Há muitos furacões e terremotos no noticiário das últimas semanas, mas vamos falar apenas do mundo cibernético. Refiro-me ao recente cataclisma que levou a pique o gigantesco transatlântico de dados da Equifax e comprometeu as informações de metade dos norte-americanos.
A Equifax, todos sabemos, é uma das maiores custodiantes globais de dados críticos de terceiros, tais como registro social, dados bancários, números de cartões, seguro saúde, históricos de débitos, quitações e relacionamentos comerciais que permitem pintar um retrato detalhado do cidadão, seja para o bem ou para o mal.
A Equifax não é só uma grande corporação para a qual o dado é algo estratégico; mas é, digamos, uma integrante do oligopólio mundial de dados econômicos do consumidor. E que, portanto, tem nos dados a essência do seu negócio, e não o meio.
A Equifax, ainda assim, é a vítima recente de um fiasco cibernético cuja mácula irá marcar sua história e que, sem dúvida, irá lhe custar – de forma tangível ou intangível – algum valor na casa dos bilhões. E isto, é claro, sem falar nos inestimáveis prejuízos potenciais para aquela massa de cidadãos vazados.
Mas como isto se passou?
Vamos encarar esta questão apenas de raspão, já que o problema é colossal e a realidade ainda é nebulosa.
O tipo de violação infligido à Equifax foi um abuso de backdoor, como o que já ocorreu em uma grande lista de outras tomadas de assalto em massa. Sabe-se que uma brecha em certa aplicação web baseada no código de engenharia Apache Stratos foi a porta de entrada para o invasor.
Um dado assustador (embora não inédito ou raro) foi a demora de 70 dias para que as equipes de segurança da Equifax se dessem conta de algo estranho, enquanto o invasor fazia a festa.
Uma vez detectado o ataque, apelou-se a uma empresa "White hat" para varrer as brechas, corrigi-las e destravar as armadilhas. Mas, até onde se sabe, esta renomada equipe contratada mais serviu para realizar a "autópsia", pouco restando para salvar após a exfiltração já feita.
O que podemos apreender daí?
Podemos presumir, por exemplo, que a aplicação do "patch de correção" no tal aplicativo escrito em Stratos poderia evitar novas invasões, mas não iria corrigir o estrago já infligido.
É bem provável também que o time da Equifax não contasse com alguns novos requisitos estratégicos, como a reautenticação permanente dos acessantes (pessoas ou entidades lógicas), de preferência com múltiplos fatores e com capacidade analítica de contextos.
É quase certo que tenha faltado à Equifax uma concepção "ecossistêmica" de segurança. Como bem observou o Gartner ao New York Times, a Equifax teria muito mais chance contra esta violação se possuísse uma segurança unificada em camadas. Em outras palavras, digo eu, abrangendo todos os sete níveis da estrutura, indo do firewall de perímetro às camadas de rede e de usuários; até o nível das aplicações, onde uma ferramenta WAF (Web Application Firewall) com inteligência artificial agiria de forma proativa para fazer a correção preventiva de brechas através de "patches virtuais".
Um forte indício de que nada disso existia é o de que a violação continuou operando por um bom tempo, mesmo após a intervenção dos técnicos. Para piorar, nem a equipe da Equifax nem sua empresa de apoio externo conseguiram determinar ao certo de onde ou de quem partiu o ataque.
Pode ter sido apenas um hacker solitário que chegou àquela base de dados por acaso. Ou pode ter sido um desses grupos criminosos cada vez mais bem organizados e lastreados em boas estratégias. Um desses grupos, aliás, reivindicou o ataque e pediu um resgate em Bitcoins que não está claro se foi pago.
Mas o ataque pode ter sido uma ação de estado – Coréia do Norte, Rússia, China, Irã… quem é que arrisca um palpite? Daí que uma outra conclusão do episódio é a que reforça a tese da insegurança estrutural no atual ambiente cibernético, onde ninguém mais é capaz de delimitar onde é que termina o crime e onde começa a guerra cibernética.
Insegurança esta que se acentua com a existência dos Bitcoins (ou outras criptomoedas), esta moeda ainda tão pouco conhecida e pouco regulamentada, que vem legendada como coadjuvante na esmagadora maioria dos sequestros de dados atuais.
Rodrigo Fragola, CEO da Aker N-Stalker e diretor de segurança e defesa nas entidades Sinfor (Sindicato da Indústria da Informação) e ASSESPRO-DF.