0
0
Os pesquisadores de segurança cibernética trabalham duro para manter o mundo digital seguro, mas de vez em quando sua própria segurança física está em risco. Qualquer pessoa que esteja neste campo por tempo suficiente se deparou com histórias de profissionais da infosec recebendo ameaças ou sofreu incidentes.
Um especialista em segurança que queria permanecer anônimo para proteger sua família diz que “várias pessoas com foco no crime cibernético receberam ameaças de morte” nos últimos anos, e algumas delas até decidiram voar sob o radar ou se mudar para fazer outras coisas. Eles não querem colocar seus entes queridos em risco “porque o pai é um pesquisador de segurança e atrai bandidos”, diz ele.
No infosec Twitter e em conferências, os pesquisadores compartilham incidentes e falam sobre maneiras de se proteger nessas situações. Dizem que chamar a polícia ou o FBI dificilmente ajuda. “Quero dizer para você entrar em contato com a aplicação da lei federal, quero dizer para você entrar em contato com um departamento de polícia local, mas pelo que vi, não faz nada”, diz o especialista em segurança Matt Smith, da Citadel Lock Tools. “Pode levar meses para conseguir uma prisão por um único incidente, muito menos que essa pessoa esteja em liberdade por um longo tempo.”
Embora alguns pesquisadores usem essas ameaças como um emblema de honra, a maioria deles faz tudo ao seu alcance para se manter seguro. Eles minimizam sua pegada digital, realizam verificações de antecedentes em todas as pessoas desconhecidas que se aproximam delas através das mídias sociais, usam caixas postais em vez de endereços e se abstêm de postar qualquer coisa on-line que possa vinculá-los às suas famílias.
Com o recente aumento do ransomware e a escalada das tensões geopolíticas entre a Rússia, a China, a Coreia do Norte e a OTAN, o trabalho de pelo menos alguns profissionais da infosec tende a se tornar perigoso. “Não sei se piorou, mas posso dizer que não melhorou nada”, diz Ronnie Tokazowski, principal consultor de ameaças da Cofense.
Ameaça crescente para pesquisadores de grupos de ransomware
Grupos de cibercriminosos estão tendo um ótimo ano até agora. O número de ataques de ransomware está no máximo de todos os tempos, e o pagamento médio excedeu US$ 900.000. Além disso, a tímida cooperação entre os EUA e a Rússia para conter o fenômeno parece ter parado depois que a Rússia invadiu a Ucrânia e o Ocidente respondeu com sanções. Há algumas semanas, o caso contra supostos membros do grupo de hackers REvil “chegou a um beco sem saída”, de acordo com o jornal russo Kommersant.
“Muitos desses grupos de ransomware vivem com uma sensação de impunidade”, diz Allan Liska, analista de inteligência da Recorded Future. “Enquanto eles não deixarem a Rússia, literalmente não há consequências para todas as coisas ruins que fazem. Então, eles podem ser mais ousados e ousados e ter a cobertura do Kremlin para protegê-los.”[ INSCREVA-SE AGORA para a Cúpula do Futuro do Trabalho do CIO – LIVRE PARA PARTICIPAR de 14 a 15 de junho ]
Como Liska disse, esse tipo de proteção permitiu que as gangues fizessem “algumas coisas muito cruéis” com especialistas em segurança ao longo dos anos. Embora ele pessoalmente não tenha recebido nenhuma ameaça direta, ele ouviu falar sobre esses incidentes, particularmente quando os profissionais da infosec se envolveram em um nível pessoal com criminosos. “Eu sei que, em pelo menos um caso, o grupo de ransomware ameaçou o filho de um pesquisador”, diz ele.
Houve situações em que os cibercriminosos aprenderam onde os especialistas em segurança viviam e coletaram informações sobre todos os membros da família. Então, eles postaram essas informações em fóruns subterrâneos, convidando outras pessoas de sua comunidade a segmentá-los.
Liska observa que as gangues tendem a trabalhar juntas e compartilhar informações mais do que há alguns anos. “Eles têm locais de extorsão; eles têm a capacidade não apenas de postar informações sobre as vítimas, mas também de expulsar o que está em sua mente”, acrescenta ele.
Nos últimos meses, os cibercriminosos também se tornaram mais agressivos, com possíveis efeitos na segurança dos pesquisadores. Um exemplo é o grupo Conti, que teve como alvo dezenas de organizações na Costa Rica e levou o presidente Rodrigo Chaves a declarar estado de emergência nacional. Os hackers anunciaram que tinham como objetivo derrubar o governo, um objetivo incomum para uma gangue de ransomware.
Este ataque sem precedentes “marca uma nova escalada nas atividades de ransomware”, diz Lauren Zabierek, diretora executiva do projeto cibernético no Belfer Center da Harvard Kennedy School. “Se eles virem que podem manter um país inteiro como refém e extorquir um resgate com impunidade, isso tornará o meio ambiente mais permitido.”
Para Liska, incidentes como esses provam que as linhas entre grupos de ransomware e atores do estado-nação estão se tornando mais borradas. Ainda assim, os atores do estado-nação são muito mais engenhosos, inclusive quando visam pesquisadores de segurança, e suas ameaças podem ser mais sutis. Por exemplo, houve casos em que especialistas que viajaram para conferências tiveram suas salas verificadas ou receberam pequenos presentes sugerindo que eles interrompessem suas investigações.
Indivíduos que trabalham para atores do estado-nação também têm como alvo profissionais da infosec no LinkedIn, Twitter, Telegram, Keybase, Discord, e-mail ou outros canais, às vezes alegando que querem oferecer trabalhos de consultoria ou colaborar com eles na pesquisa de vulnerabilidades.
Em janeiro de 2021, o Grupo de Análise de Ameaças do Google descobriu que hackers norte-coreanos fingiram ser blogueiros de segurança cibernética e enviaram um Projeto Visual Studio para especialistas em segurança. “Dentro do Visual Studio Project estaria… uma DLL adicional que seria executada através do Visual Studio Build Events”, escreveu Adam Weidemann no blog do Google. “A DLL é um malware personalizado que começaria imediatamente a se comunicar com os domínios C2 controlados por atores.” Weidemann e seus colegas também descobriram que alguns pesquisadores haviam sido comprometidos depois de visitar um link enviado por esses hackers norte-coreanos.
“Se você está preocupado que esteja sendo direcionado, recomendamos que você compartimente suas atividades de pesquisa usando máquinas físicas ou virtuais separadas para navegação geral na web, interagindo com outras pessoas na comunidade de pesquisa, aceitando arquivos de terceiros e sua própria pesquisa de segurança”, escreveu Weidemann.
A história não terminou aí. Em novembro de 2021, o Google anunciou que hackers norte-coreanos também alegaram ser recrutadores da Samsung, enviando PDFs detalhando oportunidades de emprego com o objetivo real de instalar um Trojan backdoor nos computadores dos pesquisadores.
Caçando insetos e recebendo ameaças legais
As ameaças não se limitam a profissionais da infosec que investigam grupos patrocinados pelo estado ou gangues de ransomware. Caçadores de insetos e especialistas em segurança física também podem ser alvo, às vezes pelas mesmas organizações que tentam ajudar. Aconteceu com o selecionador Matt Smith em algumas ocasiões. “A primeira vez que eu estava trabalhando em uma fechadura de forma independente, e a empresa aprendeu sobre isso”, diz ele. “Eles fizeram um grande esforço para tentar me encontrar e me processar, incluindo a ameaçar uma intimação a um fórum on-line para desistir do meu endereço IP.”
A segunda vez, no entanto, foi muito pior. Smith recebeu uma ameaça física. “Eu estava trabalhando no Abloy Protec II, e um de seus revendedores americanos ficou muito irritado com o fato de sua fechadura mais segura poder ser vulnerável”, lembra ele. “Então, ele começou a me enviar e-mails abusivos exigindo que eu dissesse a ele o que estava fazendo. Quando eu não respondi com as respostas que ele queria, ele ameaçou ‘me resolver’ e ‘não se importava quanto custava.'”
Alguns dos e-mails que Smith recebeu foram particularmente brutais. “Ele estava me enviando capturas de tela do meu rosto de palestras on-line e fotos do Google Earth da rua onde ele achava que eu morava. Não estava certo, mas estava perto o suficiente para ser uma preocupação”, diz ele. Smith nunca respondeu a essa pessoa e mudou seu endereço de e-mail.
Os caçadores de insetos também devem aprender a navegar pelas ameaças. “Embora as reações que você recebe geralmente sejam desagradáveis, quanto mais tempo você trabalha neste setor, mais você se acostuma com elas”, diz Tom Van de Wiele, principal pesquisador de tecnologia e ameaças da WithSecure. Trabalhar neste campo o tornou “mais cauteloso”, e também o ensinou “a estar melhor preparado para caçar e descobrir questões ainda maiores, qual idioma usar considerando o grupo-alvo” e como alinhar suas expectativas dependendo da empresa com a qual ele lida.
Muitas vezes, os caçadores de insetos são intimidados por organizações que ameaçam processá-los. Uma maneira de contornar isso é criar relatórios detalhados. Ao escrever sobre o impacto da vulnerabilidade, os pesquisadores devem começar com o risco técnico, depois traduzi-lo em risco de negócios e adicionar quem pode ser afetado. Van de Wiele diz que os pesquisadores também devem mostrar que nenhuma lei foi violada no processo.
“Acima de tudo: certifique-se de que você pode oferecer diferentes caminhos de mitigação e recomendações para corrigir o que você descobriu”, acrescenta Van de Wiele. “É fácil terminar um whitepaper ou relatório com ‘consertar’ e recorrer à indignação como serviço nas mídias sociais. É melhor pensar junto com a empresa que é afetada em como eles podem suavizar o golpe agora a curto prazo, enquanto pensam em mais soluções de longo prazo sobre como reduzir o risco para um não problema.”
Protegendo a equipe de pesquisa de segurança
Trabalhar em segurança cibernética geralmente significa correr alguns riscos. “É a natureza da besta ou a natureza do trabalho”, como diz Tokazowski, de Cofense. Alguns especialistas em segurança têm que percorrer uma linha tênue entre proteger suas famílias e publicar pesquisas em seu nome. É por isso que as empresas que fazem trabalhos sensíveis, como rastrear organizações terroristas, podem decidir não incluir os nomes dos pesquisadores nos relatórios que publicam.
Os pesquisadores de segurança tentam aprender uns com os outros e atualizar constantemente sua defesa. Realisticamente, no entanto, não há muito que eles possam fazer. “É difícil porque, para os indivíduos, não parece haver muito recurso, além de ir à polícia ou ao FBI para denunciar o crime”, diz Zabierek, da Harvard Kennedy School. “Existem grupos como a Rede de Apoio ao Cibercrime voltados para ajudar vítimas individuais de crimes cibernéticos, e seria ótimo se eles pudessem receber apoio institucional para ampliar suas atividades para ajudar as pessoas em todos os EUA.”
As empresas que querem fazer isso para proteger seus funcionários devem constantemente garantir que suas práticas de segurança interna estejam atualizadas. Eles também devem planejar os piores cenários, tendo procedimentos em vigor para situações em que um de seus funcionários é alvo.
Estes devem ser baseados em vários modelos de ameaça, levando em conta o trabalho que cada equipe interna faz. As equipes podem receber listas de verificação para esses tipos de situações, que listam coisas para fazer e não fazer e pessoas para ligar. É claro que esses procedimentos devem ser revisados de tempos em tempos e testados sempre que possível.
Protegendo casas e escritórios
Os profissionais da Infosec são bem versados quando se trata de segurança digital e seus equipamentos. Alguns perm um esforço extra e evitam compartilhar qualquer informação pessoal on-line. Outros, como Smith, só publicam informações falsas em seus perfis de mídia social. “Você precisa ter certeza de que está tomando quaisquer que sejam as precauções adequadas para proteger sua casa, sua família”, diz Liska.
Além da segurança on-line, os profissionais da infosec também devem prestar atenção à segurança física. Smith sugere ter vários anéis de segurança: cercas, paredes, portas fortes e até mesmo portas com fechadura interna. “Eu uso fechaduras que não posso forçar/escolho, portas que não consigo contornar e chaves que são difíceis de copiar”, diz ele. “Mesmo que alguém possa acessar minhas chaves, os espaços em branco são restritos, então eles são mais difíceis de copiar.” Entre as fechaduras que ele recomenda estão ASSA Twin, EVVA MCS e Abloy Protec II, que ele considera as mais seguras. Ainda assim, até mesmo estes podem ser derrotados. “Mas se o seu adversário é capaz de abri-los sem a chave, então você está com muitos problemas”, diz ele.
A porta em si também precisa ser sólida. Tem que ter uma estrutura resistente sem lacunas na parte inferior ou nas bordas redondas para evitar que as coisas entrem dentro de casa. “As dobradiças de uma porta são um ponto fraco, então é melhor tê-las por dentro”, acrescenta Smith. O pesquisador também recomenda o uso de uma caixa de correio externa em vez de um slot para e-mail embutido na porta, pois isso pode dar a um invasor acesso à parte traseira da porta.
Além de uma porta de travamento multiponto sólida, casas e escritórios também devem usar CCTV. “Certifique-se de que esteja com fio, não sem fio, porque bloquear ou apenas jogar pacotes de autenticação em dispositivos pode impedi-los de funcionar”, diz Smith. “O mesmo acontece com sistemas de alarme. Conectado, sempre. Os sensores de alarme precisam ser instalados corretamente porque muitas empresas de alarme deixam pontos cegos.”
De acordo com o pesquisador, a fiação do CCTV e dos alarmes precisa ser inacessível do lado de fora, e a caixa de gravação do CCTV deve fazer backup de tudo na nuvem. “Se possível, dê acesso à CCTV a mais de uma pessoa, para que haja redundância em caso de incidente”, diz Smith. Os melhores sistemas verificam as comunicações periodicamente e emitem um alarme se as comunicações caírem.
Algumas outras coisas a considerar: Preste atenção à iluminação de segurança, que deve ser orientada por sensores. Use uma caixa postal para que seu endereço seja mais difícil de rastrear, varie quando você sair de casa para tornar seus movimentos menos previsíveis e seja gentil com seus vizinhos para que eles o alertem se alguém estiver entrando em sua casa.
Até onde um pesquisador deve ir para proteger sua casa depende do seu trabalho e dos níveis de risco com os quais se sente confortável. “Todo mundo tem que medir seu próprio risco e tomar as precauções apropriadas”, diz Liska.
Ainda assim, mais deve ser feito para apoiar os profissionais da infosec e permitir que eles continuem com seu trabalho. Eles “precisam ter confiança de que o governo pode ajudar a protegê-los ou ajudá-los a se recuperar dessas ameaças”, diz Zabierek.
FONTE: CSO ONLINE