Análise
das Mudanças Importantes na Segurança
do Ciberespaço
|
 |
 |
|
Já faz alguns anos que
você tem ouvido falar sobre um importante problema
de segurança no ciberespaço.
Estamos tão acostumados a debater esse problema
que talvez não tenhamos notado as mudanças
recentes. Estou falando de mudanças importantes
ocorridas no último ano e meio. Elas passaram
desapercebidas em parte por estarmos já acostumados
a ouvir pessoas como eu afirmar que há um
problema. Contudo, o problema agora tornou-se muito
mais grave. Isso fica aparente ao analisarmos cinco
tendências atuais.
A primeira tendência está relacionada
ao número de vulnerabilidades em softwares.
Nos últimos três anos, o número
de vulnerabilidades identificadas dobrou a cada ano.
Há agora mais de 40 mil vulnerabilidades de
software conhecidas. Apenas no ano passado, até 60
vulnerabilidades por semana chegaram a ser publicamente
anunciadas.
Isso nos leva à segunda tendência, que é a
quantidade de correções com as quais
temos de lidar. Nos últimos 18 meses, até 30
correções a serem aplicadas por administradores
de sistema foram lançadas em uma certa semana.
Isso significa que, enquanto está instalando
uma correção, você está também
validando uma outra correção e sendo
notificado sobre o lançamento de mais uma nova
correção.
Em resumo, você foi inundado por correções
e praticamente perdeu o controle sobre o gerenciamento
de correções. Além disso, enquanto
aguarda a validação de uma correção
para verificar seu efeito sobre a rede e os aplicativos,
você está correndo riscos, pois ainda
não instalou aquela correção.
Antigamente, era possível aguardar. Atualmente,
aguardar significa correr riscos.
E isso nos conduz até a terceira tendência.
Antes víamos um longo período de tempo
decorrer entre a descoberta e o anúncio de uma
vulnerabilidade e a sua exploração por
hackers. Esse período de tempo encurtou dramaticamente.
Houve ocasiões no último ano em que
apenas 6 horas decorreram entre a identificação
de uma vulnerabilidade de software e a publicação
de um método de exploração dessa
vulnerabilidade em uma sala de bate-papo de hackers.
A quarta tendência está relacionada ao
tempo. Quanto tempo é necessário para
que um vírus, worm ou ameaça combinada
penetre no ciberespaço? Quanto
tempo leva até que a ameaça ataque o
seu computador? O padrão costumava ser o Code
Red, que lançou seu ataque em julho de 2001.
Ele representou a propagação mais veloz
já vista no ciberespaço.
Essa ameaça combinada atingiu os cinco continentes,
e 300 mil computadores foram infectados com êxito
em 26 horas. Acreditamos que seria extremamente difícil
para os usuários reagir tão rapidamente
e lidar com esse ataque.
Ainda assim, em fevereiro de 2003, vimos o mesmo tipo
de ataque atingir o mesmo número de computadores,
porém não em 26 horas, mas em 14 minutos.
E isso introduz a quinta tendência, que é o
prejuízo econômico causado por ameaças
combinadas. Atualmente, sabemos que todas as estimativas
de prejuízo econômicos são apenas
estimativas. E isso acontece porque a maioria das pessoas
não registra o prejuízo econômico
acarretado por ataques cibernéticos. Portanto,
eu reconheço que os valores a seguir são
baseados em dados de pesquisas. Eles podem não
estar corretos, porém é provável
que a tendência esteja correta.
Considere o seguinte: em 2002, o custo da remoção
de worms e vírus chegou a 45 bilhões
de dólares no mundo todo. Usando a mesma metodologia,
o custo registrado apenas no mês de agosto de
2003 foi de 38 bilhões de dólares. Em
outras palavras, o custo anual em 2002 foi similar
ao custo registrado em um mês em 2003. Estima-se
que o custo anual de 2003 ficará entre 119 bilhões
e 145 bilhões de dólares. Novamente,
compare esse valor com os 45 bilhões de dólares
em 2002.
Uma mudança brutal
Quando os valores variam dessa maneira, ficam evidentes
as mudanças no cenário. Houve uma mudança
brutal no ambiente cibernético, e você deverá informar
sobre isso a todos os presidentes, CEOs e chefes
de departamentos para os quais trabalha. Isso não é mais
uma tarefa rotineira. Estamos registrando uma crise
de segurança no ciberespaço.
Durante anos, você ouviu falar sobre ataques
a infra-estruturas essenciais, como transporte, serviços
bancários e financeiros e usinas de energia.
E, de fato, a mudança brutal ocorrida no último
ano e meio forneceu bons exemplos de ataques cibernéticos às
empresas privadas que controlam essa infra-estrutura
essencial. Exemplos ocorreram no mundo todo:
- Um dia, todos os caixas eletrônicos
de um dos maiores bancos norte-americanos pararam de
funcionar devido a um ataque cibernético
- Uma das maiores ferrovias nos Estados Unidos
já teve de interromper o serviço de todos
os seus trens devido a um ataque cibernético
- Uma importante companhia área cancelou
todos os seus vôos durante um dia inteiro devido
a um ataque cibernético
- Um ataque cibernético em um importante
oleoduto interrompeu o fornecimento de gás na
Rússia
- As autoridades em Israel e na Noruega anunciaram
tentativas de ataques cibernéticos em suas usinas
de energia elétrica.
Blecautes graves foram registrados no ano passado
na Itália, na maior parte da Inglaterra e na
maioria das regiões dos Estados Unidos. O blecaute
em 14 de agosto nos Estados Unidos pode não
ter sido causado por um ataque cibernético,
porém sabemos que dois dias antes de ocorrer,
as empresas de energia elétrica norte-americanas – empresas
que geram e distribuem a energia elétrica – admitiram,
pela primeira vez, ter vulnerabilidades no ciberespaço. E em 12 de agosto elas adotaram,
voluntariamente, diretrizes de segurança para
as usinas de energia norte-americanas.
A infra-estrutura essencial no espaço físico
não é a única a ser atacada. Em
novembro de 2002, um ataque de “negação
de serviço” foi lançado contra
o Sistema de Nomes de Domínios (DNS). Essa foi
uma tentativa de descobrir que volume seria necessário
para imobilizar cada uma das raízes de “A” até “J”.
Esse não foi um ataque do tipo “lançar
fogo e esquecer”. Não foi apenas um “bot” (de “robot”,
tipo de software autônomo) solto no ciberespaço. Alguém estava direcionando
o ataque e calculando o volume necessário para
paralisar cada uma dos centros. Essa não é uma
prática comum, uma vez que a maioria dos ataques
parece ser automatizada.
Uma galeria de malfeitores anônimos
O aspecto mais interessante sobre quase todos esses
ataques é que até hoje ninguém
foi preso. Ocasionalmente, indivíduos são
descobertos e presos por terem capturado um worm
ou vírus e o modificado para, em seguida,
o lançarem novamente no ciberespaço.
Contudo, as autoridades , na maioria dos casos,
não são capazes de localizar o responsável
por tais ataques.
Quem são esses “bandidos”? Sabemos
que há diversos tipos de indivíduos com
más intenções no ciberespaço.
Em uma extremidade do espectro estão aqueles
tentando se exibir. Com freqüência, são
adolescentes fazendo o equivalente a "tirar um
racha" no
ciberespaço.
Entretanto, no próximo nível estão
pessoas envolvidas em fraude e extorsão. No
mundo todo, indivíduos têm se infiltrado
em sistemas de países estrangeiros, descobrindo
listas de clientes e ameaçando disponibilizar
os nomes e os dados de cartão de crédito
em websites públicos a menos que sejam pagos.
Isso é pura chantagem e extorsão.
Às vezes, o intuito é cometer fraudes
e roubar identidades. Não estávamos cientes
da gravidade do problema de roubo de identidade nos
Estados Unidos, porém registrávamos um
grande número de reclamações.
Até que o FTC (Federal Trade Commission, Comissão
Federal de Comércio) dos Estados Unidos conduziu
uma pesquisa para saber a extensão exata do
problema de roubo de identidade.
Suas descobertas foram publicadas em setembro de 2003
e demonstraram que, nos últimos cinco anos,
27 milhões de norte-americanos foram vítimas
de roubo de identidade. E nesse caso também
a tendência é que esse número aumente.
Desses 27 milhões, 9 milhões foram vítimas
nos últimos 12 meses.
E quanto ao custo? Para as empresas, bancos e organizações
que armazenavam as identidades roubadas, o custo médio
envolvido é de 10 mil dólares para cada
identidade roubada. Portanto, considere o custo à economia
norte-americana de 27 milhões de identidades
roubadas em cinco anos, ao preço de 10 mil dólares
por identidade roubada para as empresas do setor privado.
Acredito que tenha ficado claro até aqui porque
afirmei que houve uma mudança brutal e que o
cenário está cada vez pior. As estatísticas
estão aumentando, os ataques ao setor privado
estão mais graves e o prejuízo estende-se
para além do registrado há alguns anos.
E se essa mudança for permanente, para onde
estamos caminhando? O que virá a seguir?
Olhando adiante
Uma possibilidade que devemos considerar é que
a nova geração de worms e vírus
terá conseqüências mais graves. Tivermos
sorte até agora: os worms e vírus que
enfrentamos não causaram danos graves demais.
Acrescente uma ou duas linhas extras de código,
e o dano poderia ser bem pior. A probabilidade é que
isso ocorra ainda este ano.
Outra possibilidade é um ataque de “dia
zero”. Um ataque de dia zero significa que a
vulnerabilidade sendo explorada ainda não foi
identificada. Não estou falando de um ataque
algumas horas após uma vulnerabilidade ter sido
anunciada ao público, e sim de um ataque de "dia
zero", que explora uma vulnerabilidade que um
hacker tenha identificado e que nunca tenha sido anunciada
publicamente. Deveríamos esperar a ocorrência
de um ataque de dia zero em algum momento em 2004.
Quais são as conseqüências de todas
essas atividades no ciberespaço?
Em resposta a isso, os governos têm analisado
as possibilidades de regulamentar o ciberespaço,
criando regras e regulamentações quanto à sua
segurança. Nos Estados Unidos, há diversas
regulamentações federais para os setores
de instituições bancárias e financeiras,
da saúde e diversos outros.
Em 2006, o setor de instituições bancárias
e financeiras adotará globalmente o chamado “Basel
II”, um novo padrão de volume monetário
a ser mantido em mãos pelas instituições
financeiras. No passado, os bancos tinham de manter
o dinheiro no cofre – ou seja, em mãos
em vez de emprestado e gerando lucros – de acordo
com o risco associado aos empréstimos que realizavam.
Contudo, de acordo com o Basel II, instituições
bancárias e financeiras no mundo todo deverão
manter o dinheiro em mãos de acordo com o seu
risco operacional, incluindo o risco à sua segurança
no ciberespaço. Em outras palavras,
se possui um banco e a sua segurança no ciberespaço não é confiável,
em 2006 você passará a perder dinheiro,
uma vez que deverá manter mais dinheiro no cofre,
e menos dinheiro em empréstimos e investimentos.
Outra conseqüência é que as pessoas
irão procurar cada vez mais utilizar métodos
de defesa automatizados. Quando apenas 6 horas são
necessárias para que uma vulnerabilidade identificada
seja explorada, e apenas 14 minutos é o que
leva entre o lançamento de um vírus no
ciberespaço e a sua propagação
global, você tem de reagir rapidamente.
Por essa razão, as pessoas têm buscado
modos de automatizar respostas e identificar vulnerabilidades
antecipadamente através de software especializado.
Além disso, elas buscam cada vez mais terceirizar
sua segurança a fim de contar com alguém
que monitore continuamente seus sistemas e reaja a
tempo.
Até conseguirmos aprimorar a qualidade de software
e estabelecer um padrão internacional de garantia
de qualidade que possa ser aplicado a um software antes
que seja distribuído globalmente, continuaremos
a enfrentar esses problemas.
Defesa total
Para a sua empresa, isso significa duas providências
a serem tomadas. Em primeiro lugar, você deve
contar com uma defesa total. Você não
pode mais contar com um ou dois sistemas, ou depender
de apenas um bom sistema antivírus ou um bom
firewall. É necessário ter camadas de
firewalls e segmentação da rede, além
de firewalls e antivírus nas estações
de trabalho.
É necessário ainda novos métodos
para lidar com ameaças que se infiltram em seu
perímetro, uma vez que esse perímetro
está começando a desaparecer. Seu desaparecimento
tem sido causado pelo fato de estarmos todos usando
redes virtuais privadas (VPNs) e laptops conectados
a essas redes virtuais privadas. Às vezes, nesse
cenário, os laptops foram previamente atacados
e infectados e, ao se conectar à VPN, essa serve
de meio para que o ataque chegue até a rede
privada.
O perímetro tem desaparecido também
devido ao uso de dispositivos móveis Wi-Fi.
E isso é agravado pelo fato de hackers terem
descoberto modos de usar ataques de chamada remota
para penetrar os firewalls. Portanto, não podemos
mais depender de apenas uma camada de defesa ou da
abordagem “um firewall, DMZ (zona delimitada)
e antivírus”. É necessário
uma defesa total.
Isso envolve a implementação da detecção
de intrusões baseada na rede, bem como baseada
em host. Requer também a implementação
de sistemas de prevenção de intrusões
que monitorem comportamentos anômalos e assinaturas
de ataques. Além disso, a defesa total engloba
sistemas que controlem a ocorrência de violações
da política de segurança de TI e enviem
alarmes ao encontrar tais violações.
Temos falado sobre defesa total durante anos, porém
em vista dos novos desafios e da mudança brutal
no cenário de segurança de TI, chegou
a hora de implementá-la.
A segunda providência, infelizmente, envolve
gastar mais dinheiro em segurança de TI. Isso é algo
que ninguém quer ouvir, já que todos
desejam saber qual será o retorno sobre o investimento
na segurança de TI. Porém, não
há uma fórmula perfeita que possa indicar
aos diretores financeiros ou CEOs a extensão
do retorno sobre esse investimento. O que podemos fazer é informar
a eles qual será o retorno sobre investimento
caso não aumentem o investimento em segurança
no ciberespaço.
No mundo inteiro, as pessoas têm gasto mais
e mais dinheiro. Nos Estados Unidos, o governo federal
irá gastar, no ano fiscal iniciado em outubro
passado, 5 bilhões de dólares para defender
seus sistemas de computador contra ataques de hackers.
Infelizmente, diretores de informática e diretores
de segurança de informática podem encontrar
dificuldades para convencer a diretoria, os presidentes
e os CEOs. Contudo, é sua obrigação
informar-lhes que o cenário mudou e que eles
estarão arriscando a empresa caso não
tomem providências.
O essencial a fazer é se munir de argumentos
convincentes que possa levar até seus superiores,
e informar-lhes que agora enfrentam uma nova e diferente
ameaça. E que vocês não poderão
combatê-la com os seus métodos de defesa
atuais. É necessário uma defesa total.
Sobre o autor
Richard Clarke dedicou duas décadas de sua vida
profissional ao combate do terrorismo. Ele trabalhou
para sete presidentes e atuou na Casa Branca para George
H. W. Bush, Bill Clinton e George W. Bush até se
aposentar em março de 2003 da função
de Consultor-mor de segurança no ciberespaço. Clarke administrou a crise nacional
em 11 de setembro de 2001 ao gerenciar a Sala de Situação,
uma cena que descreve em seu livro mais recente, “Against
All Enemies”.
Links Relacionados:
|
