Empresas, esqueçam as novas ameaças: ataques antigos ainda funcionam

Para especialista em segurança, gerentes de TI deixam de lado questões básicas que podem acabar comprometendo sistemas inteiros.

Todas as pessoas do universo da tecnologia da informação (TI) que conheço estão em um mundo perigoso, cheio de uma variedade infindável de ciber-ataques criados para comprometer e tirar proveito de falhas de segurança.

Mas ainda há uma persistente falta de consciência sobre ameaças especificas e qual a melhor maneira de enfrentá-las, de acordo com Rob Halvet, diretor de testes de penetração da Trustwave, uma fornecedora internacional de soluções de flexibildiade e segurança da informação.

A ironia, diz ele, é que não são necessariamente os malwares ou as técnicas de hack mais novos e assustadores que podem comprometer uma empresa.

“Você vê as pessoas entrando em um frenesi sobre as técnicas mais recentes que exigem todos os tipos de habilidades técnicas para explorar enquanto ignoram coisas que estão por aí desde sempre. Uma das coisas mais comuns que encontramos em uma rede interna é uma política ruim de senhas – coisas absurdas como usar ‘admin’ para uma senha administrativa, ou deixar o código do sistema administrativo fique em branco.”

Havelt escreveu a maior parte do estudo “Earth vs. The Giant Spider: Amazingly True Stories of Real Penetration Tests”, que foi apresentado pelos membros da Trustwave nesta semana durante o evento SecTor 2011, em Toronto, no Canadá. Ele diz que uma das coisas que estimula os líderes de TI a perceberem é que uma “pequena falha”, como uma senha master padrão para uma troca PBX, pode “acabar implodindo em algo com um sério impacto”.

Essa, na verdade, é uma das suas histórias incrivelmente verdadeiras. Havelt realizou testes de invasão em que descreve como uma companhia financeira “muito segura” da lista das 500 Maiores da revista Fortune trocou um antigo telefone PBX Siemens Rolm. Apesar de a maioria das senhas padrão terem sido alteradas, “uma conta não mudou, o que nos deu algo melhor do que acesso administrativo, para que pudéssemos usar isso para nos passar por qualquer usuário.”

Havelt e sua equipe clonaram caixas de e-mail do help desk (serviço de apoio a usuários) da companhia em questão, o que lhes deu acesso a qualquer mensagem de voz dos funcionários.

“Enquanto estávamos testando, uma nova mensagem de voz chegou de alguém que estava na estrada, cuja VPN (rede virtual privada) não estava funcionando. Sabia como resolver isso, por isso liguei para a pessoa e ela me deu nome de usuário, código pin e senha de domínio. Ajudei-o a resolver seu problema, mas com apenas uma senha de domínio é muito fácil incrementar seus privilégios. De lá, nós fomos para o gerenciamento de riquezas e a watch list do Departmento de Segurança dos EUA”, explica. 

“Tudo a partir de uma ligação.”
Em outro caso, Havelt e sua equipe conseguiram, por meio de um hack, acessar o HD das câmeras de segurança de uma grande fabricante. Como podiam controlá-las, e uma vez que cinco ou seis delas estavam apontadas para mesas, “e elas tinham zoom óptico de 10x, pudemos aproximar a imagem dos teclados e mesas, descobrir as senhas e fazer login em outros sistemas.”

Algumas vezes, as vulnerabilidade são, ou deveriam ser, ridiculamente óbvias. “Coisas como nomes de usuários e senhas que são os mesmos, ou uma conta de rede com uma senha ‘admin’”, afirma.

“Gostaria de poder te dizer que esses são casos isolados, mas eles não são. Existem milhares.”

Então o que o gerente de TI prudente deveria fazer? Havelt diz que um problema é que “existe um número excessivo de organizações que se opõem a testes reais de invasão. Elas tentam limitar isso a algumas máquinas em momentos específicos. Mas não é assim que um ataque funciona.”

“Entendo a realidade dos negócios”, afirma. “Mas isso é como ir ao médico para um exame físico completo e dizer para ele olhar apenas as suas mãos.”

Além disso, Havelt afirma que uma segurança melhor exige “carregar as coisas para fora da sua conclusão lógica – analisando uma vulnerabilidade e pensando sobre o que pode ser feito com ela.”

Ou, como dizia um CEO genial que nos deixou recentemente: “Pense diferente.”

Por IDGNow em 24/10/11

Leia no original aqui.