Um job italiano: empresa The Hacking Team exposta

0

Em julho de 2015, a empresa italiana conhecida como The Hacking Team foi hackeada. Mais de 400 GB de dados foram exfiltrados e publicados em domínio público. E-mails, documentos de projetos, contratos jurídicos, faturas e similares foram todos publicados.

hack

Na semana passada um hacker anônimo publicou um guia intitulado "Hack Back – Um Guia de DIV".  Em seu documento, o autor parece reivindicar a responsabilidade pelo ataque de 2015.  Ele documenta sua motivação e, em seguida, oferece conselhos a outros indivíduos com mentalidade semelhante. O que isto nos oferece é uma visão sobre a cronologia do ataque e com ela algumas lições práticas para diminuir a probabilidade e o impacto de ataques semelhantes no futuro.

Escolhendo uma série de pontos mais importantes através do relatório, destacam-se:

Defesa em profundidade – O ataque foi dirigido e com intenção de invadir até o fundo.  Este tipo de ameaça deve se enfrentar se perguntando "quando?" e não simplesmente "se?".  Uma vez dentro da rede da empresa, o hacker conseguiu atravessar a infraestrutura sem muita dificuldade. Proteger os mecanismos internos sensíveis de uma infraestrutura organizacional é igualmente importante.  Reduzir os serviços dentro de uma rede corporativa é essencial para reduzir aqueles que estão expostos ao mundo exterior.

Monitorar e avaliar – Logs de Firewalls podem dar aviso antecipado nesses tipos de ataque.  Mapeamento da rede, escaneamento de portas e enumeração podem muito bem ser combatidos pelo firewall e dispositivos de prevenção contra intrusão (IPS – Intrusion Prevention Devices), mas não monitorar e avaliar os dados que eles produzem é perder os Indicadores e Avisos (I&Ws) que podem sinalizar algo provável de acontecer.

Atualizações e patches – Não há nenhuma surpresa de que as atualizações e patches são essenciais.  O atacante foi capaz de explorar uma vulnerabilidade conhecida dentro do sistema Nagios de gerenciamento da rede. Curiosamente, o atacante tornou-se ciente do sistema Nagios somente depois que "espionou" os administradores de sistemas..

Separe as redes, mas as conheça bem! – Este ataque foi possível porque as redes de backup e gerenciamento que deveriam ter sido separadas, mas não foram.  Separação de redes operacionais e de gestão é uma técnica útil para a proteção da infraestrutura, especialmente quando a rede de gerenciamento requer privilégios administrativos.   Neste ataque, o adversário foi capaz de interrogar e despejar as imagens de backup do servidor de e-mails.

Vigie e proteja os privilegiados – Costumamos dizer que um dos maiores desafios está em monitorar aqueles com contas privilegiadas. Muitas organizações, especialmente aquelas relacionadas com o governo, requerem autorizações de segurança para proteção das "ameaças internas".  No entanto, o que este incidente nos ensina é que, uma vez dentro, os bandidos fazem uma bee-line (linha de atalho) com os administradores de sistemas para monitorar suas atividades  a fim de obter maior conhecimento e entendimento da companhia e a sua infraestrutura. Há um pouco de uma mudança de mentalidade aqui: nós não deveríamos estar monitorando os usuários privilegiados e as suas estações de trabalho?  Não por falta de confiança, mas para a própria proteção deles e também como garantia de que não estejam sendo observados por sniffers (farejadores) de redes, keyloggers e similares?

Monitoramento egresso – Uma observação final é que uma grande quantidade de dados foi exfiltrada.  Por que isso não foi notado?  Isto não é incomum em ataques em que a propriedade intelectual é o alvo.  Implantar uma solução contra roubo de dados ou de Prevenção de Perda de Dados (DTP / DLP) e monitoramento contínuo irão diminuir a probabilidade e impacto potencial deste tipo de ataque.

Andy Settle,  chefe de Investigações Especiais da Forcepoint.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.