ameaças de alta tecnologia introduzidas a cada minuto, de acordo com a fornecedora de antivírus McAfee, o fator humano continua sendo uma das maiores ameaças ao bem-estar das organizações.

Com apenas 3 em cada 10 funcionários recebendo, atualmente, treinamento anual sobre segurança cibernética nas empresas, é muito fácil para os cibercriminosos contornarem as proteções digitais mais avançadas.

O fator humano e o fator desumano: quanto uma violação de dados pode custar às empresas

O 2019 Cost of a Data Breach Report, da IBM, é um dos principais estudos sobre prejuízos e danos econômicos causados a empresas resultantes da violação de dados. Além disso, o estudo apresenta comparativos que nos mostram que o fantasma do ciberataque é um que pretende assombrar por bastante tempo.

Apenas a fins de curiosidade, o país mais caro, em termos de custo total médio de uma violação de dados, é os EUA, com 8,19 milhões de dólares, mais do que o dobro da média global. No Brasil, o custo médio é de 1,4 milhões de dólares (cerca de 7 milhões de dólares, atualmente).

O estudo também descobriu características de violações de dados, mostrando o quão difícil é para as organizações se recuperarem de violações. Em 2019, registrou-se que o tempo que as organizações levam para identificar e conter uma violação – o que chamamos de ciclo de vida da violação de dados – é de 279 dias. O ciclo de vida de 2019 é 4,9% maior que a média de 266 dias em 2018.

Além disso, descobriu-se que quanto maior o ciclo de vida de uma violação, maior o custo total. Isso é especialmente verdade no caso de ataques maliciosos e criminais, que levam em média 314 dias para serem identificados e contidos.

Ataques maliciosos e criminais (cibercrime) são a principal causa principal de violações de dados em 2019, correspondendo a 51% do total de ataques. As outras duas categorias de causas principais são: falhas no sistema – violações causadas por falhas tecnológicas não atribuíveis a um ser humano, como uma vulnerabilidade – e erro humano – violações causadas por negligência ou erro de uma pessoa.

As falhas do sistema causaram 25% das violações de dados em 2019 e o erro humano é a raiz de 24% das violações. Isso indica que, embora muita atenção no mundo da segurança seja dedicada a ataques maliciosos, vale a pena notar que violações causadas por falhas no sistema e erros humanos podem ter consequências igualmente graves.

No entanto, como mencionado, as violações atribuídas a ataques maliciosos tendem a demorar mais para serem identificadas e contidas, potencialmente tornando-as mais caras do que outras violações.

A pesquisa descobriu, ainda, que o custo de uma violação com um ciclo de vida superior a 200 dias é 1,2 milhão de dólares maior do que uma violação com um ciclo de vida inferior a 200 dias.

Para se ter uma dimensão desses prejuízos, preparamos uma lista com alguns dos maiores “cases de insucesso” de violação de dados ao redor do mundo.

Cases de insucesso: os 6 maiores prejuízos causados por violação de dados

Na prática, uma violação de dados pode prejudicar irremediavelmente a saúde de um negócio. Afinal, muito mais do que incorrer em gastos significativos e, muitas vezes, inesperados, um data breach pode manchar a reputação de uma empresa de tal forma que mancha a confiança de seus clientes, por mais que eles entendam que a culpa não é, necessariamente, da empresa.

Porém, a responsabilidade é. Nos cases a seguir, trazemos algumas das principais violações de dados a corporações e como cada empresa lidou com o desafio.

Adobe

Data: outubro de 2013

Impacto: 153 milhões de registros de usuários

Conforme anunciado no início de outubro de 2013, a desenvolvedora de softwares Adobe relatou, originalmente, que hackers haviam roubado quase 3 milhões de registros criptografados de cartões de crédito de clientes, além de dados de login para um número indeterminado de contas de usuário.

Porém, no final daquele mês, a Adobe elevou essa estimativa e incluiu IDs e senhas criptografadas de 38 milhões de “usuários ativos”. Além disso, alega-se que um arquivo publicado poucos dias antes parecia incluir mais de 150 milhões de nome de usuário e pares de senhas extraídos da Adobe.

Semanas de pesquisa acabaram revelando que o hacker também teve acesso – e expôs – nomes de clientes, informações de login e informações de cartão de débito e crédito.

Um contrato em agosto de 2015 exigia que a Adobe pagasse 1,1 milhão de dólares em honorários legais e uma quantia não revelada aos usuários para resolver reivindicações de por violação à Lei de Registros do Cliente e práticas comerciais desleais. Em novembro de 2016, o valor pago aos clientes foi relatado em 1 milhão de dólares.

Adult Friend Finder

Data: outubro de 2016

Impacto: 412,2 milhões de contas

Essa violação foi particularmente sensível para os titulares das contas devido aos serviços oferecidos pelo site. A rede FriendFinder, que incluía sites de conteúdo casual e conteúdo adulto, como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.com, foi violada em meados de outubro de 2016.

Os dados roubados correspondiam a 20 anos de uso dos sites e seis bancos de dados, e incluía nomes, endereços de email e senhas.

O algoritmo SHA-1 (função de dispersão criptográfica, ou função hash criptográfica) protegia a maioria dessas senhas. Estima-se que 99% desses algoritmos haviam sido quebrados quando o LeakedSource.com publicou sua análise dos dados em 14 de novembro de 2016.

São mais de 412 milhões de dados comprometidos, com repercussões legais ainda em desdobramento.

eBay

Data: maio de 2014

Impacto: 145 milhões de usuários

O eBay informou que um ataque expôs toda a sua lista de 145 milhões de usuários em maio de 2014, incluindo nomes, endereços, datas de nascimento e senhas criptografadas. A gigante dos leilões online disse que os hackers usaram as credenciais de três funcionários corporativos para acessar sua rede e tiveram acesso completo por 229 dias – tempo mais do que suficiente para comprometer o banco de dados dos usuários.

Como medida de contenção, a empresa pediu aos clientes que mudassem suas senhas. Informações financeiras, como números de cartão de crédito, eram armazenadas separadamente e não foram comprometidas.

A empresa foi criticada na época por falta de comunicação com seus usuários e má implementação do processo de renovação de senha. Porém, como os dados mais sensíveis não foram vazados, a retaliação foi menor.

MySpace

Data: 2013

Impacto: 360 milhões de contas

Embora tenha deixado de ser a potência que era antes, o site de mídia social MySpace chegou às manchetes em 2016 depois que 360 milhões de contas de usuários foram vazadas para o LeakedSource (um banco de dados pesquisável de contas roubadas) e colocado à venda no dark web com um preço inicial de 6 bitcoins (cerca de 3 mil dólares na época).

De acordo com a empresa, os dados perdidos incluíam endereços de email, senhas e nomes de usuários para “uma parte das contas criadas antes de 11 de junho de 2013, na antiga plataforma do Myspace”.

Embora tenha sido um dos maiores casos de vazamento de dados já registrados, não teve repercussões legais significativas ou que incorressem em grandes somas de dinheiro, como em outros desta lista.

LinkedIn

Data: 2012 e 2016

Impacto: 165 milhões de contas de usuário

Sendo a principal rede social para profissionais, o LinkedIn é uma proposta atraente para invasores que desejam realizar ataques de engenharia social. Em 2012 e 2016, isso fez com que a empresa também fosse vítima de vazamento de dados de usuários.

Em 2012, a empresa anunciou que 6,5 milhões de senhas não associadas (hashes SHA-1) foram roubadas por cibercriminosos e postadas em um fórum de hackers russo. No entanto, só em 2016 que toda a extensão do incidente foi revelada.

O mesmo hacker que vendia os dados de usuários do MySpace estava oferecendo os endereços de e-mail e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins (cerca de 2 mil dólares na época).

O LinkedIn reconheceu que havia sido informado da violação e disse que havia redefinido as senhas das contas afetadas.

Uber

Data: 2016

Impacto: 57 milhões de contas

Em novembro de 2016, hackers obtiveram credenciais para acessar os servidores na nuvem do app da Uber e baixaram 16 arquivos com os registros de 57 milhões de usuários – entre passageiros e motoristas – do aplicativo em todo o mundo.

Os registros incluíam os nomes completos dos passageiros, números de telefone, endereços de e-mail e dados de viagens, bem como o pagamento semanal dos motoristas, resumos de viagens e, em um pequeno número de casos, os números da carteira dos motorista.

Mais recentemente, em 2018, o Uber foi sentenciado a pagar centenas de milhões de dólares às autoridades dos EUA e de outros países em função do acobertamento da empresa à violação de dados.

Isso porque, em vez de relatar os dados roubados, conforme exigido por lei, a Uber pagou aos hackers 100 mil dólares foi no final de 2016, para que não utilizassem os dados.

O diretor jurídico da Uber, Tony West – que ingressou na empresa no momento em que o caso de hackers foi divulgado – disse que pagar o acordo fazia parte do foco da Uber em “assumir a responsabilidade por erros do passado, aprender com eles e seguir em frente”.

Porém, a iniciativa não deu muito certo, e agora a empresa deve arcar com os montantes de multas nos principais países cujos usuários do app foram prejudicados.

Yahoo

Data: 2013 e 2014

Impacto: 3 bilhões de contas

O Yahoo, gigante da internet, anunciou em setembro de 2016 que dois anos antes, em 2014, havia sido vítima do que seria a maior violação de dados da história. Os hackers, que a empresa acreditava serem “atores patrocinados pelo Estado”, comprometeram os nomes, endereços de email, datas de nascimento e números de telefone de 500 milhões de usuários da plataforma.

Porém, o Yahoo alegou que a maioria das senhas comprometidas contava com criptografia, o que amenizaria os danos.

Então, em dezembro de 2016, o Yahoo divulgou outra violação que vinha ocorrendo a partir de 2013 por um invasor diferente, que comprometia os nomes, datas de nascimento, endereços de email, senhas e perguntas e respostas de segurança de 1 bilhão de usuários.

Em outubro de 2017, o Yahoo revisou a estimativa para incluir todas as suas 3 bilhões de contas de usuário.

O momento do anúncio de violação original acabou sendo um prejuízo à parte, pois o Yahoo estava sendo adquirido pela Verizon, que pagou, inicialmente, 4,48 bilhões de dólares pela empresa. Mas, após divulgação do caso, as violações acabaram por resultar numa redução de cerca de 350 milhões de dólares do valor de mercado do Yahoo.

Mas e no Brasil? Isso também acontece?

o brasil e as guerras cibernéticas

Embora boa parte dos casos girem em torno das multinacionais gringas, e pareçam distantes de nossas terras, sim, o Brasil também é vítima constante de ciberataques com objetivos criminosos.

Há anos, aliás, a mídia vem posicionando o país como um dos mais vulneráveis a ataques cibernéticos.

Em 2019, o Brasil era o 4º no ranking dos que mais sofrem ataques no planeta, atrás apenas dos EUA, China e Rússia – três das principais potências mundiais. Ainda neste contexto, os mobilizadores desses ataques, segundo alguns especialistas teriam informado à Folha de São Paulo, seriam nações como o Irã e a Coreia do Norte, além dos próprios EUA, China e Rússia.

Isso porque, além da falta de uma cultura de proteção de dados, o Brasil costuma figurar como uma das maiores economias do planeta, bem como um país significativamente influente – a ponto de se ver encurralado em meio ao fogo cruzado da guerra cibernética.

Outras fontes também nos levam a crer que, embora não sejamos o primeiro país que venha à mente quando o assunto é cyberwar, é impossível ignorar que o país desperta o interesse crescente de hackers internacionais.

Segundo o Internet Security Threat Report – Vol. 24 da Symantec, 5% de todas as infecções por ransomware registradas no ano 2018 aconteceram no Brasil. À nossa frente, ficaram a China (com 16,4%), a Índia (com 14,3%) e os Estados Unidos (13%).

No total, foram contabilizados 545,2 mil casos do tipo ao longo de 2018, sendo 444,2 mil ocorrências atingindo o mercado corporativo.

Ainda de acordo com o relatório, 1 em cada 415 e-mails enviados em nosso país tem conteúdo malicioso, assim como 35,7% das URLs compartilhadas via e-mail. Arquivos nos formatos .DOC, .DOT e .EXE são os mais utilizados na instalação de malware a partir desses envios.

Outro número igualmente alarmante é o das tentativas de phishing: 1 em cada 1.873 e-mails enviados no país são tentativas de phishing.

Neste caso, o Brasil aparece na 9ª posição. O líder do ranking é a Arábia Saudita, com 1 a cada 675 e-mails enviados no país sendo maliciosos. Mas, novamente, as empresas são o maior alvo por aqu.

O Brasil também aparece em posição de destaque no ranking de malwares para dispositivos móveis, sendo o sétimo colocado entre os mais infectados por malwares mobile: 2,3% dos casos ao redor do mundo foram registrados por aqui, valor que nos coloca em patamar semelhante ao da Rússia (2,6%) e Holanda (2,1%). No topo da lista estão os Estados Unidos, mais uma vez, com 24,7%, seguido da Índia, com 23,6%.

E por falar em malware, só no primeiro trimestre de 2020, as tentativas de golpes de ransomware aumentaram mais de 350% no Brasil, de acordo com dados da Kapersky.

Com mais pessoas trabalhando de home office, a fim de cumprir com o isolamento social necessário para o combate à proliferação do COVID-19, os computadores, e os dados sensíveis que eles armazenam, se tornaram alvos cada valiosos para ciberataques.

Mais do que isso, o próprio tema da doença tem sido explorado para fisgar usuários.

Por exemplo: mais de 3 mil domínios suspeitos relacionados à pandemia do novo coronavírus foram registrados também apenas no primeiro trimestre, ao passo que 40% das empresas já detectaram um aumento nos ataques digitais contra suas infraestruturas, a maioria deles utilizando a doença como tema para phishing.

Indiscutivelmente, as mudanças – e suas consequências preocupante – vêm para reafirmar a urgência de o país olhar com mais carinho para suas vulnerabilidades quando o assunto é cibersegurança. E especialmente no âmbito corporativo.

Em dezembro de 2019, uma equipe da Check Point Research (CPR), que nos seis meses anteriores acompanhou o cenário de ciberataques no país, constatou que a média no Brasil é de 733 ataques por semana por empresa, em comparação com 596 ataques por empresa no restante do o mundo.

Os pesquisadores identificaram também que 62% dos arquivos maliciosos no Brasil foram entregues via web e que o tipo de exploração de vulnerabilidade mais comum no país é a execução remota de código (Remote Code Execution), impactando 66% das organizações.

Brechas como essa reforçam o risco a que empresas estão sujeitas a todo momento e – como já foi destacado acima – aos prejuízos oriundos de ciberataques e violações de dados, cujo custo médio, no Brasil, é de R$ 1,24 milhão para as corporações.

Prejuízos estes que também já acarretaram em cases de insucesso no território nacional:

Os cases de insucesso no Brasil

Do mercado financeiro à telecomunicação, o Brasil é um dos mais vulneráveis a ciberataques ao redor do mundo. Isso porque, além de ser um país de interesse para os hackers, nós não desenvolvemos uma cultura de cibersegurança como é o caso dos Estados Unidos, por exemplo.

Logo, qualquer violação, aqui, é inevitavelmente mais dramática, ainda que os números sejam menores.

XP Investimentos

Data: 2017

Impacto: 29 mil clientes

A XP Investimentos foi fundada em 2001 e é uma das maiores corretoras do país e referência no mercado financeiro. Em 2017, 29 mil clientes tiveram seus dados hackeados e, num movimento similar ao da Uber, a corretora tentou manter o vazamento dos dados sob sigilo.

Porém, a contrapartida foi que, buscando aumentar a pressão sobre os sócios, os hackers passaram a enviar mensagens diretamente a alguns dos 29 mil clientes cujas informações foram roubadas, relatando o ocorrido.

Sem negociação por parte da empresa com os hackers, 3 clientes acabaram sendo vítimas de uma fraude e R$ 500 mil foram roubados de suas contas. O golpe ocorreu com a abertura de contas falsas em nome destes clientes em bancos.

A XP informou que ressarciu os três clientes e nenhum deles teve prejuízo em decorrência da fraude.

Banco Inter

Data: 2018 e 2019

Impacto: 20 mil correntistas

Em dezembro de 2018, o Banco Inter fechou um acordo com o Ministério Público do Distrito Federal e Territórios (MPDFT) para encerrar uma ação civil pública movida junto à 15ª Vara Cível de Brasília por vazamento de dados de seus clientes.

No acordo, o banco aceitou pagar 1,5 milhão de reais em indenização. Originalmente, o Ministério havia pedido uma indenização de 10 milhões de reais.

O vazamento comprometeu os dados de 19.961 clientes, dentre os quais 13.207 continham informações bancárias.

Já em julho de 2019, por medida de segurança, o Banco Inter teve que suspender temporariamente o acesso dos clientes às contas correntes por conta de uma falha no sistema que fazia com que as contas aparecessem negativadas ou zeradas.

Em nota, a instituição afirmou que “o fato não representou prejuízos financeiros para nenhum correntista”. Mas não explicou o que causou a instabilidade na visualização de saldo.

Netshoes

Data: 2017 e 2018

Impacto: 2 milhões de clientes

No final de 2017 e início de 2018, foram vazadas duas listas de credenciais da Netshoes contendo informações pessoais de 1.999.704 clientes. Entre os dados expostos, estavam nome completo, e-mail, CPF, data de nascimento e produtos comprados.

Em acordo com o Ministério Público do Distrito Federal e Territórios (MPDFT), a empresa se comprometeu a pagar R$ 500 mil em danos morais. Segundo o MPDFT, o caso foi “um dos maiores incidentes de segurança registrados no Brasil”.

A princípio, a empresa contatou os clientes via um e-mail institucional. Após pressão do Ministério Público, ela resolveu ligar para os quase 2 milhões de pessoas afetadas.

Porém, não foi o bastante para evitar a ameaça de uma ação civil pública. Como a empresa colaborou em diversos aspectos durante a investigação do caso, inclusive fornecendo dados pessoais comprometidos aos quais o MP não tinha acesso, as duas partes chegaram a um acordo na forma de um Termo de Ajustamento de Conduta.

Vivo

Data: 2019

Impacto: 29 milhões de clientes

Uma denúncia exclusiva do grupo WhiteHat Brasil mostrou que problema no portal de uma das maiores operadoras telefônicas do país expõe facilmente dados como nome, RG, CPF, e-mail, telefone e até o nome da mãe de clientes da operadora.

A falha, segundo a denúncia, estava no portal de serviços Meu Vivo, no qual o cliente da operadora pode gerenciar todo seu cadastro e contas. De acordo com um dos membros do grupo, ao fazer login no portal, o sistema da Vivo criava um “token” que validava o acesso do usuário, mas não é qualquer pessoa que vai ter acesso às informações dos outros assinantes.

Em nota oficial, a Vivo informou que “identificou e neutralizou uma vulnerabilidade no acesso ao portal de serviços Meu Vivo, com o objetivo de garantir privacidade e a segurança das informações de seus clientes”. Disse ainda que “o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada”.

Segundo o Procon, a multa poderia chegar a R$ 10 milhões com base no Código de Defesa do Consumidor. Até o fim de 2019, não havia sido estipulado se o pagamento de fato ocorreria ou se a empresa chegou a um acordo.

Ataques cibernéticos: tudo o que você precisa saber para se proteger

Você já conhece as origens da guerra cibernética e como ela influencia o cibercrime. Você também já sabe que não proteger sua empresa contra ciberataques está fora de questão, independentemente do tamanho do seu negócio.

Mas e o ataque, em si? Como funciona?

Antes de mergulharmos a fundo na complexidade de uma violação, vale perguntar: o que é, exatamente, um ciberataque?

Um ataque cibernético, ou ciberataque, é uma tentativa maliciosa e deliberada de um indivíduo ou organização de violar o sistema de informações de outro indivíduo ou organização.

Geralmente, o autor do ataque busca algum tipo de benefício ao violar a rede da vítima, podendo, como já vimos anteriormente, ter motivações políticas, de espionagem e/ou comprometimento de infraestrutura, ou não, sendo um cibercrime mais simples, ainda que não menos danoso, cujos objetivos variam entre roubo e extorsão através de dados.

Alguns dos tipos de ataques cibernéticos mais conhecidos são:

Malware

É um termo usado para descrever um software malicioso, incluindo spyware, ransomware, vírus e worms. O malware viola uma rede por meio de uma vulnerabilidade, normalmente quando um usuário clica em um link ou anexo de email malicioso que instala um software perigoso em sua máquina. Uma vez dentro do sistema, o malware pode:

  • Bloquear o acesso aos principais componentes da rede (ransomware)
  • Instalar um malware ou um software malicioso adicional
  • Obter informações ocultas transmitindo dados do disco rígido (spyware)
  • Interromper certos componentes e tornar o sistema inoperante.

Phishing

Phishing é a prática de enviar comunicações fraudulentas que parecem vir de uma fonte respeitável – geralmente email ou websites. O objetivo é roubar dados confidenciais, como número de cartão de crédito e informações de login, ou instalar um malware na máquina da vítima, abrindo margem para ataques mais complexos.

Man-in-the-middle

Os ataques Man-in-the-middle (MitM), também conhecidos como “ataques de espionagem” (eavesdropping attacks), ocorrem quando os invasores se inserem em uma transação de duas partes, interceptando informações. Depois que os invasores interrompem o tráfego, eles podem filtrar e roubar dados do usuário.

Dois pontos comuns de entrada para um ataque MitM:

  1. Em Wi-Fi públicos e pouco seguros, os invasores podem se inserir entre o dispositivo de um visitante e a rede. Sem saber, o visitante passa todas as informações pelo invasor;
  2. Depois que o malware viola um dispositivo, o invasor pode instalar um software para processar todas as informações da vítima, roubando-as.

Ataque de negação de serviço (Denial-of-service attack)

Um ataque de negação de serviço inunda com tráfego sistemas, servidores ou redes, para esgotar recursos e largura de banda da internet. Como resultado, o sistema não pode atender a solicitações legítimas. Os invasores também podem usar vários dispositivos invadidos para iniciar esse ataque. Isso é conhecido como ataque DDoS (Distributed Denial of Service).

Injeção SQL

Uma injeção de SQL (Structured Query Language) ocorre quando um invasor insere código malicioso em um servidor SQL e força o servidor a revelar informações que normalmente não seriam reveladas a usuários comuns. Um invasor pode executar uma injeção de SQL simplesmente enviando código malicioso para uma caixa de pesquisa de site vulnerável.

Zero-day exploit (exploração de “dia zero”)

Um zero-day exploit ocorre após o anúncio de uma vulnerabilidade de rede, antes da implementação de um patch ou solução. Em outras palavras, os invasores visam a vulnerabilidade divulgada durante esse período de tempo para se aproveitar dela enquanto ainda não é corrigida.

Tunelamento DNS

O tunelamento de DNS (Domain Name System) utiliza o protocolo DNS, que associa o endereço “nominal” (site da Compugraf, por exemplo) com seu endereço real (número de IP), para comunicar tráfego não-DNS pela porta 53 (responsável pelo DNS). Para isso, ele envia, por exemplo, HTTP e outros tráfegos de protocolo por essa porta.

Existem várias razões legítimas para o tunelamento de DNS, mas também existem as maliciosas, uma vez que eles podem ser usados para disfarçar o tráfego de saída, ocultando dados que normalmente são compartilhados por meio de uma conexão com a Internet. Para uso malicioso, as solicitações de DNS são manipuladas a fim de se extrair dados de um sistema comprometido para a infraestrutura do invasor. Também pode ser usado para retornos de chamada de comando e controle da infraestrutura do invasor para um sistema comprometido.

Inteligência e Informação: a estratégia de guerra de um ataque cibernético

A teoria dos ataques talvez seja mais familiar. Mas, na prática, como é o seu desdobramento? Qual o ponto de partida? O que eu preciso proteger – e como?

Bom, tudo começa com as superfícies de ataque:

Superfícies de ataque: o que são?

Superfícies de ataque são, basicamente, as possíveis formas pelas quais um invasor pode acessar um dispositivo ou rede e extrair dados.

Ter noção do que é uma superfície de ataque é especialmente importante para empresas de pequeno e médio porte, porque se por um lado a maioria delas pensa que é pequena demais para ser alvo de um ataque, por outro, se formos analisar pelo viés de suas superfícies de ataque, vamos perceber que ela pode oferecer diversas possibilidades a cibercriminosos, estando igualmente vulnerável a diversos riscos.

São duas as principais superfícies de ataque: dispositivos e pessoas.

Dispositivos

Cada vez mais qualquer empresa, por menor que seja o seu porte, depende de uma série de dispositivos. Logo, há cada vez mais gateways para os cibercriminosos realizarem um ataque cibernético.

Até o fim de 2020, prevê-se que as empresas contem com seis bilhões de dispositivos conectados à Internet ao redor do mundo, variando de notebooks e celular a dispositivos IoT.

Isso inevitavelmente significa que o uso de sistemas operacionais e aplicativos vulneráveis estenderá consideravelmente a superfície de ataque inclusive de pequenas e médias empresas.

Nesse contexto, a principal ameaça à segurança dos dispositivos é um ataque de ransomware híbrido, onde, combinando o ransomware com os recursos de um vírus, ele não infecta apenas um dispositivo, mas se espalha facilmente por toda a rede, podendo derrubar, em instantes, a operação de uma corporação inteira.

Pessoas

Ataques cibernéticos mais sofisticados são direcionados principalmente a colaboradores, porque são o elo mais fraco da cadeia de segurança digital. Aliás, de acordo com dados da IBM, que apresentamos anteriormente, 24% das violações de segurança podem ser atribuídas a erros humanos.

Porém, políticas de uso de senha e outras salvaguardas com o objetivo de proteger essa superfície, como autenticação multifatorial para login na rede corporativa, por exemplo, não são práticas comuns na maioria das organizações de pequeno e médio porte.

Nesse sentido, a principal ameaça é a engenharia social, que pode levar os colaboradores a entregar informações confidenciais da empresa. O hacker geralmente entra em contato com os funcionários por e-mail, fingindo ser uma fonte confiável, como um banco ou mesmo um colega de trabalho, e aí, como maioria dos colaboradores não tem conhecimento para se defender desses ataques, podem acabar escancarando as portas para um invasor fazer o estrago que desejar na empresa.

Vetores de Ataque: o que são?

Na segurança cibernética, um vetor de ataque é um caminho, ou um meio, pelo qual um invasor pode obter acesso não-autorizado a um computador ou rede para realizar um comando destrutivo ou que comprometa os dados da empresa.

Em suma, os vetores de ataque permitem que os invasores explorem as vulnerabilidades do sistema, instalem diferentes tipos de malware e iniciem ataques cibernéticos.

Os vetores de ataque também podem ser explorados para a obtenção de dados confidenciais, informações de identificação pessoal e outras informações sensíveis que resultariam em uma violação de dados.

Alguns vetores de ataque comuns incluem malwares, vírus, anexos de e-mail, webpages, pop-ups, mensagens instantâneas, mensagens de texto e engenharia social.

Além disso, em geral, podem ser divididos em dois grupos – passivo e ativo:

  • Passivo: é quando o ataque tenta obter acesso ou utilizar as informações do sistema, mas não afeta os recursos do sistema. Por exemplo: typosquatting, phishing e outros ataques baseados em engenharia social.
  • Ativo: é quando o cibercriminoso tenta alterar um sistema ou afetar sua operação, explorando vulnerabilidades não corrigidas, falsificando e-mails ou recorrendo a MitM, sequestro de domínio e ransomware.

Isso posto, a maioria dos vetores de ataque compartilha algumas semelhanças e segue um caminho lógico comum:

  1. O hacker identifica um alvo em potencial;
  2. O hacker reúne informações sobre o alvo usando engenharia social, malware, phishing, OPSEC (operações de segurança) e verificação automatizada de vulnerabilidades;
  3. O invasor, então, usa essas informações para identificar possíveis vetores de ataque e criar ou se equipar de ferramentas para explorá-los;
  4. O invasor obtém acesso não-autorizado ao sistema e rouba dados confidenciais ou instala códigos maliciosos;
  5. O invasor monitora o computador ou a rede, rouba informações ou usa recursos de computação para extrair dados relevantes.

O que nos leva ao grande desafio em questão:

Como acontece uma violação de dados (ou data breach):

Uma violação de dados, ou data breach, expõe informações confidenciais e sensíveis a uma pessoa não-autorizada. Geralmente, quando ocorre um data breach em função de um ciberataque, essas informações costumam ser compartilhadas sem permissão, vendidas ou, dependendo da motivação do cibercriminoso, sequestradas para extorsão.

Portanto, um data breach ocorre quando existe um ponto de entrada não-autorizado no banco de dados de uma empresa que permite que hackers acessem dados de clientes, como senhas, números de cartão de crédito, CPFs, informações bancárias, carteiras de motorista, registros médicos, dentre outros dados que, por lei, devem ser mantidos em sigilo.

Isso pode ser feito fisicamente, através de endpoints (dispositivos como computador e celular de trabalho, por exemplo), ou ultrapassando a segurança da rede remotamente.

Quem está por trás das violações de dados?

Porém, embora automaticamente tenhamos a supor que toda violação de dados é causada por um hacker ou cibercriminoso externo, nem sempre isso é verdade. Vale considerar que um data breach também pode ocorrer das seguintes formas:

  • Um acidente entre colaboradores: um exemplo que muitos costumam esquecer ou relevar envolve um colaborador que usa o computador de um colega de trabalho e lê arquivos confidenciais sem a devida permissão. O acesso não é intencional e nenhuma informação é compartilhada. No entanto, como foram visualizados por uma pessoa não-autorizada, os dados são considerados violados;
  • Um funcionário mal-intencionado: nesse caso, a pessoa acessa e/ou compartilha propositalmente dados com a intenção de causar danos a um indivíduo ou empresa. O usuário mal-intencionado pode ter autorização legítima para usar os dados, mas a intenção é usar as informações de forma escusa;
  • Dispositivos roubados ou perdidos: um notebook, celular ou HD externo não-criptografado e desbloqueado – qualquer coisa que contenha informações confidenciais, na verdade – desaparece ou é roubado, e um terceiro tem acesso às informações neles contidas;
  • Pessoas maliciosas de fora: finalmente, aqui temos os hackers que usam vetores de ataque para roubar informações de uma rede ou de um indivíduo.

Os métodos utilizados para violação de dados

Obviamente, cada ataque tem suas particularidades, variando conforme os objetivos de cada indivíduo e gravidade da violação. Porém, comumente, as etapas envolvidas em uma operação de data breach são:

  1. Pesquisa: o cibercriminoso procura pontos fracos na segurança da empresa (pessoas, sistemas ou rede);
  2. Ataque: O cibercriminoso faz contato inicial, usando um vetor de ataque;
  3. Extração: Depois que o cibercriminoso entra em um computador, ele pode atacar a rede e abrir caminho até dados confidenciais da empresa. Uma vez que o hacker consegue extrair os dados, o ataque é considerado bem-sucedido.

Infratores tendem a seguir esse padrão de ataque, ainda que planejem violação por violação. Afinal, o caminho até a joia da coroa é relativamente conhecido por eles e não costuma variar muito.

Portanto:

  1. Os cibercriminosos estudam suas vítimas, para saber onde estão suas vulnerabilidades, como falhas em atualizações de software ou suscetibilidade dos colaboradores a campanhas de phishing.
  2. Depois de conhecerem os pontos fracos de um alvo, eles desenvolvem uma campanha para convencer os usuários a baixarem malwares por engano, ou tentam penetrar diretamente na rede.
  3. Uma vez lá dentro, os invasores têm a liberdade de procurar os dados que desejam e muito tempo para fazê-lo, pois a violação média leva mais de cinco meses para ser detectada.

Dentro desse esquema mais genérico, temos as variações dos métodos de ataque. Alguns destaques são:

  • Credenciais roubadas: a grande maioria das violações de dados é causada por credenciais roubadas. Se os cibercriminosos tiverem uma combinação de nome de usuário e senha de um de seus colaboradores, eles terão uma porta aberta na sua rede. Pior ainda: como a maioria das pessoas reutiliza senhas, os criminosos cibernéticos podem acessar e-mails, sites, contas bancárias, arquivos na nuvem e outras fontes de informações financeiras ou de informações pessoais através de uma única credencial roubada.
  • Recursos comprometidos: vários ataques de malware são usados para negar as etapas regulares de autenticação que normalmente protegem um computador, liberando mais facilmente o caminho até os dados de interesse.
  • Fraude no pagamento: os escumadores de cartão, por exemplo, invadem caixas eletrônicos ou dispositivos de pagamento (maquininhas de cartão) e roubam dados sempre que um cartão é passado.
  • BYOD (bring your own device): quando os funcionários levam seus próprios dispositivos para o local de trabalho, ou para coworkings, por exemplo, é fácil para equipamentos desprotegidos fazerem o download automático de aplicativos carregados de malware que fornecem aos hackers uma abertura para roubar os dados armazenados no dispositivo. Esses dados geralmente incluem e-mail e arquivos de trabalho, bem como as informações de identificação pessoal do proprietário do dispositivo.

Ou seja, não faltam recursos para cibercriminosos causarem o dano que desejarem através de uma violação. Faz sentido, uma vez que as frentes de proteção são as mesmas de ataque. Pouco a pouco, os agressores vão ganhando permissões administrativas para rodar códigos maliciosos nos endpoints das vítimas, danificando ou tomando controle e, então, sem muito esforço, conseguem ganhar acesso à joia da coroa.

Para combater esses ataques, é preciso pensar que o cibercrime evolui em paralelo com as soluções tecnológicas que possibilitam vivermos em um mundo cada vez mais conectado. Todas as superfícies de ataque – redes corporativas, colaboradores remotos usando endpoints da empresa, serviços na nuvem, dispositivos móveis dentro ou fora da empresa – e todos os vetores de ataque – endpoints, e-mail, websites – devem ser protegidos no intuito de se evitar uma violação.

Mas como se assegurar de que você está protegendo todas as suas possíveis vulnerabilidades? Com uma estratégia de defesa igualmente completa.

Cyber Kill Chain: quebrando a corrente do mal

O modelo de Cyber Kill Chain é composto por uma série de etapas que visam rastrear todas as fases de um ataque cibernético, desde seus estágios iniciais de pesquisa e reconhecimento até a extração de dados.

Ele nos ajuda a entender e combater ransomwares, violações de segurança e ataques persistentes avançados (advanced persistent attacks, ou APTs), mergulhando a fundo na estratégias de ataque para revertê-las – quase como se entrasse na cabeça de um criminoso para entender, a fundo, como impedi-lo de cometer o crime.

Essa estrutura foi concebida pela Lockheed Martin, empresa global do setor aeroespacial, de defesa, segurança e tecnologias avançadas, a partir de um modelo militar. Desde a sua criação, ele evoluiu para melhor antecipar e reconhecer ameaças internas, de engenharia social, ransomware avançado e ataques inovadores que representem risco à cibersegurança.

Como o Cyber Kill Chain funciona

Conforme a definição da própria Lockheed Martin:

“As ferramentas convencionais de defesa de rede, como sistemas de detecção de intrusão e antivírus, concentram-se no componente de vulnerabilidade de risco, e a metodologia tradicional de resposta a incidentes pressupõe uma invasão bem-sucedida. Uma evolução nos objetivos e sofisticação das intrusões nas redes de computadores tornou essas abordagens insuficientes para certos agressores.

Uma nova classe de ameaças, apropriadamente apelidada de “ameaça persistente avançada” (Advanced Persistent Threat – APT), traz adversários treinados e com uma variedade de recursos, que realizam campanhas de invasão de vários anos visando informações econômicas, pessoais ou de segurança nacional altamente sensíveis.

Esses adversários atingem seus objetivos usando ferramentas e técnicas avançadas, projetadas para derrotar a maioria dos mecanismos convencionais de defesa de redes de computadores.

As técnicas de defesa de rede que utilizam o conhecimento sobre esses adversários podem criar um ciclo de feedback de inteligência, permitindo que os defensores estabeleçam um estado de superioridade da informação que diminui a probabilidade de sucesso do adversário a cada tentativa de invasão subsequente.

Usando um modelo de kill chain para descrever fases de invasões, mapeando indicadores de cadeia de derrota de adversários para defender os cursos de ação, identificando padrões que vinculam intrusões individuais a campanhas mais amplas e entendendo a natureza iterativa da coleta de inteligência, podemos formar uma base de defesa da rede de computadores (computer network defense – CND) totalmente orientada pela inteligência”.

Existem vários estágios no modelo Cyber Kill Chain. Eles variam do reconhecimento (ou pesquisa/preparação, geralmente o primeiro estágio de um ataque) ao movimento lateral (quando hackers estão se movendo lateralmente pela rede para obter acesso a mais dados) à extração de dados (divulgando os dados).

Cada estágio está relacionado a um certo tipo de atividade em um ataque cibernético, independentemente de ser um ataque interno ou externo. Todos os seus vetores de ataque comuns desencadeiam atividades no Cyber Kill Chain.

Nosso primeiro passo, portanto, é conhecer esses estágios:

1. Reconhecimento

O estágio de observação: os atacantes normalmente avaliam a situação de fora para dentro, a fim de identificar alvos e táticas para o ataque.

2. Preparação

Com base no que os invasores descobriram na fase de reconhecimento, eles podem usar essas informações acessar seus sistemas, geralmente aproveitando as vulnerabilidades de softwares ou de segurança. Também chamado de “Armamento” em algumas versões.

3. Exploração

É o ato de explorar vulnerabilidades e fornecer código mal-intencionado, a fim de obter uma posição melhor no sistema. Também chamado de “Entrega” em algumas versões, pois é quando ocorre a entrega de recursos maliciosos, a fim de se obter uma brecha para a invasão.

4. Escalonamento de privilégios

Os invasores geralmente precisam de mais privilégios em um sistema para obter acesso a mais dados e permissões de uso: para isso, precisam escalar seus privilégios frequentemente para um Administrador. Às vezes esta etapa é incluída como parte da Exploração, em algumas versões.

5. Movimento lateral

Quando estão no sistema, os hackers podem se mover lateralmente para outros sistemas e contas, a fim de obter mais vantagens, sejam permissões hierárquicas mais altas, mais dados ou maior acesso aos sistemas. Às vezes esta etapa é agrupada em uma etapa chamada “Comando e Controle”, junto às etapas 6 e 7.

6. Ocultação/Anti-forense

Para conseguir efetuar um ataque cibernético com sucesso, os invasores precisam cobrir seus rastros e, nesse estágio, costumam criar trilhas falsas, comprometer dados e limpar registros para confundir e/ou desacelerar qualquer equipe forense. Às vezes esta etapa é agrupada em uma etapa chamada “Comando e Controle”, junto às etapas 6 e 7.

7. Negação de serviço

Interrupção do acesso normal para usuários e sistemas, a fim de impedir que o ataque seja monitorado, rastreado ou bloqueado. Às vezes esta etapa é agrupada em uma etapa chamada “Comando e Controle”, junto às etapas 6 e 7.

8. Extração

Os invasores enfim obtêm e extraem os dados do sistema comprometido.

Como usar o Cyber Kill Chain para conter os ataques

Cada fase da kill chain é uma oportunidade de interromper um ataque cibernético. Mas, para implementar uma estratégia de defesa eficaz, é fundamental que ela seja:

  1. Ampla: assegurando a visibilidade e proteção das superfícies digitais de ataque;
  2. Integrada: assegurando a detecção de ameaças avançadas;
  3. Automatizada: gerando resposta e assessment contínuo de confiança.

Com as ferramentas certas para detectar e entender o comportamento de cada estágio, você poderá se defender melhor contra uma violação de sistemas e de dados.

Basicamente, para cada etapa de ataque, é preciso pensar em uma etapa de defesa.

1. Detecção e Prevenção

Protege contra:

  1. Reconhecimento
  2. Preparação

Detectar e prevenir-se de ameaças é fundamental para se proteger de grande parte dos ataques. São indicadas soluções de detecção e prevenção de falhas de software ou vulnerabilidades de rede.

Exemplos de soluções:

  • Web Analytics
  • Cyber Threat Intelligence
  • NIDS (Sistemas de Detecção de Intrusão)
  • Política de Acesso à Informação
  • ACLs
  • NIPS (Sistemas de Prevenção de Intrusão)

2. Identificação, Remediação e Contenção

Protege contra:

  1. Exploração
  2. Escalonamento de privilégios
  3. Movimento lateral

Se o ataque chegou, contenção imediata. Os custos só tendem a subir após o ataque. É preciso investir em soluções para interromper os ataques à medida que eles acontecem interceptar as comunicações de dados realizadas pelo invasor, interrompendo-as.

Exemplos de soluções:

  • Proteção de endpoints contra malwares
  • Whitelisting/Blacklisting
  • Soluções de proxy
  • HIPS (High Integrity Protection Systems)
  • Queue
  • ACLs em roteadores e firewalls
  • DEP (Data Execution Prevention)
  • SIEM (Gerenciamento e Correlação de Eventos de Segurança)

3. Análise Forense

Protege contra:

  1. Ocultação/Anti-forense
  2. Negação de serviço
  3. Extração

Com a infecção em curso, é preciso ter uma resposta imediata e garantir que a ameaça não volte a atacar. É necessário investir em medidas automatizadas que limitem a eficácia de um ataque. Para impedir o avanço, possível enganar um invasor fornecendo informações falsas ou configurando recursos de isca para capturá-lo. Se bem-sucedida, essa etapa pode evitar que um ataque em curso cumpra com seu objetivo.

Exemplos de soluções:

  • Data at rest Encryption
  • Proteção de endpoints contra malwares
  • Honeypot
  • Plano de resposta a incidentes (IRP)
  • Softwares de DLP (Data Loss Prevention)
  • SIEM (Gerenciamento e Correlação de Eventos de Segurança)
  • ACLs

Diferentes técnicas de segurança apresentam abordagens diferentes para o modelo Cyber Kill Chain, e todos – desde a Gartner até a Lockheed Martin – definem os estágios de maneira um pouco diferente.

Modelos alternativos do Cyber Kill Chain combinam várias das etapas acima em um estágio de C&C (comando e controle, ou C2) e outras em um estágio de “Ações-Objetivo”. Alguns ainda combinam movimento lateral e escalonamento (etapas 4 e 5) em um estágio de exploração; outros combinam invasão e exploração (etapas 2 e 3) em um estágio de “ponto de entrada”.

Independentemente de como seja adaptada, porém, quando combinada com análises avançadas e modelagem preditiva, uma coisa é certa: o modelo Cyber Kill Chain é crítico para a segurança dos dados em larga escala.

Especialmente em um mundo onde os ciberataques tendem a aumentar de forma preocupantemente vertiginosa.

O aumento dos ataques cibernéticos ao redor do mundo, a partir de 2020

Em 2020, realidade e distopia se aproximaram ainda mais quando quando uma nova pandemia, de proporções nunca antes vistas, explodiu ao redor do mundo e abalou a estrutura de todos os países afetados pelo vírus, bem como o dia a dia de centenas de milhões de pessoas, obrigando boa parte da população a se isolar dentro de casa, fechando desde bancos a pequenas empresas e instaurando o comércio online e trabalho remoto como mandatórios para que a economia mundial não parasse.

Obviamente, porém, nenhum setor sofreu mais do que o de saúde. E, naturalmente, os hackers estão se aproveitando dessa crise global para arquitetar ataques que exploram a instabilidade emocional resultante das ncerteza impostas pela doença.

Desde o início da pandemia do COVID-19, a OMS, por exemplo, registrou um aumento dramático no número de ataques cibernéticos mirando sua equipe, além de fraudes por e-mail que miravam o público em geral.

Em abril de 2020, cerca de 450 endereços de e-mail e senhas de usuários da OMS foram vazados na internet, juntamente com milhares de outras credenciais de profissionais que trabalham na contenção ao coronavírus.

As credenciais vazadas não colocaram em risco os sistemas da OMS porque os dados não são recentes. No entanto, o ataque impactou um sistema extranet mais antigo, usado por funcionários atuais e aposentados, além de parceiros.

Os criminosos que personificam a OMS em e-mails também têm se voltado cada vez mais ao público em geral, a fim de canalizar doações para um fundo fictício e não para o autêntico Fundo de Resposta Solidária ao COVID-19. O número de ataques cibernéticos agora é mais de cinco vezes o número direcionado à organização no mesmo período do ano passado.

Além disso, à medida que os hospitais enfrentam um aumento de pacientes e escassez de equipamentos essenciais para o combate à pandemia, cada vez mais estão se tornando o alvo de hackers que veem os serviços de saúde como presa fácil.

Os ataques de ransomware,por exemplo, nos quais hackers bloqueiam uma rede e exigem pagamento para retornar o acesso a esses sistemas, representam uma ameaça crescente para os hospitais desde janeiro de 2020.

Especialistas alertam que é esperado que esses ataques aumentem, uma vez que o colapso e os ataques de ransomware criam a tempestade perfeita inclusive para gerar distrações enquanto ciberataques mais dramáticos são arquitetados em outras instituições.

A INTERPOL, inteligência policial internacional, emitiu um aviso em março de 2020 para seus 194 países membros, onde informava ter “detectado um aumento significativo no número de tentativas de ataques de ransomware contra organizações e infraestrutura importantes envolvidas na resposta ao novo coronavírus”.

Como consta no comunicado: “os hackers estão usando ransomware para manter hospitais e serviços médicos reféns digitalmente, impedindo-os de acessar arquivos e sistemas vitais até que um resgate seja pago”.

As primeiras vítimas apareceram já nos primeiros meses do ano, trazendo relatos de que um distrito de saúde pública em Illinois, nos EUA, havia pago um resgate significativo aos hackers depois de enfrentar um ataque de ransomware. O custo para recuperar o acesso a seus dados totalizou 350 mil dólares.

Um hospital na República Tcheca, que está realizando testes de coronavírus, também sofreu interrupções no mês passado após um ataque cibernético. A agência de segurança cibernética da República Tcheca alertou que é altamente provável que mais hackers continuem mirando as agências de saúde enquanto a pandemia estiver em alta.

Mas o fato de o setor da saúde ser o principal alvo de ciberataques no momento não significa que todo o restante não deveria estar igualmente preocupado.

Aumento de ciberataques a empresas ao longo de 2020

Com muitas empresas ao redor do mundo sendo forçadas, repentinamente, a fazer trabalho remoto, elas estão suscetíveis a todos os problemas de segurança cibernética sobre os quais a indústria vem alertando há décadas, com o agravante de que, se o acesso às redes corporativas a partir de redes domésticas menos seguras já representa enormes vulnerabilidades, hoje pode ser ainda mais difícil revisar quaisquer brechas de segurança caso as empresas já não contem com uma estrutura preventiva.

“Você não pode gerenciar o que não conhece e isso será uma verdade com consequências de tirar o sono para muitas empresas e agências governamentais que lutam para responder à situação do coronavírus”, declarou a Dra. Barbara Rembiesa, presidente e CEO da IAITAM, à mídia norte-americana.

Ainda segundo ela, empresas e agências sem planos de continuidade de negócios com um forte componente de gerenciamento de ativos de TI vão ficar de fora do mercado caso venham a ser vítimas dos hackers que estão se movimento por aí: “está além do controle da empresa”.

Os golpes de phishing explorando o COVID-19 começaram a circular em janeiro de 2020, s aproveitando do medo e a confusão em torno da crise – que, naquele momento, era bem menor. Naturalmente, conforme o caos escalou, os ataques escalaram proporcionalmente.

Endpoints (computadores e celulares, por exemplo) são especialmente vulneráveis, com até 42% estando desprotegidos a qualquer momento, de acordo com especialistas. Com tantas pessoas usando laptops ou computadores domésticos comprometidos para fazer login na rede corporativa, eles estão criando um elo fraco na cadeia de segurança e danos potencialmente devastadores ao empregador no que já é um período de muito teste.

Ou seja, as condições são propícias para suspeitas de atividades envolvendo todos os tipos de ciberataques.

Ainda que tenham surgido relatórios mostrando que dois grandes grupos de crimes cibernéticos alegaram que não atacarão alvos de saúde e médicos durante a crise do coronavírus, dificilmente eles inspiram confiança, já que os ataques gerais continuam a aumentar.

A realidade é que, embora tensos, todos estão distraídos e vulneráveis, e isso representa oportunidades únicas para os cibercriminosos. Milhões de trabalhadores remotos ao redor do mundo estão cometendo erros bobos, mas compreensíveis, que abrem as portas para hackers adentrarem até mesmo os cômodos mais secretos das redes corporativas.

Os departamentos de TI encarregados de proteger as redes da empresa, por exemplo, costumam ser equipes pequenas, enfrentando uma situação com a qual empresa especializadas completas enfrentariam dificuldades.

E aí, do outro lado, hackers de todo o mundo estão sendo solicitados a ficar em casa e incentivados a passar o dia inteiro na frente de seus computadores….

É a ocasião perfeita para o caos cibernético.

“Quaisquer que fossem suas estruturas de combate, você provavelmente perdeu o controle delas com todo esse acesso remoto. Se antes pensávamos que certas ferramentas poderiam nos ajudar, não podemos mais contar com isso, pois estamos lidando com uma escala nunca antes vista”, declarou Jake Williams, ex-hacker da NSA e fundador da empresa de segurança Rendition Infosec, a um portal da Suécia.

“Não há dúvida de que algumas agências de Inteligência (espionagem) vão tirar proveito disso. Além disso, todo mundo está muito ‘distraído’, isto é, se preocupando com outras coisas. Definitivamente, apresenta uma oportunidade para os hackers serem um pouco mais barulhentos e um pouco mais agressivos. Eu ficaria muito surpreso se eles não tirassem vantagem disso”.

E no Brasil?

Como vimos anteriormente, no primeiro trimestre de 2020 só as tentativas de golpes de ransomware aumentaram mais de 350%.

Além disso, mais de 3 mil domínios suspeitos relacionados à pandemia do novo coronavírus foram registrados neste período, ao passo que 40% das empresas já detectaram um aumento nos ataques digitais contra suas infraestruturas, a maioria deles utilizando a doença como tema para phishing.

E a expectativa é que os números continuem crescendo, mesmo quando a pandemia liberar a população de seu isolamento. A verdade é que o vírus não é o único agente invisível questionando nossos hábitos, prioridades e a forma como lidamos com aquilo que não podemos ver e que acreditávamos estar distante o suficiente de nós para não nos atingir diretamente.

Ainda que nos recuperemos do COVID-19, talvez nunca estejamos imunes a ataques cibernéticos.

Panorama de cibercrimes do mês de maio

No Scanning, nosso programa mensal, separamos os principais incidentes envolvendo o cenário de segurança cibernética no Brasil e no resto do mundo. Confira 👉

O que o futuro guarda? Dados importantes para ficar de olho

guerra cibernética e os dados importantes

Para além do COVID-19, porém, eis alguns dados mundiais que ilustram o aumento dos ataques cibernéticos, e a constante evolução do cibercrime:

Qual é o cenário atual?

  1. Prevê-se que os gastos mundiais em segurança cibernética chegarão a 133,7 bilhões de dólares deste ano até 2022. (Gartner)
  2. 68% dos líderes de empresas sentem que os riscos à segurança de seu negócio estão aumentando. (Accenture)
  3. Apenas 5% das pastas com arquivos corporativos, em média, estão adequadamente protegidas. (Varonis)
  4. 71% das violações têm motivos financeiros e 25% têm motivos de espionagem. (Verizon)
  5. Em 2019, 52% das violações eram oriundas de hacking, 28% envolviam malware e 32–33% incluíam phishing ou engenharia social, respectivamente. (Verizon)
  6. Os principais tipos de anexo de e-mail malicioso são .doc e .dot, que representam 37% dos ataques. O terceiro mais alto é o .exe, com 19,5%. (Symantec)
  7. Até o fim de 2020, o número estimado de senhas usadas por humanos e dispositivos em todo o mundo aumentará para 300 bilhões. (Mídia de Segurança Cibernética)

Que riscos estamos correndo?

  1. Hackers atacam a cada 39 segundos, em média 2.244 vezes por dia. (Universidade de Maryland)
  2. 83% das pastas corporativas serão transferidas para a nuvem até o fim de 2020. (Forbes)
  3. Segundo o DBIR de 2019, 94% de todos os malwares foram entregues por e-mail. (Verizon)
  4. 34% das violações de dados envolvem atores internos. (Verizon)
  5. 61% das organizações sofreram um incidente de segurança da IoT. (CSO Online)
  6. Os dispositivos de IoT sofrem uma média de 5.200 ataques por mês. (Symantec)
  7. 90% dos ataques de execução remota de código estão associados a criptografia. (CSO Online)
  8. O custo médio de um ataque de ransomware às empresas é de 133 mil dólares. (SafeAtLast)
  9. 48% dos anexos de e-mail maliciosos usam arquivos de escritório. (Symantec)
  10. 69% das organizações não acreditam que as ameaças que estão vendo possam ser bloqueadas pelo software antivírus. (Estudo de custo de vio
    lação de dados do Ponemon Institute)
  11. 1 em 13 solicitações da Web leva a malware. (Symantec)
  12. As denúncias de ransomware têm sido predominantes em países com maior número de pessoas conectadas à Internet. (Symantec)
  13. No Brasil, 126,9 milhões de pessoas têm acesso a internet (70% da população).
  14. A maioria dos domínios maliciosos, cerca de 60%, está associada a campanhas de spam. (Cisco)
  15. Cerca de 20% dos domínios maliciosos são novos e usados ​​apenas cerca de uma semana após o registro. (Cisco)

Para as empresas, quais são os riscos?

  1. 69% das empresas veem mandatos de conformidade gerando gastos. (CSO Online)
  2. 53% das empresas tinham mais de 1.000 arquivos confidenciais abertos a todos os funcionários em 2019. (Varonis)
  3. De acordo com o mesmo estudo, 22% de todas as pastas das empresas estavam disponíveis para todos os funcionários. (Varonis)
  4. Em média, todos os funcionários tiveram acesso a 17 milhões de arquivos. (Varonis)
  5. Em dezembro de 2018, apenas 50% das empresas acreditavam estar em conformidade com a LGPD europeia (GDPR). (Fronteira do Data Center)
  6. Desde a promulgação do lei de proteção de dados, 31% dos consumidores ao redor do mundo sentem que sua experiência geral com as empresas melhorou. (Semana de Marketing)
  7. Até 2020, os serviços de segurança deverão representar 50% dos orçamentos de segurança cibernética. (Gartner)
  8. O custo médio de um ataque de malware a uma empresa é de 2,6 milhões de dólares. (Accenture)
  9. 3,9 milhões de dólares é o custo médio de uma violação de dados. (IBM)
  10. O custo médio por dados roubado é de 150 dólares. (IBM)
  11. O custo médio no momento de um ataque de malware é de 50 dias. (Accenture)
  12. O componente mais caro de um ataque cibernético é a perda de informações, correspondendo a 5,9 milhões de dólares. (Accenture)
  13. Prevê-se que os danos relacionados ao crime cibernético atinjam 6 trilhões de dólares anualmente até 2021. (Cybersecurity Ventures)
  14. Uma empresa foi vítima de ataques de ransomware a cada 14 segundos em 2019. (Cybersecurity Ventures)
  15. 50% das grandes empresas (com mais de 10.000 funcionários) gastam 1 milhão de dólares ou mais anualmente em segurança, com 43% gastando 250 mil a 999.999 mil dólares e apenas 7% gastando menos de 250.000 mil dólares. (Cisco)

Protegendo o seu negócio: a cultura da cibersegurança

Já não é nenhum segredo que os dados de uma empresa são, hoje, seus bens mais valiosos e que existem cibercriminosos dispostos a flertar com o impossível para obtê-los.

Não existe mais a possibilidade de não se preocupar com cibersegurança. O Breach Level Index estima que, todos os dias, quase meio milhão de registros de dados são roubados. Essa é uma estatística incrivelmente alta. As empresas enfrentam um inimigo ágil e comprometido – e as probabilidades estão contra eles.

É preciso que cada um faça a sua parte neste combate, e o primeiro passo você já deu.

Para mitigar os riscos contra possíveis ameaças cibernéticas, é necessário, antes de tudo, entender a anatomia de um ataque cibernético e as estratégias usadas pelos cibercriminosos, a fim de saber contra o que e contra quem você está lutando.

Afinal, um hacker precisa apenas de um golpe certeiro para atingir seus objetivos, enquanto as empresas devem estar constantemente vigilantes contra ataques de malware.

Isso significa que, uma vez entendendo a estratégia implantada por um hacker, estamos aptos a vencer esses predadores?

Infelizmente, não. A verdade é que, se um cibercriminoso insistir em invadir seus sistemas, ele provavelmente vai conseguir.

O segundo passo, após adquirir conhecimento, é fazer o máximo possível para proteger seus sistemas antes que ocorra um ataque, e também implementar um plano robusto de contenção para quando o ataque ocorrer.

Aprender a gerenciar e entender como e de onde vem o problema é fundamental. Não basta perceber que sua empresa foi violada; você também precisa entender o “como, quando e por quem” para garantir que seus invasores não sejam capazes de se infiltrar no sistema novamente, uma vez que o problema for solucionado.

Tudo isso dito, uma abordagem de segurança “em camadas” é a opção mais segura, na qual você tem um conjunto de soluções de segurança para cada área vulnerável dos seus sistemas. Não se esqueça da Cyber Kill Chain!

Nenhuma empresa que queira de fato se proteger de um ciberataque pode confiar apenas em um antivírus. Seria o mesmo que ir para a guerra confiando apenas em uma linha única de soldados.

Reduzindo sua exposição a ataques cibernéticos

O grande problema, na maioria das vezes, é que, antes de investir em soluções de defesa e proteção, muitas empresas esperam surgir evidências concretas de que são ou serão alvo de ameaças específicas.

Infelizmente, porém, é difícil fornecer uma avaliação precisa das ameaças específicas que elas podem vir a enfrentar.

Ainda assim, toda empresa é uma vítima em potencial de qualquer ataque cibernético. Todas elas guardam ouro em um mundo onde dados são a moeda de troca mais importante do século.

A boa notícia é que existem várias maneiras eficazes e acessíveis de reduzir a exposição da sua empresa aos tipos mais comuns de ataques cibernéticos. Alguns dos recursos mais conhecidos são:

  • Firewalls – estabelece as defesas perimetrais da rede – isto é, proxies, verificação de conteúdo malicioso e políticas de firewall – para detectar e bloquear downloads automáticos e de extensões potencialmente nocivas (como .exe), bloquear o acesso a domínios maliciosos conhecidos e impedir que os computadores dos usuários se comuniquem diretamente com a Internet, deixando-os menos vulneráveis;
  • Proteção contra malware – faz parte das soluções específicas para defesa contra malware, a fim de detectar – e bloquear – códigos de ataque conhecidos e danosos ao seu sistema;
  • Gerenciamento de patches – corrige vulnerabilidades com a versão mais recente de todos os softwares utilizados pela empresa, para evitar ataques que exploram bugs de software;
  • Controle de execução e lista de permissões (ACLs) – evita que softwares desconhecidos sejam capazes de executar ou se instalar automaticamente, mesmo aqueles nos quais você teoricamente confia;
  • Configuração segura – restringe a funcionalidade de cada dispositivo, sistema operacional e aplicativo ao mínimo necessário para o funcionamento da empresa;
  • Política de senhas – diminui a probabilidade de acesso via credenciais roubadas. Verifique se existe uma política de senha apropriada na sua empresa (por exemplo: todos os usuários devem trocar a senha dos seus e-mails mês; acesso à internet bloqueado por senha variável e temporária, etc.). Se não, implemente e se assegure de que seja seguida;
  • Controle de acesso do usuário – inclui a limitação de permissões de execução de usuários, aplicando o princípio do menor privilégio (determinados perfis só tem acesso a arquivos específicos; usuários de alto escalão têm acesso a maior quantidade de arquivos; e por aí vai).

Também vale se atentar a esses recursos adicionais, independentemente do tamanho da sua empresa:

  • Monitoramento de segurança – dedique uma equipe para monitorar qualquer atividade inesperada ou suspeita;
  • Educação e conscientização de treinamento do usuário – a equipe deve entender seu papel em manter a empresa segura e relatar qualquer atividade incomum;
  • Gerenciamento de incidentes de segurança – crie planos para lidar com um ataque, pois uma resposta eficaz reduzirá o impacto nos seus negócios. Existem soluções de segurança amplas, integradas e automatizadas no mercado que podem te ajudar com isso.

E, mais uma vez, é imprescindível destacar que o primeiro ponto fraco de uma empresa, muitas vezes, é o seu time de colaboradores. Basta uma pessoa clicar uma vez no link errado para dar início a uma violação de dados completa.

Compartilhar conhecimento e investir em treinamentos não deve ser encarado como um exercício único, para mais tarde ser esquecido. Ter sessões de treinamento atualizadas regularmente e, sobretudo, continuamente – por exemplo, uma vez por ano ou uma vez a cada seis meses – garante que os funcionários estejam cientes das ameaças em constante evolução e de como elas podem ser evitadas.

Aliás, isso precisa vir de cima para baixo. Por muito tempo, acreditou-se que a segurança cibernética era território exclusivo das equipes de TI, mas hoje, tratando-se de uma questão crítica para os negócios, toda a diretoria, executivos e conselhos de administração devem liderar pelo exemplo, promovendo e praticando uma mentalidade de segurança em primeiro lugar.

A potência de Tróia sucumbiu da noite para o dia, mas não foi por falta de aviso: desde antes de Páris retornar ao palácio do Rei Príamo, com Helena como prometida, sua irmã, Cassandra, visualizava a cidade engolida pelas chamas. Mas – seja pela maldição de Apolo, ou por puro descrédito – foi ignorada.

O final da história você já conhece bem.

Por isso, ao fim da sua leitura, se você ainda estiver com a sensação de que a cyberwar é uma guerra distante, vale lembrar que, só porque você não consegue vê-la, não significa que ela não esteja acontecendo ao seu redor.

Ciberataques são ameaças invisíveis e indiscrimináveis. Se sua empresa lida com dados, ela pode ser vítima de uma violação, pois nunca se sabe quais dados são exatamente o que hackers estavam procurando, seja para vender na deep web ou para ter acesso a outros dados ainda mais valiosos.

E, como vimos, essa preocupação não é exclusiva de grandes empresas. Startups e pequenos negócios também devem considerar a iminência de um ataque como um risco provável a todo momento. Nestes casos, os prejuízos podem ser irremediáveis.

Implementar soluções de segurança e desenvolver uma cultura de segurança na sua empresa, porém, não é tarefa simples. É um investimento a longo prazo que, quanto antes receber a devida atenção, melhor.

Será que você é um mestre da segurança da informação?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Protection Game

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?