“Killware”: É tão ruim quanto parece?

Views: 302
0 0
Read Time:7 Minute, 4 Second

Em 12 de outubro, após entrevistar o Secretário de Segurança Nacional dos EUA Alejandro Mayorkas, o conselho editorial do USA TODAY advertiu seus leitores sobre uma nova e perigosa forma de ataque cibernético sob esta manchete chamativa:

“A próxima grande ameaça cibernética não é um resgate. É um killware. E é tão ruim quanto parece”.

Mas enquanto “killware” soa assustador, o próprio termo é inútil ao descrever os muitos tipos de ataques cibernéticos que, como o USA TODAY escreveu, “podem literalmente acabar com vidas”, e isso porque quase todo tipo de hack, não importa a intenção, pode resultar em morte. Complicando isto está o fato de que os ciberataques conhecidos que supostamente levaram à morte já têm uma categoria: resgate. Além disso, o termo “killware” pode confundir os clientes de antivírus que buscam a garantia de que seu próprio fornecedor os protege contra esta ameaça, mas os fornecedores de antivírus não param os ataques baseados na intenção, eles param os ataques baseados no método.

Como exemplo, o Diretor de Inteligência de Ameaças da Malwarebytes Jerome Segura disse que Malwarebytes não tem nenhum Indicador de Compromisso específico (IOCs) para “killware” e que, em vez disso, “continuamos a proteger nossos clientes com nossas diferentes camadas de proteção”.

“Muitas de nossas camadas são ‘indiferentes à carga útil’, o que significa que bloqueamos o ataque independentemente do que se pretende fazer (pode ser para resgate, pode ser para destruir MBRs, ou qualquer coisa entre eles). Não nos concentramos tanto nessa carga útil final, mas sim em bloquear como um atacante pode chegar lá”.

Pense nisso assim: Os serralheiros não desenvolvem um conjunto de bloqueios para evitar roubos e outro conjunto de bloqueios para evitar assaltos – eles desenvolvem bloqueios para evitar principalmente arrombamentos, não importa o que um invasor tenha planejado.

“Killware” é um termo muito solto para ser útil

Em fevereiro, um funcionário de uma instalação de tratamento de água em Oldsmar, Flórida, viu o mouse na tela de seu computador se movendo sem seu envolvimento. O funcionário, de acordo com Wired, achou isso um pouco normal, pois seu local de trabalho utilizava uma ferramenta que permitia aos funcionários e supervisores remotos assumir o controle dos computadores na própria fábrica. Mas quando o funcionário viu o cursor se movimentar uma segunda vez no mesmo dia, ele relatou uma tentativa de um intruso de aumentar maliciosamente os níveis químicos na instalação de tratamento de água, elevando a quantidade de hidróxido de sódio – que pode ser corrosivo em grandes quantidades – para níveis perigosos.

No artigo do USA TODAY sobre “killware”, o Secretário Mayorkas apontou diretamente para este ciberataque. Era diferente de outros ciberataques, disse Mayorkas, porque “não era para lucro financeiro, mas puramente para fazer mal”.

Mas se o ataque foi realmente para prejudicar ou até mesmo matar pessoas – o que pode muito bem ter – de que adianta associá-lo a esta nova categoria de “killware”? “Killware”, afinal de contas, ainda tem o sufixo “ware”, o que significa que deveria ter pelo menos alguma relação com um software, ou um programa, ou talvez muitas linhas de código.

A violação na fábrica de água Oldsmar, no entanto, pode não ter envolvido nenhum malware. Nenhum ataque de spear-phishing contra o dispositivo pessoal de um executivo. Nenhum implante sub-reptício de spyware para coletar credenciais administrativas. Nenhuma violação inicial e movimento lateral. Ao invés disso, há uma teoria frustrantemente mais simples: Senhas reutilizadas em toda a estação de tratamento de água para uma ferramenta crucial e de acesso remoto.

Após o ataque às instalações Oldsmar, o estado de Massachusetts emitiu um aviso de segurança cibernética aos fornecedores públicos de água, detalhando algumas falhas básicas de segurança cibernética que podem ter desempenhado um papel no ataque. Como o estado disse em sua assessoria:

“Os atores não identificados acessaram os controles [de supervisão e aquisição de dados (SCADA)] da estação de tratamento de água através do software de acesso remoto, TeamViewer, que foi instalado em um dos vários computadores que o pessoal da estação de tratamento de água usava para conduzir verificações do status do sistema e para responder a alarmes ou quaisquer outros problemas que surgiam durante o processo de tratamento de água. Todos os computadores utilizados pelo pessoal da estação de tratamento de água eram conectados ao sistema SCADA e utilizavam a versão de 32 bits do sistema operacional Windows 7. Além disso, todos os computadores compartilharam a mesma senha para acesso remoto e pareciam estar conectados diretamente à Internet sem qualquer tipo de proteção de firewall instalada”.

Além disso, ao testemunhar sobre o ataque ao Comitê de Segurança Interna da Câmara, o ex-diretor da Cybersecurity and Infrastructure Security Agency Chris Krebs disse que o ataque foi “muito provavelmente” causado por “um funcionário descontente”, escreveu o relatório do Washington Post Ellen Nakashima.

Portanto, o ataque pode ter vindo de um ex-funcionário, que pode já ter possuído as credenciais de acesso remoto, que já eram as mesmas credenciais para cada usuário na instalação de tratamento de água, que também carecia de proteção firewall.

Que parte desta cadeia de ataque, então, deve ser rotulada como “killware”?

Na verdade, nenhuma, e isso porque rotular qualquer coisa como “killware” ignora os fatos básicos sobre as defesas cibernéticas de segurança. Os fornecedores de segurança cibernética não categorizam ou identificam ataques com base em suas intenções finais. Uma senha reutilizada é uma má idéia, mas não é uma má idéia que só pode ser usada para prejudicar as pessoas. A falta de proteção contra firewalls, da mesma forma, é uma má prática, mas não é uma má prática que só pode ser usada para ameaçar a vida das pessoas.

Na verdade, mesmo que os vendedores de cibersegurança quisessem categorizar os ataques por intenção, como poderiam?

No início deste ano, uma mãe enlutada entrou com uma ação judicial contra um hospital no Alabama que, segundo ela, falhou em fornecer os cuidados adequados ao seu bebê porque o hospital foi prejudicado por um ataque de resgate. A incapacidade do hospital em cuidar adequadamente de seu bebê, disse a ação judicial, acabou levando à morte de seu filho. Quase um ano antes, a morte de uma paciente durante um ataque de resgate a um hospital alemão trouxe alegações semelhantes – embora não tenha havido nenhum processo judicial – mas essas alegações desmoronaram-se nos meses seguintes ao ataque, pois o promotor público chefe encarregado de investigar o ataque concluiu que, mesmo sem os atrasos de tratamento causados pelo ataque de resgate, a paciente provavelmente teria morrido.

Nenhuma destas situações envolveu hackers cujo objetivo final era puramente prejudicar ou matar pessoas. A intenção, como está claro em quase todos os ataques de resgate, é ser pago. Os ataques de resgate em hospitais, especificamente, podem usar a ameaça de morte como alavanca para seu objetivo final, mas mesmo a ameaça de morte não altera o objetivo final, que é o de receber potencialmente milhões de dólares. Se tentássemos sequer usar o termo “killware” nestes ataques, eles não caberiam, apesar do resultado final.

Finalmente, rotular os ataques como “killware” faz um mau serviço tanto para os vendedores cibernéticos de segurança quanto para o público porque, se “killware” é um termo que requer compreensão da intenção de um atacante, então “killware” deve ser aplicado depois que um ataque já tenha acontecido. Boas ferramentas de segurança cibernética não limpam apenas um ataque depois que ele aconteceu, elas realmente impedem que ataques aconteçam em primeiro lugar. Como então, possivelmente, um provedor de segurança cibernética poderia impedir um ataque que, por sua natureza definitiva, não pode ser determinado até que ele já tenha acontecido?

Lembre-se do Humano

“Killware”, como um termo, não ajuda ninguém e só aumenta o pânico. Ele conjura imagens de hackers que se tornaram um alvoroço e assassinos em série treinados pela teia escura que trabalham com nada além de imagens de um laptop que podem na verdade ser mais adequadas para dramas policiais de procedimentos excessivamente dramatizados na TV.

É importante ressaltar que “killware” não reconhece que os ataques a computadores, máquinas, dispositivos e redes já têm um impacto dramático sobre as pessoas que os utilizam. Os ataques de “killware” já causam tremendos danos emocionais e mentais às pessoas encarregadas de limpá-los. Os golpes on-line já arruínam a vida das pessoas ao esvaziar suas contas bancárias.

Não precisamos de um novo termo que focalize ainda mais o atacante em ameaças cibernéticas. O que precisamos é lembrar que os ataques cibernéticos já são ataques contra pessoas, não importa sua intenção.

FONTE: MALWAREBYTES

POSTS RELACIONADOS