‘Ameaças avançadas’ roubam informações de empresas e governo

Publicado: 12/03/2010 em Segurança

Vladimir Soster
Me siga no Twitter

Inteligentes e inovadoras, podem penetrar nas defesas conhecidas.
Ataque contra o Google ocorreu de forma silenciosa.

 

A China está sendo acusada de realizar os recentes ataques ao Google e a outras empresas de tecnologia, como Yahoo, Adobe, Symantec e Juniper Networks. Mas a invasão não merece atenção apenas por ter sido sofisticada, nem por sido realizada por um governo – o que, se confirmado, a elevaria a status de “ciberguerra”. Há outro fato: a existência de ataques silenciosos, difíceis de perceber, e que qualquer empresa pode sofrer. Essas invasões não são novas e já têm nome: APTs (Advanced Persistent Threat), ou ameaça avançada persistente.

Indisponivel/IndisponivelAtaque contra o Google ocorreu de forma silenciosa e com o intuito de roubar informação. (Foto: Jason Lee/Reuters)

A Ciberguerra na Estônia
Em 2007, muito se falou sobre a ciberguerra na Estônia. Era fácil de perceber o que acontecia: uma quantidade enorme de tráfego foi direcionada à rede estoniana, sobrecarregando os cabos e o equipamento de rede. Com isso, os usuários legítimos dos serviços de internet do país ficaram impossibilitados de fazer uso dos sites atacados.

Esse tipo de ataque, conhecido como DDoS (Distributed Denial of Service, ou Negação de Serviço Distribuída), é difícil de ser parado. Mas também é fácil notá-lo, porque gera um tráfego de rede muito intenso. (Veja aqui como funciona).
Porém, essa não é a única maneira que uma ciberguerra pode acontecer. O que os ataques da China mostram é que existe a possibilidade de algo mais sutil: um tipo de invasão em que os responsáveis conseguem coletar informações sem serem percebidos.
Impedir que a rede de informação do seu inimigo funcione é interessante. Manter essa rede funcionando e aproveitar-se dela para obter toda informação possível é, em muitas situações, bem mais interessante.

Indisponivel/IndisponivelOperação Aurora: uma ameaça avançada persistente
Para o diretor de tecnologia da McAfee, George Kurtz, o cenário de ameaças está mudando. A operação Aurora, da qual fez parte os ataques ao Google e as demais empresas de tecnologia, por meio de uma brecha ainda sem correção no Internet Explorer, é um exemplo de “ameaça avançada persistente”.
Uma ameaça avançada persistente é, como o nome sugere, uma invasão sofisticada que de forma lenta e persistente procura atingir seu objetivo – normalmente o roubo de informação. Os códigos maliciosos usados nesse tipo de ataque procuram esconder sua presença e, aos poucos, avançar na rede da organização. No caso do Google, o objetivo era obter as mensagens de e-mail de ativistas de direitos humanos envolvidos com questões chinesas.
Kurtz explica que os primeiros a terem de enfrentar esse tipo de problema foram os governos. Agora, com a operação Aurora, o especialista opina que organizações de todo tipo estão sujeitas a ser alvo de ataques virtuais sofisticados.

Pesquisador encontrou código chinês em cavalo de troia da operação Aurora. (Foto: Reprodução)


Códigos usam técnicas chinesas de programação e podem ser de 2006

O especialista Joe Stewart, da empresa de segurança SecureWorks, analisou o código malicioso usado na operação Aurora. O cavalo de troia é conhecido como “Hydraq”. Stewart descobriu que, embora o código principal seja recente, alguns dos componentes utilizados eram datados de maio de 2006.
O fato mostra a capacidade das ameaças avançadas de permanecerem despercebidas e não detectadas pelos softwares de segurança existentes no mercado.
Stewart também descobriu que parte do código usado no cavalo de troia usa um método de verificação de integridade desenvolvido na China. O código original, copiado para o cavalo de troia usado, foi publicado em um artigo acadêmico escrito em chinês simplificado e publicado somente na China.
“Em minha opinião, o uso dessa implementação única do CRC [código de verificação de integridade] no Hydraq é evidência de que alguém dentro da China criou o código do Aurora. E certamente, considerando a abrangência, a escolha dos alvos e a coragem dos ataques (necessária devido as duras punições que nós já vimos serem aplicadas na China comunista para outros crimes de invasão de computadores), isso cria especulação sobre a possibilidade dos ataques serem patrocinados pelo governo”, escreveu Stewart no blog da SecureWorks.

Ameaças existem desde 1998, e governos se preparam
Governos e seus principais fornecedores são alvos constantes desse tipo de ataques pelo menos desde 1998. Naquele ano, duas séries de ataques, batizadas de “Solar sunrise” (“Nascer do Sol Solar”) e “Moonlight maze” (“Labirinto luar”) atingiram a Marinha e a Força Aérea norte-americanas, e o Departamento de Defesa e a NASA, respectivamente. No primeiro ataque, nada foi feito após a invasão. No segundo, dados foram roubados e enviados para um computador na Rússia. O governo russo negou participação.
A operação Titan Rain (Chuva Titã), em 2004, teve como alvo fabricantes de armamentos e a NASA, novamente com o intuito de roubar informação. Os suspeitos pela invasão eram, novamente, chineses. Hackers chineses foram novamente culpados por invasões em 2007, nos ataques nomeados como Byzantine Foothold (“Apoio Bizantino”, em tradução aproximada). Entre os alvos, novamente o governo norte-americano e a Boeing.
As ameaças de espionagem e roubo de informação formam uma guerra cibernética silenciosa.
Mas, apesar do silêncio aparente, os governos estão ouvindo. Em entrevista concedida ao G1 em novembro passado, o diretor-geral do Departamento de Segurança da Informação e Comunicações do governo (DSIC), Raphael Mandarino Júnior, explicou que até mesmo o Brasil está se preparando para ataques virtuais. “O espaço cibernético não tem fronteiras, não distingue países, todos temos que estar preparados”, disse Mandarino.

 Indisponivel/Indisponivel Para diretor de grupo de segurança chinês, Google não pode ligar os ataques à China. (Foto: Reprodução)
China nega acusações, e acusa Estados Unidos de “imperialismo de informação”
A China nega qualquer envolvimento com os ataques. Autoridades destacam que o país possui leis contra hacking. Como resposta aos ataques do “Titan rain”, o governo chegou a dizer que a China não tinha conhecimento técnico suficiente para realizar esse tipo de operação.

Zhou Yonglin, diretor do CNCERT, grupo responsável por verificar os incidentes de segurança envolvendo o país, se pronunciou na sexta-feira (23) para dizer que o Google “não tem evidência” que ligue os ataques à China. Computadores zumbis e outros sistemas comprometidos podem ser usados de ponte, o que significa que os invasores verdadeiros poderiam ser de qualquer parte do mundo.

A nota, em chinês, não comenta as observações de Joe Stewart, que publicou sua descoberta três dias antes.
Yonglin ainda diz que a China é o alvo mais comum de ataques virtuais. O recente ataque ao portal de buscas Baidiu é citado como exemplo.
A China ainda acusa os Estados Unidos de fazer “imperialismo de informação” e usar redes sociais e outros mecanismos na internet para criar revolta nas pessoas.

Um editorial em um dos jornais controlados pelo governo chinês responsabiliza os Estados Unidos pelos protestos que ocorreram após as eleições iranianas no ano passado e apontou a contradição na proibição que o país impôs à Microsoft de prestar serviços de comunicação instantânea em Cuba, na Síria, no Irã e outros países.
A Secretária de Estado dos EUA, Hillary Clinton, anunciou na semana passada que promover o acesso irrestrito à web agora faz parte da política externa norte-americana, com um investimento já previsto de US$ 15 milhões.
A resposta chinesa aponta ainda outra forma de ciberguerra: a criação de informação capaz desestabilizar de forma maliciosa e intencional o clima político de um país e que, por meio da internet, pode rapidamente se espalhar.

É difícil falar em ameaças avançadas ou defini-las. Se forem avançadas e sofisticadas, são inteligentes e inovadoras o suficiente para penetrar as defesas estabelecidas para proteger as redes contra os tipos de ataques conhecidos. Quando se fala em guerra virtual e espionagem, a criatividade dos invasores é que limita o tipo de ataque pode ser concebido. Porque, além do fator técnico, há o fator humano, que é, geralmente, mais vulnerável.
Não é por coincidência que os ataques da operação Aurora foram realizados por mensagens de e-mail contextualizadas e que foram abertas por seus destinatários, o que transformou as organizações em vítimas.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s