Decepticons vs. Covid-19: a batalha definitiva

Gabriel Bergel    29 junio, 2020
Decepticons vs. Covid-19: a batalha definitiva

Decepticons. Aqueles que são da Geração X se lembrarão muito bem de quem eram: na saga Transformers, eles eram os seres robóticos modulares com autoconfiguração mecânica do planeta Cybertron, liderado pela Megatron. Sem perceber, já nos anos 80 falamos sobre decepticons e robôs auto-configuradores.

A situação atual da pandemia Do Covid-19 nos forçou a nos confinar em nossas casas e, portanto, fomos forçados a trabalhar em casa. O vírus mudou a forma como usamos a Internet e o tráfego de rede aumentou em 70%.  E do ponto de vista social e psicológico, estamos todos sob um estresse social e emocional que, por outro lado, é muito normal nesses tipos de situações.

Esse conjunto de circunstâncias torna-se a imagem perfeita para os cibercriminosos, que estão mais do que nunca tentando aproveitá-lo para alcançar seus objetivos e obter dinheiro diretamente ou algo (informações, geralmente) que lhes permita obtê-lo.

O que isso tem a ver com Decepticons?

Decepticons se encaixam muito bem nesta «nova realidade». Considerando que os cibercriminosos estão cada vez mais usando a engenharia social para nos enganar, especialmente o phishing (que de acordo com a divisão de crimes na Internet do FBI é a forma mais proeminente de crimes cibernéticos), hoje temos que ser cautelosos, especialmente nestes tempos em que estamos mais distraídos pela pandemia. Então, se os cibercriminosos usam a decepção como sua principal arma, por que não nós?

Dentre todas as técnicas e estratégias que adotamos na cibersegurança, uma das mais importantes é a «decepção», entendida não como um sentimento de insatisfação, mas como o conceito inglês de engano.  No campo militar, este termo é usado para descrever essas ações realizadas com o objetivo de enganar os adversários sobre as capacidades, intenções e operações das próprias forças militares, afim de obterfalsas conclusões.

Na doutrina militar dos Estados Unidos o acrônimo MILDEC(MILitary DECeption)é usadoe na antiga doutrina militar da União Soviética e agora da Rússia eles usam o termo Maskirovka (russo: ) que literalmente significa camuflagem, ocultação, mascaramento.

Alguns exemplos históricos

Há inúmeros casos de uso dessa técnica em diferentes situações de conflito ou guerra, como o mítico cavalo de Tróia, usado por Aqueos como estratégia para entrar na cidade fortificada de Tróia; ou como na Segunda Guerra Mundial, quando um exército fantasma enganou Adolf Hitler com um desfile itinerante de tanques, canhões e aeronaves (em grande parte tripulados por atores e artistas) suplantando o Exército Aliado perto da linha de frente. Isso desviou a atenção para as tropas americanas, separando as forças alemãs e dando aos Aliados uma vantagem tática.

Em um capítulo da famosa série de televisão Viking vemos como Ragnar Lodbrok também usa uma estratégia engenhosa para entrar em Paris, fingir estar prestes a morrer e solicitar um enterro cristão na catedral. Uma vez dentro e para surpresa de todos, Ragnar sai de seu caixão e… o que acontece a seguir já é spoiler.   Este episódio realmente aconteceu, de acordo com o que as sagas vikings dizem, embora seu protagonista não fosse Ragnar, mas aquele que mais tarde se tornaria rei da Noruega, Harald Hardrada (Harald III da Noruega).

Figura 1: Rey Harald III de Noruega
Figura 1: Rey Harald III de Noruega

Decepção eHoneypot, eles são os mesmos?

Em nosso blog já falamos em uma ocasião sobre decepção e Nikos Tsouroulas explicou muito bem::

«Essas abordagens nos permitem implantar cenários falsos que simulam a infra-estrutura, os ativos e os perfis de nossa organização para mover um invasor para um ambiente controlado e monitorado, onde novos desafios e dificuldades são colocados em uma árvore de ataque, especificamente projetada com base na natureza de cada organização. Isso direciona os recursos de um invasor para uma infra-estrutura falsa, enquanto nossos verdadeiros ativos são protegidos e ganhamos inteligência do adversário (indicadores em seu C&C, ferramentas usadas, capacidades, motivações, etc.).»

No meu último trabalho de campo antes da pandemia, tive a oportunidade de trabalhar com a tecnologia dos amigos da CounterCraft (empresa espanhola que a Telefónica selecionou em 2016 para investir e apoiar sua expansão)e fiquei impressionado com o que havia avançado esse tipo de plataforma.

Provavelmente um termo que eles conheciam e que está muito relacionado a esta abordagem é honeypot.   É uma isca que pode ser usada com qualquer tecnologia, mais comumente em um servidor web. Existem muitas soluções de código aberto que permitem que você faça isso a um custo muito baixo, mas a decepção é um conceito mais amplo do que apenas um chamariz.

Figura 2: Honeypot
Figura 2: Honeypot

Antes de 2010, havia apenas algumas empresas de cibersegurança oferecendo produtos enganosos,mas graças à grande evolução que esse tipo de plataforma experimentou, ouso dizer que hoje já existem mais de 15 provedores de tecnologia enganosa..

Essas soluções podem ser um grande acelerador para as equipes de detecção e resposta, pois produzem alertas que os departamentos de segurança podem aproveitar para reagir e responder com mais precisão e em tempo hábil. Diante dos novos desafios de segurança cibernética que as empresas enfrentam durante esta crise de saúde, a CounterCraft preparou pacotes de segurança específicos para este fim e tem um catálogo de 25 campanhas de trapaça prontas para uso: phishing, exfiltração de dados, ataque SWIFT, detecção de movimento lateral, etc.

Conclusões

Não podemos esquecer o que o Gartner disse há um tempo atrás: o engano é simples e econômico, aumenta o tempo de detecção em 12 vezes e melhora o tempo para ficar em mais de 90%. O que eu gosto nesta solução é que ela combina inteligência avançada, compilada por campanhas, enriquecida com o MITRE ATT&CK,  para que você possa ter uma visão ampla sobre o que, quem e como você está agindo contra a organização.  Assim, podemos obter dados de ameaças, TTP e IOC de adversários que podem ser imediatamente compartilhados com soluções de segurança cibernética como SIEM, SOAR, MISP, Sandbox e outros.

Em última análise, devo dizer que a decepção com a segurança cibernética é um meio de permanecer proativo ao invés de reativo. Estamos tentando tornar esta batalha mais simétrica, então desta vez não devemos apenas apoiar os Autobots,mas também nos juntar aos Decepticons.  

«Toda guerra é baseada em enganos.»

Sun Tzu

«Não é a espécie mais forte que sobrevive, nem a mais inteligente, mas a mais receptiva à mudança.»

Charles Darwin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.