Depósitos de lixo são um tesouro para hackers maliciosos

Views: 45
0 0
Read Time:10 Minute, 51 Second

Centenas de milhares de dispositivos eletrônicos são despejados todos os anos nos cemitérios digitais. Isso cria um problema ambiental significativo e coloca em risco as empresas que não limparam seus eletrônicos adequadamente.

Quando Zachary tinha cerca de 16 anos, ele começou a pegar computadores antigos na beira da estrada durante a coleta em massa.

“Eu não estava procurando nenhum dado. Eu tinha apenas uma criança de 16 anos que queria construir um computador melhor limpando peças boas. Observei que a maioria dessas máquinas ainda tinha seu disco rígido nelas. Eu não duvidaria que a maioria dos computadores que as pessoas lançam ainda tem seus discos rígidos”, disse Zachary à CyberNews.

Ele é do Condado de Monmouth, em Nova Jersey, e costumava procurar peças de reposição para computadores de 2009 até recentemente. Como ele não tinha propósitos maliciosos, Zachary nunca procurou o que estava nos discos rígidos, mas observou que eles não foram destruídos ou apagados.

“O disco rígido (ou unidade de estado sólido nos últimos anos) é onde todos os dados são armazenados, então, se você despejar isso, qualquer pessoa pode simplesmente tirá-lo e lê-lo. É como deixar um diário na mesa da cozinha. (…) Os dados provavelmente poderiam ter sido usados para qualquer coisa. Eu não sei o que estava lá porque eu normalmente destruí as unidades e as substituí por as melhores que eu possuo. Eu sei que havia partições inicializáveis nas unidades originais, e isso significa que elas não foram limpas e apagadas”, disse ele à CyberNews por e-mail.

A experiência de Zachary é um exemplo perfeito do problema de higienização de dados.

“A Gartner acabou de lançar sua análise de higienização de dados e concluem que cerca de 50% do mercado amadureceu, mas 50% ainda é imaturo quando se trata de implementar os processos corretos”, disse Fredrik Forslund, vice-presidente de soluções de apagamento corporativo e em nuvem da Blancco, à CyberNews.

E os dois principais problemas surgem do descarte incorreto de eletrônicos usados. Em primeiro lugar, quando computadores usados acabam em instituições de caridade ou lixeiras, seus ex-usuários se tornam suscetíveis a ataques cibernéticos. Os atores de ameaças podem restaurar as informações e usá-las para chantagear empresas ou até mesmo lançar ransomware sobre elas.

Em segundo lugar, tem consequências desastrosas no meio ambiente. Quando o disco rígido é esmagado e todo o sistema destruído, o dispositivo se torna inútil e provavelmente acaba em lugares como o aterro Agbogbloshie na capital de Gana, Accra. Você pode adivinhar como a história continua a partir daqui – crianças com dedos ágeis estão tentando recuperar qualquer coisa de valor enquanto estão expostas a agentes cancerígenos e fumaça tóxica. O Programa das Nações Unidas para o Meio Ambiente destaca que metais pesados e outras substâncias perigosas encontradas na eletrônica contaminam as águas subterrâneas e representam outros riscos ambientais e de saúde pública.

Nosso amor pela tecnologia de alto nível tem um preço alto a pagar. E não me refiro aos US$ 1000 que você pagou pelo iPhone12.

Aborrecimento ambiental

A rápida inovação e a redução de custos levaram ao aumento do consumo de produtos eletrônicos. E embora isso tenha melhorado nossa qualidade de vida, saúde e entretenimento, a desvantagem também é significativa. De acordo com o Fórum Econômico Mundial, a quantidade de lixo eletrônico mais do que dobrará até 2050 a 120 milhões de toneladas métricas anualmente.

Se você mora, por exemplo, em algum lugar da Europa, pode ser difícil para você imaginar o escopo do problema que ele cria. Enquanto isso, a África, e especialmente a capital de Gana, Acra, agora é famosa por ser um cemitério digital para computadores, TVs e outros eletrônicos de países desenvolvidos. Cerca de 350.000 toneladas métricas de lixo eletrônico deixam a Europa ilegalmente, enquanto nos EUA, 3⁄4 dos dispositivos usados acabam em aterros sanitários. Esses resíduos se encontram em algumas das áreas mais pobres do mundo.

“Quando esses produtos entram em um estado usado e em fim de vida útil, uma grande quantidade desse equipamento é classificada incorretamente e enviada ilegalmente para todo o mundo, para depois ser descartada ou tratada em condições rudimentares”, afirmaram as Nações Unidas.

A eletrônica moderna pode conter até 60 elementos químicos diferentes. Alguns deles são perigosos, mas muitos também têm valor econômico e podem ser extraídos da eletrônica. Os telefones celulares também contêm outros materiais valiosos, como plástico, vidro e cerâmica. Eles também podem ser transformados em materiais secundários.

Algumas iniciativas estão em andamento para resolver esse problema. Mas aqui está outra pegadinha – as empresas lideradas pelo medo de que seus equipamentos usados sejam de alguma utilidade para hackers maliciosos, continuam destruindo a tecnologia em vez de colocá-la em uso, por exemplo, doando-a para a caridade. Depois de ouvir que alguma empresa presenteou computadores antigos a uma organização sem fins lucrativos na África e depois foi hackeada, você provavelmente esmagará seu disco rígido antes de jogar fora seu computador.

Vamos dar uma olhada mais de perto nas razões pelas quais as empresas se livram de seus eletrônicos e não da maneira mais ecológica.

Dor de cabeça em segurança cibernética

“Eu vejo isso com frequência suficiente nas notícias, falando sobre empresas fazendo reformas e descobrindo todas essas informações privilegiadas”, Michael Schenck, consultor sênior de segurança cibernética com mais de uma década de experiência no setor aeroespacial e de defesa.

Há muitos problemas com a maneira como lidamos com dispositivos e não apenas computadores. Smartwatches, telefones têm gigabytes de armazenamento, e muitos dados valiosos podem ser recuperados de outros dispositivos inteligentes, como impressoras ou até aspiradores de pó.

“Esses dispositivos que contêm todos os tipos de informações sobre nós que podemos nem perceber que estão lá”, disse Schenck.

A aceleração do trabalho em casa criou mais problemas de lixo eletrônico à medida que as empresas se esforçavam para comprar laptops para funcionários e mais pessoas queriam atualizações para seus computadores domésticos e dispositivos conectados. O lixo eletrônico representa exposição não apenas para usuários domésticos, mas também para as empresas para as quais trabalham, acredita Stel Valavanis, da onShore Security, em Chicago.

Embora uma empresa possa ter uma política totalmente aplicada de limpar discos rígidos de computador, sua força de trabalho remota agora está muito mais inclinada a deixar os dados da empresa em seus computadores pessoais. E não são apenas arquivos: computadores pessoais que acessam redes da empresa armazenam Wifi, VPN, entradas de navegador e cookies e outras credenciais que permanecem em dispositivos apagados incorretamente. Os cibercriminosos sabem disso e colhem componentes que encontram em lixões de lixo eletrônico”, disse ele.

É relativamente fácil recuperar dados deixados para trás nesses discos rígidos usando técnicas forenses básicas e de recuperação de desastres, como recuperação de disco rígido, recuperação de arquivos e técnicas de escultura de dados, disse Keatron Evans, Pesquisador Principal de Segurança do Infosec Institute, à CyberNews.

“A extorsão com as informações é apenas o começo do problema. Há também o risco de que coisas como senhas e outros tipos de credenciais também possam ser recuperadas. Estes podem ser vendidos no mercado negro e eventualmente usados para permitir que um invasor entre em uma organização despercebido”, disse ele.

Também é mais uma fraqueza com a cadeia de suprimentos. “A empresa A pode ter coisas armazenadas com segurança e ter seus discos rígidos desativados com segurança, no entanto, a empresa B, fornecedora da Empresa A, pode ter em sua posse alguns dos mesmos dados, mas não desativar suas unidades usando os mesmos métodos. As unidades da Empresa B podem acabar no E-Graveyard na África e expor dados pertencentes à Empresa A. Mesmo que a empresa A tenha descartado suas unidades em um método seguro, foi o fornecedor deles, a Empresa B, que levou a expor os dados da Empresa A”, explicou ele.

Além disso, as empresas são obrigadas não apenas a proteger seus segredos, mas também a proteger os dados de seus clientes sob as Regras Gerais de Proteção de Dados (GPRD). Ao não fazê-lo, eles enfrentam ações judiciais e multas.

Bem, você só pode imaginar o escopo dos problemas que o descarte incorreto de eletrônicos usados pode criar.

Miranda, fundadora da VinPit, disse que alguns incidentes chegaram ao seu conhecimento de chantagear pessoas, realizar ataques de phishing nelas, reviver IDs e cartões SIM, acessar contas bancárias, etc. Hackers maliciosos também estão vendendo os dados privados que recuperam para comércio eletrônico obscuro ou outras empresas.

“Assim, esses pátios de despejo estão se tornando tesouros para hackers em potencial”, concluiu ela.

Existe uma saída?

Você pode fazer várias coisas para garantir que seus dados estejam seguros antes de jogar fora seu computador.

“Com um disco rígido tradicional que possui peças giratórias mecânicas, para a maioria dos casos de uso, você pode fazer algo simples, como levá-lo a uma oficina mecânica e colocar alguns furos no disco rígido para torná-lo irrecuperável, especialmente fora do ambiente do laboratório. Mas com as unidades de estado sólido (SSD) mais recentes, há muito mais. Tem a ver com o software projetado, não apenas excluindo coisas, mas redefinindo tudo para zero”, explicou Schenck.

Bem, é possível recuperar informações mesmo de um disco rígido esmagado. Nesse caso, no entanto, você provavelmente seria um alvo de alto interesse com hackers patrocinados pelo estado respirando pelo seu pescoço.

“De um modo geral, excluir coisas do seu disco rígido não é suficiente porque há software que você pode comprar em uma prateleira que pode recuperar coisas do disco rígido. Quando você exclui algo de um disco rígido, toda a exclusão do computador é o início desse arquivo que diz “o arquivo começa aqui”. É chamado de cabeçalhos. Tudo o que ele está fazendo é excluir esse cabeçalho e não a totalidade do arquivo, então todos os zeros que representam esse arquivo ainda estão realmente no disco rígido até que seja substituído ”, disse ele.

Bem, uma sugestão para destruir uma unidade perfeitamente boa apenas para estar seguro faria alguns ambientalistas se encolherem.

Eles destacam maneiras perfeitamente seguras de destruir dados sem atacar um computador com um martelo ou ímã.

Como se livrar do seu computador antigo

De acordo com Forslund, quando você quebra seu disco rígido, está destruindo seu sistema. Isso torna financeira e tecnicamente desafiador criar uma boa segunda vida para o computador ou outros eletrônicos.

Hoje em dia, é muito mais fácil excluir dados do que era anos atrás.

“Dez anos atrás, era muito desafiador remover dados com segurança de unidades SSD. Vinte anos atrás, era um desafio fazê-lo corretamente em unidades HDD normais. Hoje, centenas de milhões de dispositivos são devidamente higienizados com software todos os anos. Não há vazamentos de dados, houve vários testes, aprovações e certificações da tecnologia”, disse ele à CyberNews.

Ele argumenta que não há necessidade de usar um ímã (funcionaria apenas com o disco rígido, não com SSD) ou uma broca para tornar os dados irrestoráveis.

“Há muitos equívocos neste setor. Algumas pessoas podem pensar que reformatamos nossos computadores e depois podemos nos livrar deles. Isso não protege você contra violações de dados”, disse ele. Forslund recomenda usar software especial para fazer isso, e é melhor não escolher uma versão freeware que possa deixar alguns dados intactos. A tecnologia está madura, e qualquer administrador que cuide da infraestrutura de TI da empresa pode executá-la.

Claro, antes de simplesmente jogar seus eletrônicos fora, você deve considerar reimplantá-los em sua organização para criar o maior valor de equipamentos específicos.

“Se você não pode reutilizá-lo dentro da organização, há um mercado de segunda mão funcionando hoje. Depois de limpo dos dados, você pode reurbá-los e revendê-los. E então alguma outra organização pode ter um ajuste perfeito para as especificações desse sistema, e eles podem usá-lo e, portanto, liberar valor”, disse ele.

Se você não deseja vendê-lo ou não há mercado para ele, pode doá-lo para organizações de caridade, que podem levar computadores de uma empresa para uma pré-escola. Bem, na verdade, é assim que muitos eletrônicos acabam na África – eles estão supostamente sendo doados por boas causas, mas podem não ser bons o suficiente para qualquer um usar. Então, a próxima parada é uma lixeira e, em seguida, só espero que alguns criminosos não a encontrem com seus dados intactos.

“Se isso não funcionar, então o sistema não tem absolutamente nenhum valor sobrando, então você deve ir para a reciclagem ecologicamente correta, onde você colhe um sistema de metais preciosos, coisas que podem ser recicladas e reutilizadas no lado da matéria-prima. Mas em todas essas etapas diferentes, é claro, você precisa ter certeza de que não tem mais dados no sistema implantando as técnicas de software corretas”, disse Forslund.

Ele acredita que as quantidades de lixo eletrônico continuarão aumentando pelo menos por um tempo, e constantemente há cada vez mais equipamentos sendo desativados.

“Mas espero que nos próximos anos possamos transformar isso e vê-lo cair novamente, tendo compromissos de reutilização mais profissionais e, é claro, reciclagem adequada para os sistemas que chegaram ao fim da vida útil”, disse ele.

FONTE: CYBERNEWS

Previous post Provedor de serviços de saúde deve perder US$ 106,8 milhões após o ataque de ransomware
Next post Uma VPN protege você de hackers?

Deixe um comentário