Durante os últimos anos, acompanhei a evolução de diversas áreas e, como qualquer curioso, observei a visão de vários segmentos empresarias sobre o tema Segurança da Informação. As observações me fizeram acompanhar algumas pesquisas e estudos específicos sobre ataques e tendências. Infelizmente sou forçado a dizer que, definitivamente, as previsões não poderiam ser mais aterrorizadoras.
No início de 2014, a Symantec publicou uma pesquisa informando que o comportamento do "atacante" havia mudado. Durante o decorrer do ano, realmente vimos tal mudança, mas se manteve com maior volumetria nas instituições financeiras e basicamente no furto de informações para ataques pontuais de grandes ganhos. Outro ponto importante desta pesquisa foi o despertar para os ataques a dispositivos móveis. No decorrer no ano, também vimos muitas outras empresas apontando visões semelhantes com tendência de crescimento. Realmente estávamos diante de uma "tempestade" se formando.
Os meses se passaram, chegou a Copa do Mundo de futebol aqui no Brasil, brindando-nos com dias que grande parte dos brasileiros deseja esquecer, mas com números importantes dentro do universo da Segurança da Informação. Os torcedores que estavam no Maracanã na final da Copa enviaram aproximadamente 12 TB (Terabytes) de seus smartphones. Se compararmos com a Copa do Mundo disputada na França em 1998, veremos que apenas 15 mil espectadores possuíam celulares, gerando apenas 2 MB (Megabytes) usando SMS. Em 2006, na Copa do Mundo disputada na Alemanha, viu-se que o volume de dados gerado durante a final chegou a 30 GB (Gigabytes). Comparando com a Copa da Alemanha, tivemos aqui no Brasil um crescimento de 400 vezes e nem temos o envolvimento da "Internet das Coisas" (IoT)!
Com o foco ainda em 2014, vamos olhar somente para os nove primeiros meses, quando foram vendidos 56,56 milhões de telefones celulares no Brasil, sendo 39,88 milhões de smartphones. Se observarmos os números do IDC Brasil durante todo o ano de 2014, chegaremos a um crescimento de 64% no volume de smartphones vendidos. Isto equivale a 2,3 milhões de unidades vendidas só no terceiro trimestre deste ano, sendo que 95% dos dispositivos tinham sistema operacional Android.
Provavelmente chegamos em dezembro de 2014 com mais de 10 milhões de tablets vendidos. Junte isto com o estudo da Forrest Consulting, realizado com decisores de TI de quase 600 empresas, e veremos que mais de 80% das corporações acreditam que as soluções de IoT serão um elemento estratégico para os seus negócios, podendo chegar a US$ 19 trilhões nos próximos dez anos.
Sem muito esforço, podemos imaginar IoT em carros, geladeiras, cafeteiras pedindo novas cápsulas de café expresso, dispositivos vestíveis interagindo com smartphones, canecas conectadas a sua rede social preferida ou qualquer outro tipo de dispositivo. Entretanto, isto também nos brinda com um universo de oportunidades para os "atacantes digitais". Segundo o Gartner, neste ano deveremos ter a presença da IoT em manufatura, serviços públicos e transportes. Será que tais elementos estarão protegidos contra ataques digitais? Se uma nação munida de um exército de ciberterroristas pode furtar filmes, segredos industriais ou gerar indisponibilidade no acesso à internet de outro país, imagina o que um grupo de jovens com conhecimentos e más intenções pode fazer com tantas opções de ataque?
Vamos guardar esta ideia em mente e retornar para o início de 2014. Perceba que os ataques estavam dentro das previsões previamente estabelecidas, mas que durante o ano foi possível notar uma mudança bem marcante, principalmente para os ataques DDoS (Distributed Denial of Service/Ataque Distribuído de Negação de Serviço).
As análises registradas por alguns Data Centers brasileiros mostram que não existe distinção para o tipo de empresa. Todos os mercados e tipos de empresas estavam lutando contra algum modelo de ataque DDoS, o que explica os dados contidos no 10º Relatório Global de Segurança de Infraestrutura da Arbor Networks. Tais informações revelam que o volume dos ataques DDoS cresceu até 50 vezes nos últimos 10 anos.
Olhando para e-commerce, uma importante área de estudo para atacantes digitais, veremos que o fluxo de ataques será intensificado e que, se as previsões da Juniper Research se concretizarem, teremos novidades no número de usuários de mobile commerce no mundo, devendo superar 2 bilhões até 2017.
Se hoje já temos um fluxo espantoso de sites clonados elevando o número de fraudes, atuando junto com malwares que desviam o pagamento de boletos, imagine quando tivermos este volume de transações no mobile commerce?
Novamente teremos que pensar na fórmula que relaciona fragilidade com risco e comodidade. Emprego o conceito de fragilidade aqui, indo mais além do que o não uso de um antivírus e chegando no psicológico de sentir que, ao carregar um smartphone no bolso, a sensação de segurança é maior do que a aplicada a um notebook sob a mesa do trabalho. Se hoje já temos ataques específicos para Mac (Trojan.OSX.Vsrch.a e AdWare.OSX.Geonei.b), algo jamais pensado há alguns anos, com esta criatividade pergunto-me: o que teremos nas demais plataformas?
Se formos pela linha dos pensamentos radicais, podemos dizer que a expressão "não existe dispositivo seguro" faz realmente sentido, pois nem os dispositivos desligados estarão seguros. Com um uso razoável de Engenharia Social, pode-se "conduzir" uma pessoa a ligar este dispositivo e torná-lo factível a um ataque. Projeções do Gartner indicam que o número de dispositivos conectados à internet deve atingir 4,9 bilhões em 2015 e que, provavelmente, teremos 25 bilhões de dispositivos em 2020 no mundo. Se hoje o Brasil tem a quinta maior base de smartphones do mundo, com mais de 89,5 milhões de unidades, ficando atrás apenas de China, EUA, Índia e Indonésia, projete estes números em 2020 para perceber que estamos diante de possibilidades devastadoras.
Se atacar empresas grandes (mais de 2.500 funcionários) é, na grande maioria dos casos, algo complicado, atacar seus parceiros e distribuidores de matéria prima é algo que pode gerar acesso com pouco esforço. Muitas vezes, as pequenas e médias empresas não possuem conceitos amadurecidos de Segurança da Informação, auxiliando o atacante a obter seus objetivos. A saída aqui é exigir que os parceiros tenham o mínimo de soluções e normas de segurança para que o contrato e a troca de informações entre as empresas sejam estabelecidos. Falo aqui de uma solução contra ataques DDoS, Firewalls de Aplicação para a camada Web (WAF), soluções para proteção da marca (Brand) contra fraudes atuando em conjunto com processos para gestão de vulnerabilidades e Pentests (Penetration Tests / Testes de Vulnerabilidade Intrusivas).
.
Claro que não descarto as soluções para APT (Advanced Persistent Threats / Ameaças Avançadas Persistentes). Acredito que este será um dos elementos de destaque no ano de 2015, tornando-se um dos fatores de proteção contra ataques ainda sem assinaturas ou reconhecidos (ataques do dia zero). Estas soluções elaboram a análise comportamental do que é trafegado na rede, aliado a execuções automáticas do código malicioso em máquinas virtuais, que de forma discreta simulam o ambiente real e analisam toda a execução feita.
Não tenho dúvida que estamos diante de um "furacão". Temos sinais de que vamos vivenciar furações com classe de destruição 5 (o maior grau de devastação) e precisamos estar prontos para suportá-los antes que soframos perdas financeiras irremediáveis.
Denis Augusto Araújo de Souza, analista de produtos MSS do UOLDIVEO, autor do livro em português sobre FreeBSD, O Poder dos Servidores em Suas Mãos. Segunda edição: ebook publicado pela Amazon.com.br.
Link Indicado:
Symantec: Symantec aponta mudanças no comportamento dos cibercriminosos.
Arbor: Relatório mostra que tamanho de ataques DDoS cresceu até 50 vezes nos últimos 10 anos
DDoS: Ataques DDoS: Destino ou Fatalidade?
