Vamos supor que você faça tudo da forma correta. Possui todos os computadores na última versão, com todos os patches necessários instalados e obedece a todas as recomendações dos fabricantes de software e hardware. Então sua empresa passa por uma fusão, ao adquirir ou ser adquirida por outra empresa. E aparecem sistemas legados, antigos, impossíveis de atualizar ou modificar, que podem conter informações financeiras, ou de marketing, ou de outros setores… E ninguém mexe neles.
Podemos dizer que isso foi o que ocorreu em boa parte das empresas de todo o mundo onde o malware WannaCry afetou centenas de milhares de servidores com o objetivo de criptografar dados pedindo regate para sua “devolução”. O ransomware não é novidade: o novo aqui foi sua escala, afetando mais de 150 países e centenas de milhares de servidores.
Não sabemos exatamente qual o objetivo. Demonstração de poder? Dinheiro mesmo. Qual seria o lucro total dos cibercriminosos, que cobravam 0,17 bitcoins por máquina atingida?
Muito ou pouco dinheiro? Depende do parâmetro considerado. É claro que com um só ataque bem-sucedido a uma instituição financeira, por exemplo, o hacker poderia lucrar muito mais. Mas teria que descobrir uma forma de ataque a que essas empresas bem defendidas não pudessem resistir. Teria que achar vulnerabilidades e meios de quebrá-las, o que em termos financeiros exigiria um investimento bastante alto, ao contrário do WannaCry – uma variante de vírus antigos, a custo zero de desenvolvimento.
O WannaCry deixou claro que empresas e órgãos de governo não se podem dar ao luxo de deixar de vigiar suas redes – a única maneira de saber o que trafega dentro delas antes que o mal se manifeste e cause prejuízos. Podemos saber a cada dia quanto os hackers estão lucrando com o WannaCry (há até um site que atualiza esses valores: http://howmuchwannacrypaidthehacker.com). O que não temos como medir são os prejuízos econômicos e humanos resultantes, por exemplo, dos problemas que o vírus causou ao setor de saúde (um dos mais atingidos) e às empresas que tiveram seus negócios paralisados ou de alguma forma afetados.
Sempre haverá sistemas legados, mudanças, fusões, compras, vendas, impossibilidade técnica de lidar com computadores e sistemas antigos e pressões da administração das empresas por resultados rápidos e cada vez mais baratos. A luta é difícil.
E, para vencê-la, a tendência atual é buscar soluções na autonomia das máquinas, pela combinação de inteligência artificial e aprendizado de máquinas. Mas, contra as máquinas, há do outro lado um ser humano criando novas formas de ataque… Portanto, é preciso haver também na defesa um humano pensando e usando a tecnologia para garantir a segurança. Do contrário, serão imensas as chances de falha.
Um malware como o WannaCry pode penetrar em determinada rede por meio de um ataque de “phishing” – disfarçado de arquivos ou links para sites supostamente válidos – ou vindo pela Internet, buscando conexões possíveis pela borda da rede. Depois, se espalha como um scanner procurando portas TCP 445 abertas em computadores com sistema operacional Windows, automaticamente infectando-o e multiplicando, assim, sua capacidade de disseminação.
Ou seja, com visibilidade de rede em tempo real e com um humano operando, é possível verificar o scan na rede e tomar uma ação imediata, impedindo novas infecções, diminuindo o problema e evitando a paralização da rede e dos negócios.
Outros ataques de escala global certamente virão. A Internet aprende rápido, e muita gente tem sede de dinheiro, de fama, e de poder. A confiança nas máquinas nunca será plena, e sempre voltaremos à questão: o que você quer para sua empresa? Ser surpreendido por um ataque que pode levá-lo à falência? Ou ter visibilidade de sua rede para que um ser humano possa responder a outros seres humanos que também se utilizam de tecnologia, mas com a finalidade de atacá-lo?
* Eduardo Maffessoni é Engenheiro e Instrutor da Arbor Networks