Hackers exploram falhas em sistemas de ar condicionado e máquinas de salgados
Incapazes de invadir a rede de computadores numa grande empresa de petróleo, hackers infectaram com um malware o cardápio online de um restaurante chinês muito utilizado pelos funcionários. Ao escolherem seu almoço, eles acidentalmente baixaram um código que deu aos agressores uma base na ampla rede computacional da empresa.
Especialistas em segurança convocados para corrigir o problema não foram autorizados a divulgar os detalhes da invasão, mas a lição com o incidente ficou clara: empresas buscando proteger seus sistemas contra hackers e espiões do governo precisam procurar vulnerabilidades nos locais mais improváveis.
Na recente invasão do cartão de pagamentos da Target, hackers ganharam acesso aos registros da loja através do sistema de ar condicionado. Em outros casos, hackers usaram impressoras, termostatos e equipamentos de videoconferência.
As empresas sempre precisaram ser diligentes para se manter à frente dos hackers – e-mails e dispositivos pessoais vulneráveis são um problema antigo –, mas a situação vem ficando cada vez mais complexa e urgente agora que vários serviços terceirizados recebem acesso remoto a sistemas corporativos.
Esse acesso vem através de softwares que controlam todo tipo de serviços necessários a uma empresa: aquecimento, ventilação e ar condicionado, sistemas de gestão de contas, despesas e recursos humanos, funções de análise de gráficos e dados, provedores de seguro saúde e até mesmo máquinas de venda automática.
“Nos vemos constantemente em situações onde provedores de serviços externos conectados remotamente têm as chaves do castelo”, explicou Vincent Berk, presidente da FlowTraq, uma firma de segurança de rede.Invadindo um desses sistemas, é possível invadir todos os outros.
É difícil encontrar números do percentual de ataques virtuais que podem ser ligados a vazamentos de terceiros, em grande parte porque os advogados das vítimas encontram qualquer motivo para não divulgar uma invasão. Mas uma pesquisa com mais de 3.500 praticantes globais de TI e segurança virtual, conduzida no ano passado por uma firma de pesquisa de segurança, o Ponemon Institute, descobriu que 23 por cento das invasões eram atribuíveis à negligencia de terceiros.
Especialistas em segurança dizem que esse número é baixo. Arabella Hallawell, vice-presidente de estratégia na Arbor Networks, uma firma de segurança de rede em Burlington, Massachusetts, estimou que fornecedores terceirizados estavam envolvidos em cerca de 70 por cento das invasões analisadas por sua empresa.
“Geralmente são fornecedores de quem você nunca suspeitaria”, afirmou Hallawell.
A invasão pelo cardápio chinês online – conhecida como ataque da nascente de água, o equivalente virtual a um predador que espreita um lago e ataca sua presa sedenta – foi extrema. Mas pesquisadores de segurança dizem que, na maioria dos casos, os agressores nem precisam se esforçar tanto quando o software de gestão de todo tipo de dispositivo se conecta diretamente às redes corporativas.
Acesso terceirizado é problema
Hoje, provedores de aquecimento e ar condicionado conseguem monitorar e ajustar remotamente a temperatura do escritório, e fornecedores de máquinas de venda automática podem ver quando seus clientes estão quase sem refrigerantes e salgadinhos. Esses fornecedores muitas vezes não possuem os mesmos padrões de segurança de seus clientes mas, por motivos comerciais, acabam sendo autorizados pelo firewall que protege a rede.
Especialistas em segurança dizem que os fornecedores são alvos tentadores aos hackers, pois costumam utilizar sistemas mais antigos, como o software Windows XP da Microsoft. Além disso, especialistas afirmam que esses dispositivos aparentemente inofensivos – equipamentos de videoconferência, termostatos, máquinas de venda e impressoras – costumam ser entregues com as configurações de segurança desligadas. Assim que os hackers encontram uma porta de entrada, os dispositivos lhes oferecem um esconderijo.
“A beleza é que ninguém presta atenção nesses dispositivos”, declarou George Kurtz, presidente da Crowdstrike, uma firma de segurança. “Então é bastante fácil para o intruso se esconder”.
No ano passado, pesquisadores de segurança conseguiram invadir a sede do Google em Sidney e o North Shore Private Hospital – e seus sistemas de ventilação, iluminação e até mesmo câmeras de vídeo – através de seu fornecedor de gestão predial. Mais recentemente, os mesmos pesquisadores descobriram ser possível invadir os disjuntores da área olímpica de Sochi através de seu fornecedor de aquecimento e ventilação.
Felizmente, os pesquisadores estavam apenas procurando por falhas que pudessem ser exploradas por hackers reais.
“Seu sistema de ar condicionado nunca deveria conversar com seu banco de dados de recursos humanos, mas por algum motivo ninguém nunca fala sobre isso”, afirmou Rios
Billy Rios, diretor de inteligência de ameaças na Qualys, uma firma de segurança, era um desses pesquisadores. Ele disse ser cada vez mais comum as corporações configurarem suas redes de forma descuidada, com sistemas de ar condicionado conectados à mesma rede que atende bancos de dados contendo informações confidenciais.
A pesquisa do instituto Ponemon, realizada no ano passado, descobriu que em 28 por cento dos ataques, não foi possível encontrar a fonte da invasão. Hallawell comparou o processo a “encontrar uma agulha num palheiro”.
Idealmente, segundo especialistas em segurança, as corporações deveriam montar suas redes de forma que o acesso a dados confidenciais seja bloqueado para sistemas de terceiros, com monitoramento remoto, senhas avançadas e tecnologia que possa identificar qualquer tráfego anormal – como alguém com acesso ao sistema de monitoramento de ar condicionado tentando entrar num banco de dados de funcionários.
Mesmo assim, porém, as empresas precisam de equipes de segurança com experiência em detectar tais ataques. Embora a Target usasse tecnologia de segurança fornecida pela FireEye, uma empresa que dispara alertas sobre atividades incomuns, sua equipe de TI ignorou as luzes vermelhas, segundo várias pessoas que confirmaram as descobertas de uma investigação da Bloomberg Businessweek em março – mas que não podiam falar publicamente sobre o inquérito interno da Target.
Como tudo o mais, trata-se simplesmente de uma questão de prioridades. Um estudo da Arbor Networks descobriu que, diferente de bancos, que gastam até 12 por cento de seus orçamentos de tecnologia da informação em segurança, os varejistas investem, em média, menos de 5 por cento de seus orçamentos em segurança. O grosso dos gastos de TI vai para marketing de clientes e análise de dados.
“Quando você sabe que é um alvo e não sabe quando, onde ou como ocorrerá o ataque, a guerra é constante”, disse Hallawell. “E a maioria das organizações não está preparada para a guerra”.
(IG)
