Estreou no dia 22 de Janeiro, em Portugal, o filme BlackHat, sobre criminosos do mundo virtual, também conhecidos como hackers. Este filme serve como alerta para todos os que não estão cientes do aumento exacerbado de problemas de segurança a nível mundial que se tem verificado atualmente.

Do ponto de vista do analista de segurança, os ataques efetuados são realistas e não ficcionados, como em certas séries em que nos deparamos, por exemplo, com duas pessoas a escrever no mesmo teclado para serem mais rápidas, ou o cursor do rato a mexer enquanto alguém tecla freneticamente.

“Hackers don’t care” é a frase mais conhecida no mundo da segurança digital, isto porque o objetivo final dos criminosos é a obtenção de resultados, utilizando para isso os truques que mais facilmente e rapidamente lhes permitirão obter acesso à informação desejada. Neste mundo obscuro em que vale tudo para se conseguir dinheiro ou simplesmente o reconhecimento por se ter feito um determinado ataque, é com a vigarice, como no caso de um email falso, ou o contacto humano direto, que se conseguem os melhores resultados.

Nem tudo é como nos filmes em que um hacker é alguém que consegue aceder ao computador da vítima com um estalar dos dedos. No entanto, a verdade é que requer uma extensa análise anterior para identificar padrões e referências sobre quem e o que se está a atacar. Numa situação recente em que fomos contratados para analisar a segurança de uma empresa, resolvemos atacar um alto quadro pois é ele que detém acesso às informações mais importantes e com maiores “benefícios monetários”. Inicialmente investigamos a empresa e posteriormente a secretária desse executivo, tentando obter acesso ao seu computador, telemóvel, ou até ao cesto dos papéis do escritório, pois será mais fácil e mais discreto do que ao próprio alvo. Em casos mais extremos, até nos aproximamos num café, ou num outro local público, para injetar um vírus no telemóvel que nos permitirá aceder à rede interna do escritório. Isto porque, hoje em dia, com a prática do “traga o seu dispositivo” para o trabalho, é possível que equipamentos infetados povoem redes de sistemas críticos e confidenciais. Os conhecidos ataques que exploram remotamente as vulnerabilidades da infraestrutura das empresas são bastante sui generis, e quando se encontram disponíveis, qualquer empresa minimamente competente os corrige em poucas horas após serem detetados, pois dispõem de firewalls que se adaptam, entre outros mecanismos de segurança.

Conseguimos encontrar no filme técnicas reais de ataques, como o envio do email com o programa que grava o que é teclado e que foi enviado para o responsável da Agência Nacional de Segurança americana, ou ainda a técnica que infetar o computador do segurança com uma pen USB para ter acesso aos dados da vítima. Estes são ataques que, infelizmente, por desconhecimento das vítimas, funcionam muito bem e os quais são feitos com sucesso em quase todos os trabalhos que realizamos.

Nas análises de segurança que fazemos, é nas empresas que se acham mais seguras em que é encontrado o maior número de vulnerabilidades e forma de as explorar. Não é por fecharmos os olhos e acharmos que estamos seguros que os problemas desaparecem; é preferível conhecer os problemas de segurança e mitigar os mais críticos, do que simplesmente não saber.

Information Security Consultant/Auditor da Multicert