O campo de batalha digital: Hackers éticos vs. maliciosos
Introdução
Sabia que, em 2011, o Citibank (Citigroup) sofreu um ataque informático que resultou no roubo de quase 2,7 milhões de dólares?
Os actores limitaram-se a tirar partido de uma simples violação de dados no seu sítio Web. A exploração foi feita durante meses antes de ser detectada. O banco sofreu muito com isso, uma vez que mais de 360 mil contas foram afectadas, e foi um grande desafio livrar-se da situação.
Resumo
Nascimento da Segurança da Informação
Nas últimas duas décadas, a ciência da computação cresceu drasticamente
A importância da informação tornou-se tão grande que pode salvar vidas humanas! É também muito importante na nossa vida quotidiana, e encontramo-la sob muitas formas. Neste artigo, vamos falar de informação digital, ou seja, informação armazenada em computadores, que designaremos por dados.
Os dados estão em todo o lado, nas escolas, hospitais, bancos, governos, forças armadas, supermercados, etc. Basicamente, toda a gente no mundo tem dados. A sua importância difere de pessoa para pessoa e de uma utilização para outra
Infelizmente, como nada é perfeito neste mundo, o acesso a estas informações pode ser comprometido. Isso deve-se sobretudo ao fator humano, sob várias formas. Pode ser um erro, uma falha ou, por vezes, uma simples negligência. Isto pode levar a que se deixem falhas de segurança num sistema digital, a que chamamos vulnerabilidades.
E há muitas pessoas com intenções maliciosas que tentam tirar partido destas vulnerabilidades e que as atacam para seu próprio benefício. São os chamados Hackers.
Os piratas informáticos são vistos como criminosos, e isso está longe de ser errado. As consequências dos seus actos podem ser desastrosas, incluindo a perda de dinheiro e a ruína da vida de muitas pessoas, mas por vezes há danos menores que não podem ser negligenciados. Vamos analisar algumas dessas consequências mais adiante.
A sua existência tornou inevitável a necessidade de cuidar da segurança da informação, tendo pessoas a lutar contra eles (hackers).
Chamam-se Ethical Hackers e o seu trabalho consiste basicamente em evitar ou minimizar os ataques dos hackers (também conhecidos como ciberataques). São pessoas que trabalham para tornar o mundo digital um lugar mais seguro.
Ciberataques
Assim, os ciberataques, como já foi referido, são actos de piratas informáticos. Os hackers atacam os sistemas para roubar, efetuar alterações não autorizadas ou mesmo destruir dados para muitos fins maliciosos.
A maioria destes ataques pode ser classificada numa destas três categorias.
Ataques contra sistemas
Neste caso, as vulnerabilidades são geralmente causadas por um erro técnico no sistema. Os hackers utilizam o seu conhecimento do sistema e do seu funcionamento para encontrar uma forma de o utilizar a seu favor, podendo obter acesso não autorizado a um recurso ou mesmo ao sistema como um todo.
Falamos em geral de:
-
Explorações de dia zero (vulnerabilidades recentemente descobertas que não foram corrigidas, o que significa que ainda estão presentes na versão mais recente do sistema).
-
Os CVE (códigos de exploração de vulnerabilidades) são provas de conceitos que são relevantes contra sistemas desactualizados.
-
Ataques do tipo "man-in-the middle", negação de serviço (DOS), negação de serviço distribuída (DDOS), etc.
Ataques contra pessoas
É do conhecimento geral que o ponto mais vulnerável de um sistema digital é o ser humano. É o ator mais imprevisível dentro dele. Muitos ataques cibernéticos têm sido realizados contra pessoas que trabalham em empresas, expondo dados críticos ou realizando acções desastrosas em muitos sistemas.
Eis uma citação que gostaria de expor
Não há remédio para a estupidez humana
O que significa que nada pode ser feito quando um hacker consegue piratear as próprias pessoas! Aqui falamos mais sobre engenharia social, que tem como objetivo invadir a mentalidade de uma pessoa utilizando muitas técnicas como o phishing.
Ataques contra sistemas através de pessoas
Neste caso, o objetivo do ataque é geralmente destruir dados ou avariar um sistema. Para o efeito, as pessoas utilizam programas informáticos maliciosos, denominados malware.
São programas que destroem os dados, alteram completamente a sua forma, tornando-os inutilizáveis, ou até mesmo vazam-nos, o que leva a consequências graves. E é essa a função do
-
Vírus: programas que se propagam muito rapidamente num sistema ou numa rede
-
ransomware: malware que encripta dados através de um algoritmo forte e pede um resgate para os recuperar.
-
Trojans, worms, etc.
-
Por outro lado, o malware pode ficar inativo e apenas roubar dados, como acontece com o spyware.
E, como vê, estes só são alcançados por erros humanos que os incluem no sistema de uma forma ou de outra.
Algumas catástrofes cibernéticas críticas
Na última década, o mundo conheceu inúmeros ciberataques que tiveram consequências graves.
Isto fez com que as organizações se preocupassem mais com a segurança dos seus sistemas.
Eis algumas das mais conhecidas:
- SonyPictures Hack (2014)
O ciberataque à Sony Pictures Entertainment em 2014, que foi atribuído à Coreia do Norte, levou à exposição de dados confidenciais, incluindo filmes não lançados e informações sensíveis sobre os funcionários. Os autores, que operavam sob o pseudónimo "Guardians of Peace", exigiram que a Sony suspendesse o lançamento do filme "The Interview", que apresentava um enredo fictício envolvendo o assassinato do líder da Coreia do Norte.
- WannaCryRansomware (2017)
O WannaCry, um ataque mundial de ransomware, procurou especificamente computadores que utilizavam versões desactualizadas do Windows. Este programa malicioso propagou-se rapidamente, afectando tanto organizações como indivíduos em todo o mundo. Explorou uma vulnerabilidade de segurança roubada da NSA para encriptar os ficheiros das vítimas, levando-as a pagar um resgate pela desencriptação dos dados. Antes que ocorressem danos substanciais, um investigador de segurança identificou, por acaso, um mecanismo para travar o ataque.
- SolarWindsCyberattack (2020)
O ciberataque da SolarWinds foi uma violação da cadeia de fornecimento intrinsecamente planeada que teve como alvo a SolarWinds, uma importante empresa de gestão de TI. Os assaltantes comprometeram as actualizações de software da SolarWinds, dando-lhes acesso aos sistemas de várias entidades, incluindo agências governamentais e grandes empresas. O ataque foi associado a um grupo russo de Ameaça Persistente Avançada (APT).
- Log4j**(2021)**
Log4j, um utilitário Java bem estabelecido com uma história de duas décadas, encontrou um momento crucial em dezembro de 2021 com a descoberta de uma vulnerabilidade crítica chamada Log4Shell. Esta falha permitia que agentes maliciosos não autenticados e não qualificados assumissem o controlo de aplicações, conduzindo a dispendiosas violações de segurança.
- Twitter**(5,4 milhões de contas de utilizadores roubadas devido a um ataque de engenharia social em 2022)**
Em 5 de agosto de 2022, o Twitter fez um anúncio surpreendente, revelando que um hacker, operando sob o pseudónimo "devil", tinha explorado uma vulnerabilidade de dia zero. Esta violação permitiu-lhe ligar dados de identificação pessoal, como números de telefone e endereços de correio eletrónico, a contas de utilizadores na plataforma de redes sociais.
Aproveitando a oportunidade oferecida por esta vulnerabilidade, o hacker divulgou posteriormente um vasto conjunto de dados em fóruns online, fixando o seu preço em 30 000 dólares. A existência do bug tornou-se conhecida publicamente em junho de 2021, afectando mais de 5 milhões de utilizadores.
Em resposta a este incidente, o Twitter agiu rapidamente, contactando diretamente os proprietários das contas afectadas e oferecendo orientação. Eles pediram aos utilizadores que implementassem a autenticação de dois factores como uma salvaguarda essencial contra o acesso não autorizado às suas contas.
Hackers éticos
Como já foi referido, o aumento de hackers no domínio da tecnologia fez com que as organizações pensassem em soluções para aumentar a segurança dos seus sistemas.
Assim, tiveram de encontrar posições ou empregos que pagassem para analisar estes sistemas e detetar vulnerabilidades, de modo a corrigi-las. As pessoas que estão a ocupar estes cargos são, na verdade, as que designamos por hackers éticos.
A pirataria informática divide-se em duas categorias principais
-
Segurança ofensiva: Também conhecido como teste de penetração ou hacking ético, é a prática de simular ciberataques nos sistemas de uma organização para identificar vulnerabilidades e fraquezas. O principal objetivo da segurança ofensiva é descobrir e resolver proactivamente os problemas de segurança antes que os agentes maliciosos os possam explorar.
-
Segurança defensiva: Centra-se na proteção dos sistemas, dados e infra-estruturas de rede de uma organização contra potenciais ameaças. O seu principal objetivo é impedir o acesso não autorizado, as violações de dados e outros incidentes de segurança.
A pirataria informática adopta abordagens ou equipas geralmente diferentes quando se trata de proteger um sistema
-
Red teaming: é uma abordagem estruturada e sistemática para testar e avaliar a segurança dos sistemas, processos e defesas de uma organização. Envolve a simulação de ciberataques e outras ameaças para avaliar a postura de segurança, as vulnerabilidades e a resiliência geral de uma organização. O principal objetivo da equipa vermelha é fornecer uma avaliação imparcial e realista das capacidades de segurança de uma organização e identificar pontos fracos que podem não ser visíveis através dos métodos tradicionais de teste de segurança.
-
Blue Teaming: As equipas azuis são responsáveis pela proteção dos activos digitais, sistemas e dados de uma organização contra ciberameaças, ao mesmo tempo que trabalham para detetar e responder a incidentes de segurança. Em contraste com as equipas vermelhas, que simulam ataques e actividades adversas, as equipas azuis preocupam-se principalmente em manter e melhorar a postura de segurança da organização
-
Purple teaming: é uma abordagem colaborativa e integrada à cibersegurança que combina os esforços das equipas vermelhas e das equipas azuis de uma organização. O objetivo do purple teaming é melhorar a postura geral de segurança de uma organização, facilitando a comunicação, a partilha de conhecimentos e a realização de testes conjuntos entre estas duas equipas
Existem outros tipos de equipas que são mais especializadas, como mostra a imagem abaixo
Tendo em conta a importância do seu papel no mundo da informação, existem várias organizações e empresas especializadas na prestação de serviços no domínio da infosec, como testes de penetração e análise de aplicações.
Não só as organizações, mas também os freelancers neste domínio registaram um aumento interessante com o aparecimento de programas de Caça aos Bugs (programas lançados por empresas que recompensam indivíduos por reportarem vulnerabilidades que encontram nos seus sistemas).
Conclusão
Em jeito de conclusão, devemos afirmar que a guerra entre hackers éticos e não éticos não é algo que possa terminar enquanto a informação digital continuar a ser um recurso crítico.
Toda a gente deve estar ciente das práticas de segurança da informação que não requerem conhecimentos técnicos. E pensar numa carreira na área da cibersegurança é uma opção interessante, uma vez que os hackers éticos são muito procurados e existem muitos recursos para começar a aprender de imediato! Para terminar este artigo, temos uma pergunta para si. Já foi afetado por um ataque informático como o phishing, ou já foi afetado por ransomware ou vírus? Deixe-nos saber!