Responda se puder: existe algum spybot estrangeiro em execução no sistema da sua empresa, em busca de vantagens que possa explorar? Apesar do tom alarmista, essa modalidade de espionagem eletrônica é real. Trata-se de uma ameaça escondida sob o lenço da inocência, mas de poder destrutivo alto - altíssimo, aliás -, e bastante difundida.

Na lista de atribuições dos departamentos de TI ou de um executivo de segurança, cuidar da prevenção da rede contra ataques externos de difícil detecção e aplicar as tecnologias disponíveis para tal função deveria ser da mais alta prioridade. Existe muita coisa em jogo para ignorar essa questão.

Muitos especialistas em segurança acreditam que cada vez mais empresas são alvo de espionagem eletrônica - vinda, principalmente, de países como a China. O que torna o problema ainda mais grave é o fato de essas técnicas serem de difícil detecção pelos métodos tradicionais.

Os espiões eletrônicos tentam entrar nos sistemas sem causar interrupções ou causar qualquer distúrbio, a fim de colher informações durante um determinado período.

Esse tipo de ataque é muito mais difícil de identificar que as ameaças não especializadas, aquelas que a toda hora são identificadas por antivírus e softwares de proteção de dados na web. Ocorre que os ataques especializados não ficam tempo suficiente nas máquinas para serem encontrados, relatados às empresas fabricantes de sistemas antivírus e erradicados ou impedidos de rodar.

Um ataque com foco em um sistema determinado pode ser formatado de maneira a contornar todo o contingente de softwares de segurança instalado.

Sério e real
Quem observa o segmento da computação afirma que a espionagem eletrônica torna-se cada dia mais comum. Sentado na cadeira de vice-presidente da Gartner, Neil MacDonald afirma que 75% das empresas já foram ou estão, neste momento, sob ataque de programas que têm como objetivo causar danos financeiros, e que se encontram fora do escopo de investigação dos programas de antivírus.

Todas as entidades governamentais e financeiras – detentoras de informações sigilosas – certamente estão sob ataque. Segundo MacDonald, o ataque ocorrido no início do ano contra a rede do Google, na China, foi uma amostra do que está por vir. Vários clientes da Gartner denunciaram ataques no mesmo período e com base em métodos semelhantes.

Para alguns, a dificuldade na determinação da difusão desses tipos de atividade está no fato de eles serem muito complicados de rastrear.

“Por um lado, sabemos da dificuldade de identificar esses ataques; mas o segredo com que eles são tratados ao serem identificados torna a investigação muito mais difícil”, disse o pesquisador-chefe da Cryptography Research, Paul Kocher.

Para as organizações que realizam os ataques, qualquer ação descoberta é considerado um fracasso absoluto. Então o único tipo de informação que vaza sobre essas ações são ataques falhos.

“Como o cerne de toda a questão é envolto por uma grossa camada de sigilo, não existe maneira de saber o real tamanho do problema.” A afirmação parte do conselheiro-chefe da empresa de auditoria PricewaterhouseCoopers, Mark Lobel.

“Mas não se engane: o clima parece calmo e com pouca agitação, mas ficamos sabendo em conversas com gente atuante no segmento que a questão se alastra de maneira mais agressiva do que sugere o senso comum”, afirma Lobel.

Quem espiona?
Mesmo que o ataque seja descoberto, identificar o autor é praticamente impossível. Sim, é possível rastrear o IP da máquina de onde partiu o ataque, mas, muito provavelmente, será um computador comprometido, fazendo papel de proxy ou de relay.

Atualmente, a maioria dos fornecedores de softwares antivírus trabalha com um esquema de assinatura quando procuram por vírus e outras pragas virtuais.”Já em nações como a China, detentoras dos recursos e da expertise, os invasores não têm problemas em explorar os códigos avançados e outros ataques do dia zero que as empresas de antivírus não têm como identificar”, diz o investigador corporativo Brandon Gregg, que pretende lançar um curso de combate às ações de espionagem eletrônica em meados de setembro.

A China é, várias vezes, apontada como origem de ataques de espionagem eletrônica, mas, certamente não é a única fonte dessas ameaças. “É da natureza humana encontrar um bode expiatório. Mas, depois de analisar os dados que chegaram até mim, e pelo que ouço, a questão é um tanto mais complexa”, afirma o CSO da empresa de games Zynga e cofundador da Cloud Security Alliance, Nils Puhlmann.

Ele não quer dar detalhes, mas dá a entender que os espiões eletrônicos estão baseados em vários países e não precisam, necessariamente, ser subsidiados pelo Estado.

Determinados sites, como hackerforum.com dão aos hackers todas as informações de que precisam para controlar qualquer computador conectado à Internet.

Anatomia da invasão
Um ataque típico começa por explorar vulnerabilidades diversas para atingir um objetivo principal: furtar informações ou comprometer uma determinada conta. Qualquer usuário em uma organização pode receber um e-mail bem escrito e de aparência confiável (técnica chamada de spearphishing) e, de forma inadvertida, instalar um spyware a partir da estação de trabalho.

Outros ataques podem ser gerados a partir de um hacker que usa informações públicas, a partlr delas, elabora as tentativas. Mesmo que nem todo tipo de informação disponibilizado na web seja confidencial, quando são combinados com outros dados disponíveis - inclusive por outras empresas -, um certo padrão pode começar a aparecer.

“É perfeitamente possível unir pedaços de informações não confidenciais para deduzir um modo de chegar ao conjunto de dados críticos”, avisa Lobel, da PricewaterhouseCoopers.

É possível que um hacker se aproveite de uma brecha na segurança ou uma configuração frágil para assumir a identidade de determinado usuário ou instalar um posto de vigia.

Outro alvo de ataques são as vulnerabilidades desconhecidas do público. Também existe a chance de ocorrer suborno para obter informações que viabilizem a invasão.

Em um ataque planejado, é possível explorar mais de um sistema ou determinada brecha em nível de aplicativo. Uma vez comprometido, todo o ambiente interno da rede pode ser lentamente conquistado com a finalidade de atingir o objetivo maior da invasão.

Não é raro que hackers “plantem” escutas em pontos de entrada e de saída de dados de sistemas. Isto pode se dar através de servidores de log, local pouco investigado por programas de segurança.

Os softwares colocados pelo hacker enviam as informações coletadas por meio de protocolos FTP, e aos poucos. Dessa maneira, não se destacam no tráfego da rede nem atraem atenção para seu funcionamento.

Na mira
Se você acha que a organização em que trabalha não se enquadra no menu de predileções de hackers com intuito de fazer dinheiro, reveja seus conceitos.

Apesar de sistemas militares e sites governamentais sempre serem os preferidos, as empresas prestadoras de serviço de transporte também são atraentes. Isso porque, uma vez invadido o sistema, obtém-se acesso às informações de várias empresas. Entre esses serviços destacam-se os webmails, redes telefônicas, bancos de dados de transportadoras e redes sociais.

“Qualquer empresa que mantenha um contingente de dados com cunho de propriedade intelectual ou relativo a pesquisas e desenvolvimento é atraente aos olhos de espiões”, afirma o COO da Good Harbor Consulting, especialista em segurança de dados governamentais, Paul Kurtz.

“Os adversários irão sempre olhar para a cadeira de fornecedores quando se trata de conseguir acesso a dados críticos. Isso faz de fornecedores de entidades governamentais um alvo tremendamente importante.”

Riscos
“O pior cenário possível é o seguinte: perda total das vantagens competitivas”, diz Lobel. Por exemplo, uma entidade governamental que esteja realizando espionagem eletrônica pode passar produtos de propriedade intelectual para um concorrente. Isto poderia poupar o concorrente dos investimentos com pesquisa e desenvolvimento, sem mencionar o tempo investido para chegar ao resultado.

Em outro caso, poderiam ser passadas informações referentes a produtos que estejam prontos para o lançamento.

De acordo com Kurtz, “as empresas do setor privado têm os maiores prejuízos atualmente. Isto se deve ao fato de o governo não fazer qualquer coisa para protegê-las. Nessa mão, as entidades privadas acabam sofrendo de hemorragia de propriedade intelectual, perdem a confiança de investidores e, por consequencia, participação de mercado.”

As empresas não precisam limitar suas preocupações ao conjunto de dados, mas o risco de cair no conceito público por permitir que dados pessoais dos funcionários sejam extraviados também faz parte das ameaças às quais estão expostas.

Defesa e combate

Muito possivelmente, não existe uma maneira 100% segura de proteger a organização contra esse tipo de ataque, altamente sofisticado. Essa realidade é especialmente cruel considerando-se que as nações dispõem de recursos inacessíveis a muitas empresas.

Mas existe uma série de passos que pode ser dada na prevenção, ou na redução, das chances de sofrer ataques.

Uma das estratégias elegíveis é a prática da defesa de baixo nível. Isso implica em configurar várias camadas de segurança; na eventualidade de uma falhar, sempre haverá outra barreira a ser ultrapassada.

Essa estratégia significa aplicar tecnologia de ponta e consiste em educar os funcionários sobre os riscos e mostrar a eles como podem combater as tentativas de espionagem.

Se os recursos permitirem, contratar pessoas especializadas em descobrir e se defender contra métodos de espionagem eletrônica, pode ser uma alternativa.

MacDonald, da Gartner, recomenda às empresas que cuidem dos quesitos básicos antes de mais nada. Atualizações constantes e perseguir padrões de gestão, além de treinar usuários, fazem parte dessa lista básica.

Como boa parte dos ataques acontece através de e-mails e de outros canais da web, é uma boa ideia incrementar a segurança do gateway responsável por transportar esse tráfego. Catapultar essa rota às plataformas mais recentes e com maior segurança baseadas, por exemplo, na verificação da reputação do endereço pretendido é altamente recomendado.

Outra iniciativa que pode trazer resultados é migrar de proteção local, como antivírus e programas de detecção de spywares para soluções locais, que providenciem uma série de recursos, tais como firewalls, antispam, antivírus e detecção de tentativas de invasão nas máquinas.

“Parta sempre do princípio da insegurança”, sugere MacDonald. “Atualize e incremente a capacidade de detecção executando um monitoramento do sistema, da rede, dos aplicativos e das transações entre fontes de dados distintas. O objetivo é encontrar comportamentos suspeitos de softwares; qualquer coisa fora da rotina pode ser um indicativo de sistema comprometido", ressalta.

Kocher, da Crytpography Research, dá a dica. "A melhor forma de se defender é fragmentar a rede local em redes menores, isoladas fisicamente. "Com o crescimento da rede, a probabilidade de ataques aumenta. Em minha empresa, temos uma rede desligada do resto das máquinas que operam conectadas na Internet. Essa rede tem cabeamento e impressora próprios."

Para acessar a web, os funcionários têm laptops e, nestes, não há qualquer massa de arquivos essenciais. Máquinas com dados preciosos não têm acesso à Internet e ponto final.

Contra o ditado

"Apesar do ditado, no caso das empresas a ignorância não traz felicidade, muito menos quando o assunto é segurança dos dados", diz MacDonald.

As companhias acreditam estar cobertas por softwares antivirus e, sempre que uma varredura na rede termina sem qualquer alerta, elas descansam crentes de estarem seguras. Essa ignorância se perpetua até que, depois de vários meses, descobrem que hospedavam um espião na rede.

"A negação funciona até não funcionar mais", finaliza.

(Bob Violino)