A cibersegurança é uma preocupação crescente em todo o mundo e, embora a discussão se concentre na tecnologia, não podemos esquecer o papel que os humanos desempenham na prevenção ou na facilitação de ataques cibernéticos.
Matthew é administrador de sistema em uma startup em crescimento. Na maior parte, o trabalho de Matthew é fácil, a maioria dos processos foi automatizada e, sem alguns bugs aqui e ali, ele passa a maior parte do tempo otimizando e fornecendo suporte técnico ao restante da equipe.
Isto é, até que um dia Matthew recebeu um aviso de cobrança de seu provedor de nuvem. Para sua surpresa, eles ultrapassaram o orçamento. Depois que ele verifica o painel, é ainda pior do que ele imaginava: em menos de 24 horas seus sistemas consumiram mais recursos do que o alocado para o mês.
Matthew descobre que alguém obteve acesso não autorizado à nuvem e está executando scripts. Em outras palavras. A startup de Matthew, cerca de 30.000 páginas da web por dia, foi alvo de um ataque cibernético.
Com o aumento do trabalho remoto e da computação em nuvem, os ataques cibernéticos têm sido uma ameaça crescente, a perda estimada em 2015 devido aos hackers foi de mais de 3 biliões de dólares, e os especialistas acreditam que em 2025 poderemos estar perante perdas de até 10,5 biliões de dólares.
As empresas estão gastando mais do que nunca em segurança cibernética, implementando estratégias como DevSecOps para criar processos mais seguros e menos sujeitos a explorações. Infelizmente, a tecnologia avança para ambos os lados, e com melhor segurança também vêm métodos mais refinados para violá-la.
Projetar pensando na segurança é sempre difícil, um sistema é tão seguro quanto sua parte mais vulnerável. Basta um bug ou uma omissão para abrir as comportas a todos os tipos de explorações.
Os seres humanos também fazem parte da equação e, ao contrário do software, não podemos receber atualizações de segurança. Em termos de segurança cibernética, somos passivos, vetores de ataque à espera de serem explorados por alguém com conhecimento de engenharia social.
Engenharia social
Não deve surpreender que os ataques cibernéticos sejam muito diferentes da sua representação nos meios de comunicação social. Hackers geniais interceptando uma transmissão e escrevendo código em tempo real são tão realistas quanto um herói de ação dos anos 80 entrando em um prédio abrindo caminho através de mooks.
Na verdade, a maioria dos ataques cibernéticos não é tão chamativa. Na verdade, as formas mais comuns de ataque cibernético, phishing e man in the middle, confie em enganar um destinatário. Algo que requer muito pouca ou nenhuma habilidade de codificação.
Por que forçar a entrada na conta de alguém quando essa pessoa pode fornecer voluntariamente suas informações pessoais? Por que perder tempo tentando encontrar uma exploração para acessar uma rede quando alguém de dentro pode lhe dar acesso?
Empregos internos acontecem, mas na maioria das vezes as pessoas não percebem que estão sendo interpretadas por vigaristas. Afinal, a engenharia social funciona explorando as vulnerabilidades da cognição humana. Da nossa capacidade limitada de processar informações à nossa crença inata de que a maioria das pessoas é boa.
Caso em questão, antigamente, quando os pendrives eram extremamente populares, os cibercriminosos os distribuíam nas ruas como material publicitário para empresas falsas. Bastava que um funcionário regular de escritório precisasse de um pendrive para colocá-lo em sua máquina, e os hackers teriam acesso ao seu computador ou até mesmo à rede da empresa.
Quem em sã consciência pensaria que uma pessoa legal distribuindo produtos publicitários faria parte de uma rede cibercriminosa? A maioria de nós presumiria que uma empresa está tentando promover sua marca. É a explicação mais plausível. É com isso que os cibercriminosos contam.
Mas a maioria das pessoas consegue reconhecer um e-mail suspeito ou um telefonema estranho, certo? Sim, mas neste tipo de ataque, o criminoso confia na possibilidade de que uma pessoa em cada cem não o faça. Assim como acontece com a queda do USB, basta uma vulnerabilidade.
E mais uma vez, com a tecnologia surgem novos desafios. Um exemplo rápido: Discord é uma plataforma de mídia social e bate-papo para jogadores que explodiu em popularidade devido à pandemia. É fantástico conhecer e brincar com outras pessoas com interesses semelhantes.
Mas também é conhecido por sua ampla gama de explorações, permitindo até mesmo RAT (trojans de acesso remoto). Se um funcionário iniciasse o Discord em um navegador de seu computador de trabalho para conversar com amigos, ele poderia inadvertidamente baixar malware de uma “fonte confiável”.
“Não, isso não vai acontecer comigo”
Talvez o maior risco seja pensar que esse tipo de coisa não vai acontecer com você. Permita-me compartilhar uma história rápida.
Costumo prestar serviços de consultoria para uma agência de viagens. A cada três semanas eles têm que enviar um relatório sobre a venda de passagens para uma companhia aérea específica. A companhia aérea criou um aplicativo web para que os agentes pudessem verificar seu status, bem como carregar as informações necessárias em cada relatório.
Devido a uma interface de usuário ruim, um agente me perguntou se eu poderia ajudá-lo a carregar os arquivos. Para minha surpresa, o aplicativo tinha mais do que seu quinhão de bugs, um dos quais acionou um erro de página não encontrada. Tudo bem, exceto pelo fato de que o aplicativo foi criado usando uma estrutura muito popular que possui um modo de depuração habilitado por padrão.
Então, o erro de página não encontrada não era o típico 404, era um relatório de depuração completo, com código e rotas, e tudo que você precisa para ter uma boa ideia de como o servidor estava estruturado. Lembre-se de que este é um aplicativo projetado para que as pessoas possam fazer upload de informações críticas, como números de cartão de crédito e dados pessoais.
Não é culpa do framework, uma das primeiras coisas que a documentação diz é para desligar o modo de depuração antes de ir para produção. Escrevi um longo e-mail explicando os riscos de manter o modo ativado e enviei-o ao administrador da web.
Alguns dias depois, recebi uma resposta garantindo que o risco era mínimo, já que apenas pessoas importantes tinham acesso ao aplicativo web. Exceto que não era esse o caso, eu era um exemplo vivo de um não-agente que conhecia o aplicativo.
E o erro? Ele pode ser acionado literalmente escrevendo bobagens na barra de navegação de qualquer navegador da web. Esse tipo de arrogância é a ruína dos sistemas de segurança, pensar que você pode deixar uma exploração porque ela representa um risco muito pequeno é procurar problemas.
Treinando seu pessoal
Todas as pessoas de uma empresa, independentemente do cargo, devem passar por um workshop de segurança obrigatório. Compreender os princípios básicos da segurança ajuda muito a evitar que as pessoas cometam o tipo de erros que podem terminar catastroficamente
Paralelamente, é muito importante criar um conjunto de políticas de segurança e promovê-las através da oferta de incentivos. O comportamento consciente da segurança raramente é reforçado. Castigamos as pessoas que cometem erros, mas raramente recompensamos aqueles que servem de exemplo na promoção de uma cultura consciente da segurança.
Em suma, o elemento humano é tão central para a segurança cibernética como para a segurança em geral. A tecnologia pode ajudar-nos, mas só nos pode levar até onde as nossas práticas o permitirem.
Fonte: BairesDev
