0
0
Desde 13 de dezembro, a violação do SolarWinds dominou o ciclo de notícias. A Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu uma diretiva de emergência para mitigar as consequências da violação de segurança. A SolarWinds, empresa responsável pelo software em questão, informou que cerca de 18.000 clientes podem ter sido afetados. Outros relatórios indicam que uma variedade de agências governamentais, incluindo os Departamentos do Tesouro, Estado, Comércio, Energia (especificamente, a Administração Nacional de Segurança Nuclear, que é responsável pelo estoque de armas nucleares dos EUA) e a Segurança Interna também foram afetadas. O Washington Post informa que os russos estão por trás do hackeamento e que eles têm uma base nas redes afetadas desde março de 2020.
A linha do tempo deste incidente ainda está se desenrolando, e mais informações estão disponíveis todos os dias sobre suas particularidades, mas não é muito cedo para oferecer uma série de observações e previsões de alto nível:
- A escala e o significado deste incidente crescerão à medida que mais detalhes da violação forem revelados. Há poucas chances de que todos os danos que ocorreram tenham sido revelados às vítimas do ataque. Além disso, é inteiramente possível que partes não detectadas do ataque ainda estejam em operação, continuando a coletar informações que serão transmitidas de volta ao adversário ou para plantar “bombas lógicas” que serão “detonadas” em uma data futura. (Uma “bomba lógica” é um código inserido em um programa que faz mal ao sistema de computador no qual está sendo executado quando determinadas condições são atendidas, como a data de 4 de janeiro de 2021 ou o processamento de uma transação avaliada em um valor específico como $612.292.21.) Embora não haja evidências no momento de que este seja o caso, nada apareceu nos registros públicos que o excluíssem.
- Os responsáveis tiveram muitos meses para penetrar nas infraestruturas de tecnologia da informação de seus alvos. Eliminar completamente o acesso dos atacantes à rede será muito difícil se não impossível. Uma analogia útil pode ser a terapia para o câncer — a menos que você possa matar essencialmente todas as células cancerígenas do corpo de alguém em uma rodada inicial de terapia, o câncer pode muito bem retornar enquanto o paciente está em remissão. E matar todas as células cancerígenas no corpo de alguém é muito difícil de fazer. Reconstruir sistemas de TI inteiros do zero pode ser a única coisa que as redes afetadas podem fazer para garantir que os atacantes não tenham mais uma base.
- As vítimas que tentarem reconstruir seus sistemas do zero enfrentarão escolhas agonizantes entre segurança e alguma perda significativa de trabalho que foi feita entre março de 2020 e agora (sem mencionar a perda de produtividade implicada em sistemas de reconstrução em vez de fazer um novo trabalho útil). Por exemplo, pode-se considerar restaurar bancos de dados de mídia de backup — assumindo que os backups ainda estejam disponíveis a partir de março, o que certamente não é garantido. Mas os registros em muitos desses bancos de dados provavelmente terão sido alterados, às vezes significativamente, desde março. O uso de backups a partir de março significará perder todo o trabalho feito nesses bancos de dados nos últimos nove meses. O uso de backups mais recentes poderia reduzir a quantidade de trabalho perdido, mas quanto mais recente o backup, maior a probabilidade de que o próprio backup contenha dados potencialmente contaminados.
- É impossível para qualquer fornecedor de produtos ou serviços de computador desenvolver o que precisa sozinho. Mesmo o fornecedor mais sofisticado de produtos e serviços de TI obtém componentes como uma fonte de alimentação ou uma biblioteca de programas de outras partes para se integrar em suas ofertas para os clientes. A violação do SolarWinds foi descrita como um “ataque da cadeia de suprimentos”, o que é verdade. Mas as vulnerabilidades da cadeia de suprimentos têm sido uma preocupação para especialistas em segurança cibernética há várias décadas, e poucos com autoridade de tomada de decisão ouviram — não deveria ter levado o incidente solarwinds para esses indivíduos se concentrarem seriamente em questões de segurança da cadeia de suprimentos.
- A maioria das violações de segurança cibernética relatadas até agora resultou em comprometer a confidencialidade dos dados — os hackers obtêm as mãos em dados que eles não têm o direito de acessar. Mas há outras ameaças aos dados. Os compromissos com a integridade dos dados são de profunda preocupação — casos em que os hackers alteram ou apagam dados. Compromissos de integridade podem ser ainda mais perigosos do que compromissos de confidencialidade. Quando os registros médicos eletrônicos estão envolvidos, a maioria das pessoas se sentiria muito pior sobre uma intrusão cibernética que removeu uma indicação de uma alergia a um determinado medicamento de um registro médico do que um que apenas revelou essa alergia, mesmo que esses registros deveriam ser mantidos em sigilo.
- Data is not the only component at risk in cybersecurity breaches—cyberphysical devices and computer-based control systems can also be affected. Even smartphones and personal computers have the ability to control physical devices, such as printers and devices like Amazon’s Alexa. One report indicates that the compromised SolarWinds Orion software is sometimes used to manage networks that support devices for environmental controls and power in buildings. But nearly any physical real-world functionality can be tied to a network and controlled by computer, and it is quite unlikely that anyone knows the full range and extent of cyberphysical capabilities that the attackers could now control. This lack of knowledge may also be true even in individual organizations where building engineers and individual offices often make decisions, without reporting to higher management, to put control of physical systems on networks.
- In recovering from a cybersecurity breach, psychology also plays an important role. If your system has been compromised to an unknown extent, and your IT employees tell you that it now works properly, could you trust their judgement following a large breach? For example, if you have a calculator in your office that gives an error in about ten percent of its calculations—would you trust it to complete your tax return? It mostly works—but you would probably not base your 1040 on it. Similarly—would you trust the data in your company’s databases following a breach? What would reassure you that essential data has not been compromised and is still valid as read from the database? On the other hand, you may have no choice about it—you may have to proceed, despite your doubts.
- What is the most important security lesson to come from a breach of this size? Cybersecurity requires resilience as well as strong defenses. Unfortunately, the United States’ public and private sectors have simply not yet internalized this fact. The idea that it is possible to erect cybersecurity defenses that will keep the bad guys out of systems and networks forever is absurd on the face of it, and no serious cybersecurity professional believes that is possible. Those using information technology must assume their systems and networks have already been compromised, and take the proper precautions as if they are operating on compromised systems and networks. This will be inconvenient, reduce productivity and seem unnecessary, but it is the only way to limit the effects of a security compromise.
- The only way to limit cybersecurity risk in the long-term future is to moderate user demand for more functionality. Today, users want computer systems to be faster, easier to use and more interoperable; to control more things; and to provide new capabilities. Meeting all of these demands requires increasing complexity in computer systems. But cybersecurity experts know that more complexity in a system inevitably leads to less security—there are simply more ways to gain unauthorized access and more vulnerabilities to be exploited. In effect, consumers’ unmoderated appetites for functionality lead to more insecure systems. Unfortunately, information technology vendors have strong incentives to sell systems and services that offer more for their customers, and moderating user appetites is inconsistent with their business models.
How will the U.S. government respond to the SolarWinds hack? Predictably, many politicians are already describing this breach as an act of war against the United States. Senator Richard Durbin described the SolarWinds incident as a “virtual invasion.” Senator Mitt Romney said, “a cyberhack of this nature is really the modern equivalent of almost Russian bombers reportedly flying undetected over the entire country.” Senator Chris Coons said that “it’s pretty hard to distinguish this from an act of aggression that rises to the level of an attack that qualifies as war.”
But the public has heard similar rhetoric before. For example, in the aftermath of the Office of Personnel Management (OPM) hack revealed in 2015, Representative Carolyn Maloney asserted that she “consider[s] this attack [the OPM hack] … a far more serious one to the national security” of the United States than the 9/11 attacks. In the aftermath of the Russian election intervention in 2016 against the United States, former Vice President Dick Cheney said that “there was a very serious effort made by Mr. Putin and his government, his organization, to interfere in major ways with our basic, fundamental democratic processes. In some quarters that would be considered an act of war.”
Neither breaking into and spying on computer systems even on a massive scale nor even conducting cyber-enabled propaganda and influence activities rise to the level of “armed attack” that would justify uses of military force in self-defense. The incoming Biden administration has pledged to make cybersecurity “a top priority at every level of government” and to “disrupt and deter our adversaries from undertaking significant cyber attacks in the first place … by, among other things, imposing substantial costs on those responsible for such malicious attacks.”
But how will their strategy differ from current U.S. policy? Unless the incoming administration is prepared to ignore the restraints posed by international law under such circumstances, those hoping for a satisfying escalatory kinetic response are going to be disappointed.
What about imposing costs in cyberspace? U.S. leaders, in response to such incidents, typically miss the fact the U.S. is already imposing costs in cyberspace on its adversaries. Those costs, from the adversary’s perspective, are considerable. The U.S. has conducted and continues to conduct a host of activities in cyberspace against other nations that—were they done to the U.S.—would prompt outrage and anger.
Although many of those activities are not known to the public, press reports shed light on some that have occurred in the past. For example, the Washington Post reported in February 2020 that a company named Crypto AG was trusted for over 50 years to protect the communications of various governments all over the world. But unbeknownst to its customers, Crypto AG was owned by the CIA in a partnership with the German Federal Intelligence Service (BND). Ownership enabled the U.S. to make technical modifications to the products supplied to Crypto AG’s customers that allowed circumvention of the mechanisms protecting the communications of those customers—most people would call such modifications a supply chain attack. The program was discontinued in 2018. In a related story, the Post also reported that, using these capabilities, the CIA learned of major human rights abuses in South America. It’s not hard to imagine the uproar if it were revealed that a large fraction of the United States’ diplomatic, military and intelligence communications had been compromised for multiple decades.
U.S. Cyber Command has also publicly adopted a cyber strategy that calls for “defending forward” and “persistent engagement” with adversaries, stating that “continuous engagement imposes tactical friction and strategic costs on our adversaries, compelling them to shift resources to defense and reduce attacks.” As the publicly released cyber strategy demonstrates, the U.S. has been abundantly clear about its intentions to conduct non-benign cyber activities against adversaries. From its own perspective, the U.S. would be conducting such activities for defensive purposes—but will anyone else believe that? How would the target of such activities distinguish between a non-benign U.S. cyber activity conducted for defensive or for offensive purposes?
Como a maioria das atividades cibernéticas ofensivas dos EUA são classificadas, e os alvos não comentam publicamente sobre seu impacto (talvez porque eles não têm conhecimento deles devido ao bom tradecraft dos EUA ou porque eles estão cientes, mas optaram por não revelá-las publicamente), é fácil para os EUA retratar a situação atual como aquela em que ela está sempre e exclusivamente no final de ações cibernéticas ofensivas. Dadas as ações passadas dos Estados Unidos e suas intenções publicamente documentadas no ciberespaço, os EUA podem correr o risco de uma escalada severa se for muito mais longe em resposta à violação do SolarWinds.
Os EUA provavelmente imporão sanções diplomáticas e econômicas adicionais a quem for considerado responsável pelo incidente do SolarWinds. Soa familiar? Qualquer pessoa insatisfeita com este resultado deve ser obrigada a fazer uma proposta séria para uma resposta diferente e considerar tanto a reação potencial do adversário quanto se os EUA estariam dispostos a tolerar essa reação.
Quão ruim é o incidente do SolarWinds? É muito ruim. Este incidente pode muito bem ser “o pior ataque cibernético até agora”, mas daqui a uma década, será o pior incidente cibernético que os EUA já experimentaram? Dado que escalar além das respostas passadas provavelmente seria mais provocativo do que qualquer um quer, não planeje isso.
FONTE: LAWFARE