0
0
Em 28 de abril de 2016, um funcionário de tecnologia de TI do Comitê Nacional Democrata chamado Yared Tamene fez uma descoberta doentia: um notório grupo de hackers russo conhecido como Fancy Bear havia penetrado um servidor DNC “no coração da rede”, como ele mais tarde diria ao Comitê Seleto de Inteligência do Senado dos EUA. A essa altura, os invasores já tinham a capacidade, segundo ele, de excluir, alterar ou roubar dados da rede à vontade. E de alguma forma essa violação foi uma surpresa terrível — apesar do aviso de um agente do FBI a Tamene sobre possíveis hackers russos por causa de uma série de telefonemas que começaram totalmente nove meses antes.
Os avisos do agente do FBI “nunca usaram linguagem alarmante”, disse Tamene ao comitê do Senado, e nunca chegou a ser superior ao diretor de TI do DNC, que os demitiu após uma busca superficial da rede por sinais de crime. Essa falha de comunicação resultaria no sucesso da operação de hack-and-leak patrocinada pelo Kremlin que, em última análise, contribuiria para a eleição de Donald Trump.
Quatro anos depois, o FBI e a comunidade de profissionais de segurança de resposta a incidentes que muitas vezes trabalham com os agentes do FBI dizem que o FBI mudou significativamente a forma como se comunica com as vítimas de hackers — o melhor para evitar outro desastre no estilo DNC. Em entrevistas à WIRED, funcionários do FBI nunca admitiram explicitamente uma falha no caso da notificação errada do DNC. Mas eles e seus homólogos do setor privado, no entanto, descreveram um bureau que renovou suas práticas para alertar alvos de hackers mais rapidamente, e em um nível mais alto da organização alvo — especialmente em casos que podem envolver a próxima eleição ou o flagelo do ransomware que custa milhões de dólares às empresas em todo o mundo.
Em dezembro do ano passado, por exemplo, o FBI anunciou uma nova política formal de notificar imediatamente funcionários do governo estadual quando o fbi identifica uma ameaça à infraestrutura eleitoral que eles controlam. Mas as melhorias vão além dos avisos para as autoridades estaduais, diz Mike Herrington, chefe da seção da divisão cibernética do FBI. “Vejo uma mudança fundamental na prática e ênfase, colocando nossos agentes especiais no comando para obter a cooperação completa das vítimas em potencial”, diz Herrington, que diz ter notificado pessoalmente dezenas de vítimas de incidentes de hackers ao longo de sua carreira.
Esses “agentes especiais no comando” são mais bem classificados do que os agentes típicos de campo que notificaram as vítimas no passado, observa Steven Kelly, chefe de política cibernética do FBI. Kelly diz que esses agentes especiais também foram instruídos a apontar seus avisos mais acima do organograma da vítima. “Queremos que eles cheguem ao nível da suíte C, aos executivos seniores”, diz Kelly. “Para ter certeza de que eles estão cientes do que está acontecendo e que eles estão colocando a quantidade certa de calorias para resolver os problemas para que essas coisas não sejam ignoradas ou enterradas.”
Primeiro Alerta
Ao contrário de praticamente todos os outros crimes que o FBI lida, o FBI está frequentemente na estranha posição de ser o primeiro a dizer a uma pessoa ou organização que eles são vítimas de um ataque cibernético. Muitas vezes, os avisos são baseados em evidências retiradas de campanhas de hackers em andamento — às vezes de agências de inteligência ou até mesmo de governos estrangeiros — como um servidor comum de comando e controle em diferentes invasões. “Muitas vezes é um evento muito significativo na carreira ou na vida dessa pessoa ter o FBI ligando para elas e dizendo que acreditamos que você pode ser vítima de um crime”, diz Herrington.
Na última década, porém, o papel do FBI como mensageiro mudou, à medida que as organizações se tornam mais adeptas a descobrir suas próprias invasões. Nos últimos anos, cerca de metade das invasões de hackers foram descobertas pelas próprias vítimas, de acordo com o relatório M-Trends sobre respostas de violação de dados publicado pela empresa de resposta a incidentes Mandiant. Essa é uma mudança drástica a partir de 2011, quando 94% das violações foram detectadas pela primeira vez por uma organização externa, geralmente a aplicação da lei.
Mesmo assim, o crescimento do grande número de incidentes de hackers significa que o FBI está notificando muito mais vítimas do que no passado, diz Jake Williams, ex-hacker da NSA e fundador da consultoria de segurança Rendition Infosec, que muitas vezes atua como uma empresa de resposta a incidentes para vítimas de hackers. Williams diz que nos últimos anos, ele viu uma duplicação ou triplicação do número de ligações que sua firma recebe de vítimas de hackers que foram notificadas pela primeira vez pelo FBI. As notificações ainda fornecem muitas vezes apenas o mínimo de informações sobre a violação — como a observação do FBI de que um computador na rede da vítima conectado a um servidor malicioso conhecido — e espera-se que as vítimas liguem para seus próprios consultores de resposta a incidentes para expulsar os hackers, com pouca ajuda do próprio FBI.
Mas Williams também diz que descobriu que o FBI agora notifica as vítimas mais cedo depois que seus agentes detectam uma brecha; nos anos passados, o FBI às vezes alertava as vítimas apenas que tinham sido vítimas de uma intrusão, muitas vezes bem depois do fato. “Estamos recebendo mais informações na parte da frente”, diz Williams. “Antes era comum, ‘não podemos dizer exatamente quando e não sabemos se ainda está acontecendo, mas você deve saber.’
Por alguns relatos, pelo menos, a escandalosa falha de comunicação que permitiu que hackers russos corressem soltos nas redes do DNC é muito menos provável de ocorrer hoje. Um funcionário do DNC disse à WIRED que a organização tem tido reuniões regulares com agentes do FBI desde 2016; se ocorrer outro incidente, as duas organizações já teriam relações entre altos funcionários de ambos os lados. “Basicamente, resolvemos esse problema e temos canais de comunicação muito bons e claros”, escreveu o funcionário do DNC em um e-mail.
Dmitri Alperovitch, ex-CTO da Crowdstrike, que lidou com a resposta a incidentes para a violação do DNC em 2016 e muitos outros incidentes de hacking patrocinados pelo Estado, concorda que as práticas do FBI mudaram — especificamente que está tomando mais cuidado para alcançar executivos ou funcionários seniores que levarão seus avisos a sério. Alperovitch aponta que o FBI realmente alertou o DNC poucos dias após os hackers russos violarem sua rede. O problema, diz ele, era que os agentes que trabalhavam no caso tinham resolvido um aviso a um funcionário de baixo nível. “Eles deveriam ter alcançado os superiores”, escreveu Alperovitch em uma mensagem à WIRED. “Eu os vejo subindo mais alto a cadeia hoje em dia, então sim, eu acho que é melhor.”
Mantido para resgate
Eleições à parte, a epidemia de ransomware que atinge empresas dos EUA também forçou o FBI a melhorar e acelerar seus avisos às vítimas de hackers. Para alguns desses casos, diz o agente especial Tyson Fowler, o FBI desenvolveu um processo chamado de “notificação de chumbo de emergência” que ignora as consultas internas habituais do FBI e notifica imediatamente um agente focado em segurança cibernética em um escritório de campo que pode avisar uma vítima, espero que antes que os hackers entreguem sua carga de ransomware. “Estamos nos inclinando para a frente em termos de notificar as vítimas o mais rápido possível e pular todos esses passos”, diz Fowler.
Em um caso em fevereiro, por exemplo, Fowler diz que soube de uma intrusão focada em ransomware na rede de uma empresa multinacional com sede na Geórgia e, no final do dia, havia chegado ao CEO da empresa para alertar sobre o ataque iminente. A empresa tomou parte de sua rede offline, interrompendo o acesso dos hackers ao seu malware, diz Fowler. “Você tem o que poderia ter sido um evento de nível de extinção para a empresa, e fomos capazes de evitar o impacto financeiro e o impacto da privacidade apenas pela resposta rápida”, diz Kevvie Fowler, uma resposta a incidentes com a Deloitte, a quem a empresa trouxe para ajudar a corrigir a violação.
Nada disso renovou a urgência na notificação das vítimas garante que os hackers não vão superar os defensores de qualquer maneira. Eles podem, de fato, estar aprendendo a operar mais rápido dentro das redes das vítimas à medida que o ritmo de resposta acelera. Mas, pelo menos nos casos em que o FBI fica sabendo de uma intrusão contínua, o período de rédea livre que eles desfrutam antes de serem caçados por respondentes de rede pode não durar mais meses, como no hack do DNC, mas em dias ou horas.
FONTE: WIRED