CIBERSEGURANÇA: “ELES NÃO FIZERAM, MAS VOCÊ PODE!”
Com Paul Ducklin e Chester Wisniewski
Música de introdução e final de Edith Mudge.
Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.
Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.
LEIA A TRANSCRIÇÃO
PATO. Olá pessoal.
Bem-vindo a este mini-episódio especial do podcast Naked Security.
Meu nome é Paul Ducklin, e hoje estou acompanhado do meu amigo e colega Chester Wisniewski.
Chester, pensei que deveríamos dizer algo sobre o que se tornou a grande história da semana... provavelmente será a grande história do mês!
Eu só vou ler para você o manchete Eu usei no Naked Security:
“UBER FOI HACKED, possui hacker – como impedir que isso aconteça com você.”
Assim!
Conte-nos tudo….
CHET. Bem, posso confirmar que os carros ainda estão dirigindo.
Estou indo até você de Vancouver, estou no centro da cidade, estou olhando pela janela, e na verdade há um Uber sentado do lado de fora da janela…
PATO. Não esteve lá o dia todo?
CHET. Não, não tem. [RISOS]
Se você apertar o botão para chamar um carro dentro do aplicativo, fique tranquilo: no momento, parece que você realmente vai ter alguém vindo te dar uma carona.
Mas não é necessariamente tão garantido, se você é um funcionário da Uber, que fará muita coisa nos próximos dias, considerando o impacto em seus sistemas.
Na verdade, não sabemos muitos detalhes, Duck, do que exatamente aconteceu.
Mas, em um nível muito alto, o consenso parece ser que houve alguma engenharia social de um funcionário do Uber que permitiu que alguém se firmasse na rede do Uber.
E eles conseguiram se mover lateralmente, como dizemos, ou girar, uma vez que entraram para encontrar algumas credenciais administrativas que os levaram a ter as chaves do reino Uber.
PATO. Portanto, isso não parece um roubo de dados tradicional, um estado-nação ou um ataque de ransomware, não é?
CHET. Não.
Isso não quer dizer que outra pessoa também não esteja em sua rede usando técnicas semelhantes – você nunca sabe.
Na verdade, quando nossa equipe de Resposta Rápida responde a incidentes, geralmente descobrimos que houve mais de um agente de ameaça dentro de uma rede, porque eles exploraram métodos semelhantes de acesso.
PATO. Sim… tivemos até uma história de dois bandidos de ransomware, basicamente desconhecidos um do outro, que entraram ao mesmo tempo.
Assim, alguns dos arquivos foram criptografados com ransomware-A-then-ransomware-B e alguns com ransomware-B-followed-by-ransomware-A.
Essa foi uma bagunça profana…
CHET. Bem, isso é notícia velha, Duck. [RISOS]
Desde então, publicamos outro onde *três* ransomwares diferentes estavam na mesma rede.
PATO. Oh céus! [GRANDE RISADA] Eu continuo rindo disso, mas isso está errado. [RISOS]
CHET. Não é incomum que vários atores de ameaças estejam envolvidos, porque, como você diz, se uma pessoa é capaz de descobrir uma falha em sua abordagem para defender sua rede, não há nada que sugira que outras pessoas possam não ter descoberto a mesma falha.
Mas, neste caso, acho que você está certo, pois parece ser “para o lulz”, se você quiser.
Quero dizer, a pessoa que fez isso estava principalmente coletando troféus enquanto eles saltavam pela rede – na forma de capturas de tela de todas essas ferramentas, utilitários e programas diferentes que estavam em uso em torno do Uber – e publicando-os publicamente, acho que para a rua crédito
PATO. Agora, em um ataque feito por alguém que *não* queria se gabar, esse invasor poderia ter sido um IAB, um corretor de acesso inicial, não poderia?
Nesse caso, eles não teriam feito um grande barulho sobre isso.
Eles teriam coletado todas as senhas e, em seguida, saído e dito: “Quem gostaria de comprá-las?”
CHET. Sim, isso é super-super perigoso!
Por pior que pareça ser o Uber agora, em particular alguém das equipes de relações públicas ou de segurança interna do Uber, na verdade é o melhor resultado possível…
…que é apenas que o resultado disso será embaraçoso, provavelmente algumas multas por perder informações confidenciais de funcionários, esse tipo de coisa.
Mas a verdade é que para quase todos os outros que esse tipo de ataque vitimiza, o resultado final acaba sendo ransomware ou vários ransomwares, combinados com criptomineradores e outros tipos de roubo de dados.
Isso é muito, muito mais caro para a organização do que simplesmente ficar envergonhado.
PATO. Então essa ideia de bandidos entrando e sendo capazes de vagar à vontade e escolher para onde eles vão…
…infelizmente não é incomum.
CHET. Ele realmente enfatiza a importância de procurar ativamente por problemas, em vez de esperar por alertas.
Claramente, essa pessoa foi capaz de violar a segurança do Uber sem acionar nenhum alerta inicialmente, o que lhes deu tempo para passear.
É por isso que a caça a ameaças, como diz a terminologia, é tão crítica nos dias de hoje.
Porque quanto mais próximo do minuto-zero ou do dia-zero você puder detectar a atividade suspeita de pessoas bisbilhotando em compartilhamentos de arquivos e, de repente, fazendo login em um monte de sistemas em série - esses tipos de atividades ou muitas conexões RDP voando pela rede de contas que normalmente não estão associadas a essa atividade...
…esses tipos de coisas suspeitas podem ajudá-lo a limitar a quantidade de danos que essa pessoa pode causar, limitando a quantidade de tempo que ela tem para desvendar quaisquer outros erros de segurança que você possa ter cometido e que lhes permitiu obter acesso a essas credenciais administrativas.
Isso é algo com o qual muitas equipes estão realmente lutando: como ver essas ferramentas legítimas sendo abusadas?
Isso é um verdadeiro desafio aqui.
Porque, neste exemplo, parece que um funcionário do Uber foi enganado para convidar alguém, em um disfarce que se parecia com eles no final.
Agora você tem a conta de um funcionário legítimo, que acidentalmente convidou um criminoso para entrar em seu computador, correndo por aí fazendo coisas com as quais o funcionário provavelmente não está normalmente associado.
Então, isso realmente tem que fazer parte do seu monitoramento e caça a ameaças: saber o que realmente é normal para que você possa detectar “normal anômalo”.
Porque eles não trouxeram ferramentas maliciosas com eles – eles estão usando ferramentas que já estão lá.
Sabemos que eles analisaram os scripts do PowerShell, esse tipo de coisa – as coisas que você provavelmente já tem.
O que é incomum é essa pessoa interagindo com esse PowerShell ou essa pessoa interagindo com esse RDP.
E essas são coisas que são muito mais difíceis de observar do que simplesmente esperar que um alerta apareça em seu painel.
PATO. Então, Chester, qual é o seu conselho para as empresas que não querem se colocar na posição do Uber?
Embora este ataque tenha compreensivelmente uma enorme quantidade de publicidade, por causa das capturas de tela que estão circulando, porque parece ser “Uau, os bandidos estão em todos os lugares”…
…na verdade, não é uma história única no que diz respeito às violações de dados.
CHET. Você perguntou sobre o conselho, o que eu diria a uma organização?
E eu tenho que lembrar de um bom amigo meu que era um CISO de uma grande universidade nos Estados Unidos há cerca de dez anos.
Perguntei a ele qual era sua estratégia de segurança e ele disse: "É muito simples. Presunção de violação.”
Presumo que estou violado e que estão na minha rede pessoas que não quero na minha rede.
Então eu tenho que construir tudo com a suposição de que alguém já está aqui que não deveria estar, e perguntar: “Eu tenho a proteção no lugar, mesmo que a ligação esteja vindo de dentro da casa?”
Hoje temos um chavão para isso: Confiança zero, que a maioria de nós já está cansada de dizer. [RISOS]
Mas essa é a abordagem: suposição de violação; confiança nula.
Você não deve ter a liberdade de simplesmente vagar por aí só porque está usando um disfarce que parece ser um funcionário da organização.
PATO. E essa é realmente a chave do Zero Trust, não é?
Isso não significa: “Você nunca deve confiar em ninguém para fazer qualquer coisa”.
É uma espécie de metáfora para dizer “não suponha nada” e “não autorize as pessoas a fazer mais do que o necessário para a tarefa em mãos”.
CHET. Precisamente.
Supondo que seus invasores não tenham tanta alegria em divulgar o fato de que você foi hackeado como aconteceu neste caso…
…você provavelmente quer ter uma boa maneira de os membros da equipe relatarem anomalias quando algo não parecer certo, para garantir que eles possam avisar sua equipe de segurança.
Porque falar sobre tempos de permanência de violação de dados de nossos Manual do adversário ativo, os criminosos costumam estar na sua rede por pelo menos dez dias:
Então você tem uma semana a dez dias sólidos, normalmente, onde se você tiver apenas alguns olhos de águia que estão detectando coisas, você tem uma boa chance de desligá-lo antes que o pior aconteça.
PATO. De fato, porque se você pensar em como um ataque de phishing típico funciona, é muito raro que os bandidos tenham sucesso na primeira tentativa.
E se eles não tiverem sucesso na primeira tentativa, eles não apenas fazem as malas e vão embora.
Eles tentam a próxima pessoa, e a próxima pessoa, e a próxima pessoa.
Se eles só vão ter sucesso quando tentarem atacar a 50ª pessoa, então se algum dos 49 anteriores percebeu e disse algo, você poderia ter intervindo e resolvido o problema.
CHET. Absolutamente – isso é crítico!
E você falou sobre enganar as pessoas para doar tokens 2FA.
Esse é um ponto importante aqui – havia autenticação multifator no Uber, mas a pessoa parece ter sido convencida a ignorá-la.
E não sabemos qual era essa metodologia, mas a maioria dos métodos multifatoriais, infelizmente, tem a capacidade de ser contornado.
Todos nós estamos familiarizados com os tokens baseados em tempo, onde você obtém os seis dígitos na tela e é solicitado a colocar esses seis dígitos no aplicativo para autenticar.
Claro, não há nada que impeça você de dar os seis dígitos para a pessoa errada para que eles possam autenticar.
Portanto, a autenticação de dois fatores não é um medicamento para todos os fins que cura todas as doenças.
É simplesmente uma lombada que é mais um passo no caminho para se tornar mais seguro.
PATO. Um bandido bem determinado que tem tempo e paciência para continuar tentando pode eventualmente entrar.
E como você diz, seu objetivo é minimizar o tempo que eles têm para maximizar o retorno sobre o fato de terem conseguido em primeiro lugar…
CHET. E esse monitoramento precisa acontecer o tempo todo.
Empresas como a Uber são grandes o suficiente para ter seu próprio centro de operações de segurança 24 horas por dia, 7 dias por semana para monitorar as coisas, embora não tenhamos certeza do que aconteceu aqui, e por quanto tempo essa pessoa estava e por que não foi interrompida
Mas a maioria das organizações não está necessariamente em condições de fazer isso internamente.
É muito útil ter recursos externos disponíveis que possam monitorar – *continuamente* – esse comportamento malicioso, reduzindo ainda mais o tempo em que a atividade maliciosa está acontecendo.
Para pessoas que talvez tenham responsabilidades regulares de TI e outros trabalhos a fazer, pode ser muito difícil ver essas ferramentas legítimas sendo usadas e identificar um padrão específico delas sendo usadas como algo malicioso…
PATO. A palavra da moda de que você está falando é o que conhecemos como MDR, abreviação de Detecção e resposta gerenciadas, onde você recebe um monte de especialistas para fazer isso por você ou para ajudá-lo.
E eu acho que ainda há muitas pessoas por aí que imaginam: “Se eu for visto fazendo isso, não parece que eu revoguei minha responsabilidade? Não é uma admissão de que eu absolutamente não sei o que estou fazendo?”
E não é, é?
Na verdade, você pode argumentar que está realmente fazendo as coisas de uma maneira mais controlada, porque você está escolhendo pessoas para ajudá-lo a cuidar de sua rede *que fazem isso e só isso* para ganhar a vida.
E isso significa que sua equipe regular de TI e até mesmo sua própria equipe de segurança... em caso de emergência, eles podem continuar fazendo todas as outras coisas que precisam ser feitas de qualquer maneira, mesmo se você estiver sob ataque.
CHET. Absolutamente.
Acho que o último pensamento que tenho é este…
Não veja uma marca como a Uber sendo hackeada como significando que é impossível para você se defender.
Os nomes das grandes empresas são quase grandes caças de troféus para pessoas como a pessoa envolvida nesse hack em particular.
E só porque uma grande empresa talvez não tenha a segurança que deveria, não significa que você não possa!
Houve muita conversa derrotista entre muitas organizações com quem conversei depois de alguns grandes hacks anteriores, como Target e Sony, e alguns desses hacks que tivemos nas notícias dez anos atrás.
E as pessoas diziam: “Aaargh… se com todos os recursos da Target eles não podem se defender, que esperança há para mim?”
E eu realmente não acho que isso seja verdade.
Na maioria desses casos, eles foram visados porque eram organizações muito grandes e havia um buraco muito pequeno em sua abordagem pela qual alguém conseguiu entrar.
Isso não significa que você não tem chance de se defender.
Isso foi engenharia social, seguida por algumas práticas questionáveis de armazenamento de senhas em arquivos do PowerShell.
Essas são coisas que você pode facilmente observar e educar seus funcionários para garantir que você não esteja cometendo os mesmos erros.
Só porque Uber não pode fazer isso não significa que você não pode!
PATO. De fato – acho que está muito bem colocado, Chester.
Você se importa se eu terminar com um dos meus clichês tradicionais?
(A coisa sobre clichês é que eles geralmente se tornam clichês por serem verdadeiros e úteis.)
Depois de incidentes como este: “Aqueles que não conseguem se lembrar da história estão condenados a repeti-la – não seja essa pessoa!”
Chester, muito obrigado por tirar um tempo de sua agenda lotada, porque eu sei que você realmente tem uma palestra online para fazer esta noite.
Então, muito obrigado por isso.
E vamos terminar da maneira habitual, dizendo: “Até a próxima, fique seguro”.
[MODEM MUSICAL]
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Podcast
- Liderança de segurança
- VPN
- a segurança do website
- zefirnet
![S3 Ep128: Então você quer ser um cibercriminoso? [Áudio + Texto]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-360x188.png)
