0
0
TRUÍSMOS DE CIBERSEGURANÇA TÊM há muito tempo descrito em termos simples de confiança: cuidado com anexos de e-mail de fontes desconhecidase não entregue credenciais a um site fraudulento. Mas, cada vez mais, hackers sofisticados estão minando esse senso básico de confiança e levantando uma questão indutora de paranoia: E se o hardware e software legítimos que compõem sua rede foram comprometidos na fonte?
Essa forma insidiosa e cada vez mais comum de hacking é conhecida como um “ataque da cadeia de suprimentos”, uma técnica na qual um adversário desliza código malicioso ou mesmo um componente malicioso em uma peça confiável de software ou hardware. Comprometendo um único fornecedor, espiões ou sabotadores podem sequestrar seus sistemas de distribuição para transformar qualquer aplicativo que venderem, qualquer atualização de software que eles empurrem para fora, até mesmo o equipamento físico que eles enviam aos clientes, em cavalos de Tróia. Com uma intrusão bem colocada, eles podem criar um trampolim para as redes de clientes de um fornecedor — às vezes numerando centenas ou até milhares de vítimas.
“Os ataques da cadeia de suprimentos são assustadores porque são realmente difíceis de lidar, e porque deixam claro que você está confiando em toda uma ecologia”, diz Nick Weaver, pesquisador de segurança do Instituto Internacional de Ciência da Computação da UC Berkeley. “Você está confiando em todos os fornecedores cujo código está em sua máquina, e você está confiando no fornecedor de cada fornecedor.”
A gravidade da ameaça da cadeia de suprimentos foi demonstrada em larga escala em dezembro passado, quando foi revelado que hackers russos — mais tarde identificados como trabalhando para o serviço de inteligência estrangeira do país, conhecido como SVR — haviam invadido a empresa de software SolarWinds e plantado código malicioso em sua ferramenta de gerenciamento de TI Orion, permitindo o acesso a até 18.000 redes que usavam esse aplicativo em todo o mundo. A SVR usou essa base para penetrar profundamente nas redes de pelo menos nove agências federais dos EUA, incluindo a NASA, o Departamento de Estado, o Departamento de Defesa e o Departamento de Justiça.
Mas por mais chocante que a operação de espionagem fosse, a SolarWinds não era única. Ataques graves na cadeia de suprimentos atingem empresas em todo o mundo há anos, antes e desde a audaciosa campanha da Rússia. No mês passado, foi revelado que os hackers haviam comprometido uma ferramenta de desenvolvimento de software vendida por uma empresa chamada CodeCov que deu aos hackers acesso a centenas de redes de vítimas. Um grupo de hackers chinês conhecido como Barium realizou pelo menos seis ataques na cadeia de suprimentos nos últimos cinco anos, escondendo código malicioso no software da fabricante de computadores Asus e no aplicativo de limpeza de disco rígido CCleaner. Em 2017, os hackers russos conhecidos como Sandworm, parte do serviço de inteligência militar GRU do país, sequestraram as atualizações de software do software de contabilidade ucraniano MEDoc e o usaram para empurrar o código destrutivo auto-disseminado conhecido como NotPetya, que acabou por infligir US$ 10 bilhões em danos em todo o mundo — o ataque cibernético mais caro da história.
Na verdade, os ataques da cadeia de suprimentos foram demonstrados pela primeira vez há cerca de quatro décadas, quando Ken Thompson, um dos criadores do sistema operacional Unix, queria ver se ele poderia esconder um backdoor na função de login da Unix. Thompson não apenas plantou um código malicioso que lhe concedeu a habilidade de entrar em qualquer sistema. Ele construiu um compilador — uma ferramenta para transformar código-fonte legível em um programa legível e executável por máquina — que secretamente colocou o backdoor na função quando foi compilado. Então ele foi um passo além e corrompeu o compilador que compilou o compilador, de modo que mesmo o código fonte do compilador do usuário não teria nenhum sinal óbvio de adulteração. “A moral é óbvia”, escreveu Thompson em uma palestra explicando sua manifestação em 1984. “Você não pode confiar no código que você não criou totalmente a si mesmo. (Especialmente código de empresas que empregam pessoas como eu.)”
Esse truque teórico — uma espécie de duplo ataque da cadeia de suprimentos que corrompe não apenas um software amplamente utilizado, mas as ferramentas usadas para criá-lo — também se tornou realidade. Em 2015, hackers distribuíram uma versão falsa do XCode, uma ferramenta usada para construir aplicativos para iOS, que secretamente plantou código malicioso em dezenas de aplicativos chineses para iPhone. E a técnica apareceu novamente em 2019, quando os hackers do Barium da China corromperam uma versão do compilador Microsoft Visual Studio para que ele os deixasse esconder malware em vários videogames.
O aumento dos ataques na cadeia de suprimentos, argumenta Weaver de Berkeley, pode ser devido, em parte, a melhores defesas contra ataques mais rudimentares. Os hackers tiveram que procurar pontos de entrada menos facilmente protegidos. E os ataques da cadeia de suprimentos também oferecem economias de escala; hackear um fornecedor de software e você pode ter acesso a centenas de redes. “É parcialmente que você quer bang para o seu dólar, e em parte é apenas que os ataques da cadeia de suprimentos são indiretos. Seus alvos reais não são quem você está atacando”, diz Weaver. “Se seus alvos reais são difíceis, este pode ser o ponto mais fraco para deixá-lo entrar neles.”
Evitar futuros ataques na cadeia de suprimentos não será fácil; não há uma maneira simples de as empresas garantirem que o software e o hardware que compram não tenham sido corrompidos. Ataques da cadeia de suprimentos de hardware, nos quais um adversário planta fisicamente códigos ou componentes maliciosos dentro de um equipamento, podem ser particularmente difíceis de detectar. Enquanto um relatório bombástico da Bloomberg em 2018 afirmava que pequenos chips de espionagem haviam sido escondidos dentro das placas-mãe SuperMicro usadas em servidores dentro dos data centers da Amazon e da Apple, todas as empresas envolvidas negaram veementemente a história — assim como a NSA. Mas os vazamentos confidenciais de Edward Snowden revelaram que a própria NSA sequestrou carregamentos de roteadores Cisco e os afastou para seus próprios propósitos de espionagem.
A solução para ataques da cadeia de suprimentos — tanto em software quanto em hardware — talvez não seja tanto tecnológica quanto organizacional, argumenta Beau Woods, conselheiro sênior da Agência de Segurança Cibernética e Segurança de Infraestrutura. Empresas e agências governamentais precisam saber quem são seus fornecedores de software e hardware, vetá-los, mantê-los em certos padrões. Ele compara essa mudança à forma como empresas como a Toyota buscam controlar e limitar suas cadeias de suprimentos para garantir a confiabilidade. O mesmo agora tem que ser feito para a segurança cibernética. “Eles buscam agilizar a cadeia de suprimentos: menos fornecedores e peças de maior qualidade desses fornecedores”, diz Woods. O desenvolvimento de software e as operações de TI têm, de certa forma, reaprolado esses princípios da cadeia de suprimentos.”
A ordem executiva de segurança cibernética da Casa Branca biden emitida no início deste mês pode ajudar. Estabelece novos padrões mínimos de segurança para qualquer empresa que queira vender software para agências federais. Mas a mesma avaliação é tão necessária em todo o setor privado. E as empresas privadas — tanto quanto as agências federais — não devem esperar que a epidemia de compromissos da cadeia de suprimentos acabe tão cedo, diz Woods.
Ken Thompson pode ter razão em 1984 quando escreveu que você não pode confiar totalmente em nenhum código que você não escreveu a si mesmo. Mas confiar no código de fornecedores em quem você confia — e ter vetado — pode ser a próxima melhor coisa.
FONTE: WIRED