Espiões, registros e metadados russos

terça-feira, 27 de dezembro de 2016

Fazem alguns dias soubemos do “assalto” sofrido pelo Yahoo! em 2013 com uma gritante perda de 1 bilhão de contas de usuários, dados relacionados com seus nomes, senhas, perguntas de segurança, etc. e foi mantido segredo até poucos dias, quando finalmente a companhia teve que admitir que em 2014 sofreu outro ataque similar com o roubo massivo de 500 milhões de contas.
Graças a estas revelações o Yahoo! convertesse na empresa líder mundial em clientes afetados pela pirataria informática onde, 97% das 1000 maiores empresas do mundo sofreram vazamentos similares em seus entornos, com maior ou menor repercussão.

Yahoo! é uma mais na longa lista de afetados por ataques em suas bases de dados, se bem que os responsáveis pelo Yahoo! não conseguiram identificar os autores dos roubos, tentou-se tranquilizar seus clientes assegurando que seus dados bancários, números de cartões de credito e outros dados sensíveis não foram afetados. Tendo em vista estes fatos, paira sobre nossas cabeças a possibilidade de algum dia este fato volte a ser notícia com piores consequência no caso de não ser remediado.

Neste tipo de ataque, os trabalhos de espionagem não costumam ser próprios de indivíduos e sim de grupos ou organizações especializadas com objetivos claramente definidos. A NSA e outros grupos de inteligência norte-americanos foram apontados como em diversas ocasiões como envolvidas na obtenção de informações através de metadados, correios eletrônicos, chamadas telefônicas, etc. de pessoas, organizações e até mesmo governos estrangeiros supostamente amigos.

Outros países que tradicionalmente são referências na utilização de espionagem tampouco ficam atrás. Como foi comentado no último verão europeu, segundo fontes norte-americanas o governo russo parece ter participado indiretamente da vitória do candidato republicano e agora o presidente Donald Trump, por meio do grupo de ciber-espionagem russo The Dukes, assim denominados pelo FBI, que estaria formado por duas equipes: Cozy Bear (APT29) e Fancy Bear (APT28) que extraíram e vazaram aproximadamente 20.000 correios e dados de membros da DNC (Comitê Nacional Democrata) onde colocava claramente os duros enfrentamento internos entres os próprios aspirantes democratas a presidência. Essa invasão foi detectada pela CrowdStrike nos equipamentos do DNC a raiz da investigação realizada após a publicação do vazamento em julho no Wikileaks.

Suspeita-se que foi extraído por um dos membros do THE DUKES, Guccifer 2.0, a raiz das provas obtidas sobre alguns documentos publicados pelo DNC, criados originalmente por Warren Flood (pessoa encarregada de prover dados e serviços de analise estratégica aos candidatos democratas) e onde se detectaram certos metadados russo neste arquivo Document. A tradução seria um alias, Felix Dzerzhinsky, nome do fundador da polícia secreta soviética no século XX.


Documento com metadados alterados em Russo
Outra das provas extraídas e publicadas em vários meios mostram uma série de características que demonstram sua procedência russa:

A esquerda um documento publicado por GAWKER em PDF com os hiperlinks em russo. A direita o mesmo documento extraído do DNC, porém, publicado por GUCCIFER 2.0

O objetivo deste vazamento aparentemente consistia em favorecer a vitória do republicano Trump contra a candidata democrata Clinton, como represaria por suas críticas aos resultados parlamentários de 2011. Negado pela Rússia, porém estas evidencias logicamente geram dúvidas.
Os fatos não fazem, mas que refletir a patente insegurança ou incapacidade dos sistemas atuais, sua falta de controle ou gestão, a ausência dos mesmos o dado mais preocupante, o crescente investimento econômico e de recursos na criação e evolução de sistema de penetração, espionagem e ataques cibernéticos, o que demonstra que pode ser muito rentável investir neste tipo de atividades, fundamentalmente quando em muitas das ocasiões estão respaldadas pelos governos ou agencias de inteligência.

Esta é uma guerra perdida?

Evidentemente não, ambos mundos se necessitam para evoluir melhorar. Não existe nada infalível, porém, se os meios e protocolos de segurança são aplicados e seguem corretamente, as coisas se tornam muito difíceis para os “ciberdelinquentes”.

Quer prevenir e detectar em tempo hábil uma fuga de informação? Na ElevenPaths oferecemos soluções para prevenir a fuga de informações através da família Metashield.

Se quiser saber mais sobre o tratamento de metadados, fale com um de nossos especialistas em Cibersegurança na Comunidade técnica da ElevenPaths.

Antonio Bordón
CyberSecurity Product Manager

Nenhum comentário:

Postar um comentário