Posted: 5 Min ReadPortuguês
Original Post: English

RSAC 2019: entrando na mente de um hacker

Há uma guerra de inteligência acontecendo todos os dias, e os hackers est?o vindo com armamento pesado

Quando se trata de entrar na mente de um hacker malicioso, nada melhor que um “white hacker” (um hacker ético) para entender o que eles pensam.

Nas duas últimas décadas, Joseph Carson vem aconselhando empresas sobre como frustrar os planos de invasores, usando sua experiência como hacker e veterano em testes de penetra??o para encontrar brechas nas redes.

“Sou um hacker”, afirma Carson, ao se apresentar a um público aglomerado em uma sala no canto, mas de onde ainda é possível escutar a agita??o que ocorre no piso da conferência RSA 2019. Hoje em dia, Carson atua como cientista-chefe de seguran?a para a Thycotic, uma empresa de software sediada em Talinn, na Est?nia. Ele também trabalhou na Symantec durante uma década, ocupando cargos em diversos setores de gerenciamento de produtos.

O ex-hacker estava lá para compartilhar algumas das abordagens preferidas utilizadas por invasores para tentar enganar defensores. Carson pediu às empresas que n?o se tornem complacentes quanto à natureza das amea?as que elas enfrentam. Ao mesmo tempo, ressaltou que as empresas têm aliados onde menos esperam.

“Há uma percep??o equivocada de que todos os hackers s?o maus”, disse Carson. “S?o os criminosos que buscam lucro e que roubam outras pessoas. A maioria dos hackers está aqui para ajudar.”

é essencial saber como os hackers criminosos v?o atacá-lo para que você possa se proteger melhor.

Pensando nisso, Carson demonstrou como é fácil para um invasor determinado destrinchar uma defesa cibernética que se julgava ser impenetrável.

Nesse caso, o alvo era uma usina, uma instala??o que controla rigidamente o acesso à área física e onde os sistemas SCADA eram usados para monitorar e controlar equipamentos. Em outras palavras, é o tipo de ambiente em que a seguran?a vem em primeiro, segundo e terceiro lugar.

Em teoria, pelo menos. Ficou a cargo de Carson, que havia ingressado três anos antes, testar a prepara??o de seguran?a da institui??o, cujo nome n?o pode ser revelado.

"é essencial saber como os hackers criminosos v?o atacá-lo para que você possa se proteger melhor", explica Carson, que falou sobre a abordagem de tentativa e erro que empregou para obter acesso interno.

“Quando comecei minha investiga??o de recursos, comecei a questionar no que eu estava metido. Usinas s?o muito diferentes. A seguran?a física delas é impressionante, n?o tem como chegar perto dos port?es. N?o tem como voar com um drone por cima da instala??o, pois isso é ilegal, e n?o teria como ter acesso físico ao perímetro.”

Fora isso, foi moleza.

“A primeira coisa que sempre fa?o é reconhecimento: crio um modelo digital para entender tudo que eu puder sobre o alvo. Também assisto a vídeos sobre o que fazem por lá, verifico os currículos das pessoas que eles contratam e tento entender as tecnologias que est?o utilizando.”

Mas, nesse caso, ele precisou adequar o plano padr?o.

“N?o seria possível comprar um sistema SCADA no eBay, por isso n?o poderia analisar um. Eu precisaria ler toda a documenta??o sobre os sistemas, mas ela n?o estava prontamente acessível. Ent?o eu me concentrei em procurar as pessoas mais vulneráveis: quando elas saem para tomar café ou para qual time de futebol elas torcem, entre outras coisas.”

Carson estava tentado a implementar uma campanha de phishing, o que geralmente funciona para conseguir acesso a um lugar. Ele contou que geralmente envia emails falsos para as vítimas nas tardes de sexta-feira, depois do expediente, nos quais notifica as vítimas de que foram intimadas por excesso de velocidade e que têm multas atrasadas.

“Todos tinham ido para casa, já que o escritório fecha às 17h. Ninguém quer infringir a lei. Outra coisa com que nós brincamos é o medo dos prazos quando se infringe a lei. Dizemos, por exemplo, que se a multa n?o for paga, ela triplicará nas próximas 24 horas.”

Ele precisou mudar o plano de ataque, pois sua maior preocupa??o era a de n?o ser detectado.

“Se eu fizesse uma campanha de phishing, poderia causar alarde, e isso me traria problemas. Ent?o, eu precisava mudar meu método de acesso e percebi que teria de entrar fisicamente na usina”, disse.

Carson analisou os dados de reconhecimento que tinha compilado e vasculhou a cadeia de suprimento da instala??o, pensando que talvez precisasse conseguir um servi?o que lhe desse a chance de entrar no local. “Estava disposto até a limpar o ch?o para conseguir acesso”, disse Carson,

mas ele n?o precisou fazer isso.

O profissional de seguran?a descobriu que uma equipe de grava??o visitaria a instala??o para fazer um comercial de televis?o, ent?o providenciou credenciais de fotógrafo para tirar fotos da equipe.

Esse foi um risco calculado, dada sua notoriedade no setor de seguran?a.

“Passei a noite antes do teste acordado, conversando com um amigo sobre o teste de penetra??o, e ele me perguntou o que aconteceria se eu fosse reconhecido, afinal, eu trabalho com isso há muito tempo.”

Carson n?o conseguiu dormir direito,

mas as preocupa??es dele foram em v?o. Embora a seguran?a física fosse “impressionante”, ele foi recebido como convidado.

Carregando seu equipamento de fotografia, Carson buscou oportunidades para mexer nos bolsos, que estavam repletos de dispositivos USB infectados.  

“Geralmente, eu fa?o uma verifica??o na rede. Hackers aproveitam os recursos disponíveis e usam as próprias solu??es dos clientes para fazer a verifica??o. Porém, nesse caso, eu n?o estava na rede. Eu estava observando-a. Estava procurando um lugar para entrar na rede, mas n?o havia nada exposto. Todos os controles e áreas de entrada em potencial estavam protegidos atrás de portas trancadas.

Quando a equipe foi conduzida à casa de máquinas, Carson ainda n?o sabia como invadir a rede e estava quase pronto para admitir que dessa vez ele tinha sido derrotado.

“Quando senti que ia fracassar, vi na mesa de um engenheiro um peda?o de papel impresso com várias senhas e credenciais padr?o. Fiquei estarrecido. Essas eram as chaves para o meu reino, e com elas eu poderia fazer o que quisesse.”

Vitória? Ainda n?o.

Achando que essa apresenta??o seria um sucesso, Carson informou à diretoria suas descobertas sobre falhas e riscos em potencial na seguran?a cibernética do local.

“Eles n?o fazem verifica??o de antecedentes dos visitantes, as senhas padr?o n?o s?o alteradas etc. Apresentei todas essas vulnerabilidades. A reuni?o com a diretoria terminou, agradeceram minha participa??o e falaram que o or?amento tinha sido recusado e que eu estava liberado. Fiquei pensando no que tinha feito de errado.”

Isso tudo foi revelador. Quando Carson se encontrou com o chefe de seguran?a, ele descobriu que a apresenta??o n?o ajudaria a resolver nenhum problema de negócios deles, e por isso o relatório n?o causou nenhuma impress?o.

“Eu falei sobre seguran?a cibernética e acabei percebendo que n?o estava falando a mesma língua que a diretoria”, ele explicou.

Carson conseguiu agendar uma nova reuni?o e voltou alguns dias depois para contar a mesma história, mas dessa vez de uma maneira diferente.

“Dessa vez eu informei sobre os riscos, mas foquei em aspectos como custo e eficiência. Falei sobre os negócios e conversei com a diretoria na linguagem deles, e é assim que a seguran?a cibernética pode ajudar você a atingir seus objetivos.”

Dessa vez, a mensagem foi bem recebida. E, com isso, Carson também aprendeu alguns conselhos para dar aos profissionais de seguran?a cibernética quando eles precisarem interagir com as pessoas responsáveis por tomar decis?es: passe a mensagem de forma simples e se concentre nos negócios, n?o na tecnologia.

“é preciso fazer uma abordagem mais voltada para as pessoas”, disse. “N?o há espa?o para complexidade neste setor.”

About the Author

Charles Cooper

Consulting Editor

Charles Cooper has covered technology and business for more than 25 years. He is now assisting Symantec with our blog writing and managing our editorial team.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.