Um job italiano: empresa The Hacking Team exposta

0
0

Em julho de 2015, a empresa italiana conhecida como The Hacking Team foi hackeada. Mais de 400 GB de dados foram exfiltrados e publicados em domínio público. E-mails, documentos de projetos, contratos jurídicos, faturas e similares foram todos publicados.

hack

Na semana passada um hacker anônimo publicou um guia intitulado "Hack Back – Um Guia de DIV".  Em seu documento, o autor parece reivindicar a responsabilidade pelo ataque de 2015.  Ele documenta sua motivação e, em seguida, oferece conselhos a outros indivíduos com mentalidade semelhante. O que isto nos oferece é uma visão sobre a cronologia do ataque e com ela algumas lições práticas para diminuir a probabilidade e o impacto de ataques semelhantes no futuro.

Escolhendo uma série de pontos mais importantes através do relatório, destacam-se:

Defesa em profundidade – O ataque foi dirigido e com intenção de invadir até o fundo.  Este tipo de ameaça deve se enfrentar se perguntando "quando?" e não simplesmente "se?".  Uma vez dentro da rede da empresa, o hacker conseguiu atravessar a infraestrutura sem muita dificuldade. Proteger os mecanismos internos sensíveis de uma infraestrutura organizacional é igualmente importante.  Reduzir os serviços dentro de uma rede corporativa é essencial para reduzir aqueles que estão expostos ao mundo exterior.

Monitorar e avaliar – Logs de Firewalls podem dar aviso antecipado nesses tipos de ataque.  Mapeamento da rede, escaneamento de portas e enumeração podem muito bem ser combatidos pelo firewall e dispositivos de prevenção contra intrusão (IPS – Intrusion Prevention Devices), mas não monitorar e avaliar os dados que eles produzem é perder os Indicadores e Avisos (I&Ws) que podem sinalizar algo provável de acontecer.

Atualizações e patches – Não há nenhuma surpresa de que as atualizações e patches são essenciais.  O atacante foi capaz de explorar uma vulnerabilidade conhecida dentro do sistema Nagios de gerenciamento da rede. Curiosamente, o atacante tornou-se ciente do sistema Nagios somente depois que "espionou" os administradores de sistemas..

Separe as redes, mas as conheça bem! – Este ataque foi possível porque as redes de backup e gerenciamento que deveriam ter sido separadas, mas não foram.  Separação de redes operacionais e de gestão é uma técnica útil para a proteção da infraestrutura, especialmente quando a rede de gerenciamento requer privilégios administrativos.   Neste ataque, o adversário foi capaz de interrogar e despejar as imagens de backup do servidor de e-mails.

Vigie e proteja os privilegiados – Costumamos dizer que um dos maiores desafios está em monitorar aqueles com contas privilegiadas. Muitas organizações, especialmente aquelas relacionadas com o governo, requerem autorizações de segurança para proteção das "ameaças internas".  No entanto, o que este incidente nos ensina é que, uma vez dentro, os bandidos fazem uma bee-line (linha de atalho) com os administradores de sistemas para monitorar suas atividades  a fim de obter maior conhecimento e entendimento da companhia e a sua infraestrutura. Há um pouco de uma mudança de mentalidade aqui: nós não deveríamos estar monitorando os usuários privilegiados e as suas estações de trabalho?  Não por falta de confiança, mas para a própria proteção deles e também como garantia de que não estejam sendo observados por sniffers (farejadores) de redes, keyloggers e similares?

Monitoramento egresso – Uma observação final é que uma grande quantidade de dados foi exfiltrada.  Por que isso não foi notado?  Isto não é incomum em ataques em que a propriedade intelectual é o alvo.  Implantar uma solução contra roubo de dados ou de Prevenção de Perda de Dados (DTP / DLP) e monitoramento contínuo irão diminuir a probabilidade e impacto potencial deste tipo de ataque.

Andy Settle,  chefe de Investigações Especiais da Forcepoint.

Deixe seu comentário