RSAC 2019: entrando na mente de um hacker

Quando se trata de entrar na mente de um hacker malicioso, nada melhor que um “white hacker” (um hacker ético) para entender o que eles pensam.

Nas duas últimas décadas, Joseph Carson vem aconselhando empresas sobre como frustrar os planos de invasores, usando sua experiência como hacker e veterano em testes de penetração para encontrar brechas nas redes.

“Sou um hacker”, afirma Carson, ao se apresentar a um público aglomerado em uma sala no canto, mas de onde ainda é possível escutar a agitação que ocorre no piso da conferência RSA 2019. Hoje em dia, Carson atua como cientista-chefe de segurança para a Thycotic, uma empresa de software sediada em Talinn, na Estônia. Ele também trabalhou na Symantec durante uma década, ocupando cargos em diversos setores de gerenciamento de produtos.

O ex-hacker estava lá para compartilhar algumas das abordagens preferidas utilizadas por invasores para tentar enganar defensores. Carson pediu às empresas que não se tornem complacentes quanto à natureza das ameaças que elas enfrentam. Ao mesmo tempo, ressaltou que as empresas têm aliados onde menos esperam.

“Há uma percepção equivocada de que todos os hackers são maus”, disse Carson. “São os criminosos que buscam lucro e que roubam outras pessoas. A maioria dos hackers está aqui para ajudar.”

Pensando nisso, Carson demonstrou como é fácil para um invasor determinado destrinchar uma defesa cibernética que se julgava ser impenetrável.

Nesse caso, o alvo era uma usina, uma instalação que controla rigidamente o acesso à área física e onde os sistemas SCADA eram usados para monitorar e controlar equipamentos. Em outras palavras, é o tipo de ambiente em que a segurança vem em primeiro, segundo e terceiro lugar.

Em teoria, pelo menos. Ficou a cargo de Carson, que havia ingressado três anos antes, testar a preparação de segurança da instituição, cujo nome não pode ser revelado.

"É essencial saber como os hackers criminosos vão atacá-lo para que você possa se proteger melhor", explica Carson, que falou sobre a abordagem de tentativa e erro que empregou para obter acesso interno.

“Quando comecei minha investigação de recursos, comecei a questionar no que eu estava metido. Usinas são muito diferentes. A segurança física delas é impressionante, não tem como chegar perto dos portões. Não tem como voar com um drone por cima da instalação, pois isso é ilegal, e não teria como ter acesso físico ao perímetro.”

Fora isso, foi moleza.

“A primeira coisa que sempre faço é reconhecimento: crio um modelo digital para entender tudo que eu puder sobre o alvo. Também assisto a vídeos sobre o que fazem por lá, verifico os currículos das pessoas que eles contratam e tento entender as tecnologias que estão utilizando.”

Mas, nesse caso, ele precisou adequar o plano padrão.

“Não seria possível comprar um sistema SCADA no eBay, por isso não poderia analisar um. Eu precisaria ler toda a documentação sobre os sistemas, mas ela não estava prontamente acessível. Então eu me concentrei em procurar as pessoas mais vulneráveis: quando elas saem para tomar café ou para qual time de futebol elas torcem, entre outras coisas.”

Carson estava tentado a implementar uma campanha de phishing, o que geralmente funciona para conseguir acesso a um lugar. Ele contou que geralmente envia emails falsos para as vítimas nas tardes de sexta-feira, depois do expediente, nos quais notifica as vítimas de que foram intimadas por excesso de velocidade e que têm multas atrasadas.

“Todos tinham ido para casa, já que o escritório fecha às 17h. Ninguém quer infringir a lei. Outra coisa com que nós brincamos é o medo dos prazos quando se infringe a lei. Dizemos, por exemplo, que se a multa não for paga, ela triplicará nas próximas 24 horas.”

Ele precisou mudar o plano de ataque, pois sua maior preocupação era a de não ser detectado.

“Se eu fizesse uma campanha de phishing, poderia causar alarde, e isso me traria problemas. Então, eu precisava mudar meu método de acesso e percebi que teria de entrar fisicamente na usina”, disse.

Carson analisou os dados de reconhecimento que tinha compilado e vasculhou a cadeia de suprimento da instalação, pensando que talvez precisasse conseguir um serviço que lhe desse a chance de entrar no local. “Estava disposto até a limpar o chão para conseguir acesso”, disse Carson,

mas ele não precisou fazer isso.

O profissional de segurança descobriu que uma equipe de gravação visitaria a instalação para fazer um comercial de televisão, então providenciou credenciais de fotógrafo para tirar fotos da equipe.

Esse foi um risco calculado, dada sua notoriedade no setor de segurança.

“Passei a noite antes do teste acordado, conversando com um amigo sobre o teste de penetração, e ele me perguntou o que aconteceria se eu fosse reconhecido, afinal, eu trabalho com isso há muito tempo.”

Carson não conseguiu dormir direito,

mas as preocupações dele foram em vão. Embora a segurança física fosse “impressionante”, ele foi recebido como convidado.

Carregando seu equipamento de fotografia, Carson buscou oportunidades para mexer nos bolsos, que estavam repletos de dispositivos USB infectados.  

“Geralmente, eu faço uma verificação na rede. Hackers aproveitam os recursos disponíveis e usam as próprias soluções dos clientes para fazer a verificação. Porém, nesse caso, eu não estava na rede. Eu estava observando-a. Estava procurando um lugar para entrar na rede, mas não havia nada exposto. Todos os controles e áreas de entrada em potencial estavam protegidos atrás de portas trancadas.

Quando a equipe foi conduzida à casa de máquinas, Carson ainda não sabia como invadir a rede e estava quase pronto para admitir que dessa vez ele tinha sido derrotado.

“Quando senti que ia fracassar, vi na mesa de um engenheiro um pedaço de papel impresso com várias senhas e credenciais padrão. Fiquei estarrecido. Essas eram as chaves para o meu reino, e com elas eu poderia fazer o que quisesse.”

Vitória? Ainda não.

Achando que essa apresentação seria um sucesso, Carson informou à diretoria suas descobertas sobre falhas e riscos em potencial na segurança cibernética do local.

“Eles não fazem verificação de antecedentes dos visitantes, as senhas padrão não são alteradas etc. Apresentei todas essas vulnerabilidades. A reunião com a diretoria terminou, agradeceram minha participação e falaram que o orçamento tinha sido recusado e que eu estava liberado. Fiquei pensando no que tinha feito de errado.”

Isso tudo foi revelador. Quando Carson se encontrou com o chefe de segurança, ele descobriu que a apresentação não ajudaria a resolver nenhum problema de negócios deles, e por isso o relatório não causou nenhuma impressão.

“Eu falei sobre segurança cibernética e acabei percebendo que não estava falando a mesma língua que a diretoria”, ele explicou.

Carson conseguiu agendar uma nova reunião e voltou alguns dias depois para contar a mesma história, mas dessa vez de uma maneira diferente.

“Dessa vez eu informei sobre os riscos, mas foquei em aspectos como custo e eficiência. Falei sobre os negócios e conversei com a diretoria na linguagem deles, e é assim que a segurança cibernética pode ajudar você a atingir seus objetivos.”

Dessa vez, a mensagem foi bem recebida. E, com isso, Carson também aprendeu alguns conselhos para dar aos profissionais de segurança cibernética quando eles precisarem interagir com as pessoas responsáveis por tomar decisões: passe a mensagem de forma simples e se concentre nos negócios, não na tecnologia.

“É preciso fazer uma abordagem mais voltada para as pessoas”, disse. “Não há espaço para complexidade neste setor.”