Informagno | Gestão em TI

Ali Babá e as 40 ciberameaças

O conto de Ali Babá é uma coleção de histórias da Pérsia antiga sobre… ciberameaças?

Como nunca nos cansamos de dizer, os contos de fadas são relatos pouco velados sobre segurança da informação. E não foram apenas os contadores de histórias europeus que tentaram alertar seus descendentes sobre ciberameaças – eles eram igualmente clarividentes no Oriente. Por exemplo, Scheherazade, protagonista do clássico 1001 Noites, manteve o que só pode ser descrito como um blog de segurança da informação com podcasts em vídeo. É verdade que ela tinha um motivo oculto para fazê-lo…

…mas hoje analisamos alguns casos adicionados ao blog de Scheherazade bem depois, no século 18. Em particular, o incidente conhecido como Ali Baba e os Quarenta Ladrões. Mesmo aqueles que não conhecem a história certamente estão familiarizados com a frase mágica “Abre-te, sésamo!”

De fato, todo o enredo é construído com base na ideia de usar uma senha para proteger contra um acesso não autorizado. Mas isso está longe de ser a única dica de segurança da informação no conto de fadas. É apenas a mais óbvia.

Transferência de senha por um canal não seguro

Um resumo da história: uma gangue de ladrões esconde alguns itens em uma caverna que só pode ser acessada ​​usando a senha abra-te sésamo. O mecanismo de proteção contém uma série de sérias falhas.

No início do conto, o líder dos ladrões fica na entrada e grita alto: “Abra-te, sésamo!” Vários problemas aparecem imediatamente. Primeiro, a senha é muito simples. Segundo, não há autenticação de dois fatores – ou mesmo um nome de usuário!

Pior ainda, a senha é transmitida por um canal aberto. Ali Babá, que está coletando lenha nas proximidades, inadvertidamente ouve o ladrão. De fato, é apenas por curiosidade, sem intenção maliciosa, que ele tenta usar a senha mais tarde. Quando a caverna abre, no entanto, ele entra curioso e expropria um pouco do tesouro lá dentro.

Módulo Spyware

Em seu retorno para casa, Ali Baba dá as moedas de ouro para sua esposa contar. Ela tenta fazê-lo manualmente, mas são tantas que ela perde a conta e pede emprestado um instrumento de medição a cunhada, esposa do irmão de Ali Baba, Kasim.

Algumas traduções dizem que o instrumento era uma balança de cozinha, outras dizem que era algum tipo de panela, mas esse detalhe não importa muito. O importante é que a curiosa esposa de Kasim mancha o fundo do instrumento com mel (ou sebo, em algumas traduções) para descobrir por que sua cunhada estava aprontando. E quando é devolvida, eis que uma moeda de ouro está presa no fundo – o que significa que foi usada para contar ouro!

Até uma pessoa sem informações sobre cibersegurança pode ver que o autor está descrevendo um módulo de spyware integrado a um produto legítimo. A esposa de Kasim fornece um dispositivo (no modelo “Medir como Serviço”) e espia a atividade do cliente. A moral da história é: use ferramentas de fontes confiáveis ​​– e verifique se há vulnerabilidades e implantes maliciosos.

Senhas esquecidas

O que acontece a seguir parece um pouco absurdo para mim. Ali Babá confessa tudo a Kasim e diz a senha. O último entra na caverna. Lá dentro, ele consegue esquecer a senha (que também é necessária para sair), fica preso e acaba com a cabeça decepada quando os ladrões o encontram lá. A mensagem de marketing é clara: “Não perca a cabeça por esquecer uma senha”, ou algo nesse sentido.

Suspeito que, naquela época, essa parte da história contivesse uma apresentação de produto para algum gerenciador de senhas antigo usado pelos técnicos da Sasanid, mas a mensagem original foi apagada depois de ter sido contada tantas vezes. Para compensar, inseriremos o nosso: Kaspersky Password Manager armazena com segurança senhas e outras informações confidenciais.

Senha que nunca muda

No processo, é mostrado ao leitor outro exemplo de uma política lamentável de senhas: os ladrões não alteraram a senha após o incidente. O motivo exato não está claro. Pode ser pura negligência ou a arquitetura inicialmente mal concebida do sistema de autenticação.

Ao mesmo tempo, é possível que eles simplesmente não tivessem permissões de acesso para tal. Se eles invadiram a caverna (afinal, são ladrões), provavelmente têm apenas uma senha de usuário. O verdadeiro proprietário poderia ter levado suas credenciais de administrador para o túmulo.

Ataque por meio de um contratante

Como Ali Babá quer manter a história em segredo, ele não pode enterrar um cadáver com a cabeça decepada. Então ele e a viúva de seu irmão, além da criada dela, Marjaneh, fazem todo o possível para ocultar o que aconteceu. Marjaneh faz várias viagens a um farmacêutico, fazendo parecer que Kasim está ficando cada vez mais doente e, eventualmente, relata que ele morreu de morte natural.

Enquanto isso, ela traz um sapateiro para a casa para costurar o corpo de Kasim. Além disso, tapa os olhos sapateiro e o leva a uma rota tortuosa para que ele não saiba onde está.

Os ladrões, tentando descobrir a fonte do vazamento de informações, abordam o sapateiro. Prometendo-lhe ouro, eles também vendaram os olhos do velho e o forçaram a refazer os passos até a casa.

Este exemplo demonstra que, mesmo se você trabalha com prestadores de serviços em um canal criptografado seguro, informações sesníveis ainda podem vazar para os invasores. Talvez Marjaneh devesse ter assinado um acordo de confidencialidade com o sapateiro.

Uma rede de armadilhas

Um dos membros da gangue marca o portão da casa de Kasim, onde agora vive Ali Babá, e volta com seus associados naquela noite para massacrar seus ocupantes. No entanto, a esperta Marjaneh vê a placa e marca os portões de todas as outras casas na rua exatamente da mesma maneira, frustrando assim o ataque.

Essencialmente, Marjaneh transforma a rua em uma espécie de rede de armadilhas, honeypot para hackers. Em teoria, ela funciona da seguinte maneira: intrusos na rede confundem um dos honeypots com o alvo, começam a atacá-lo e, assim, revelam suas intenções e métodos. Até que eles percebam o erro, especialistas de uma unidade de ciberresposta do governo agem e param o ataque.

Tudo o que resta é a questão ética de usar as casas de usuários inocentes como honeypots. De qualquer forma, nenhum dano real é causado; os ladrões percebem o truque a tempo e cancelam o ataque.

A análise dos contêineres

O capitão dos ladrões decide se encarregar pessoalmente do ataque. Ele adquire 40 jarros enormes (uma possível referência ao .JAR – o formato de arquivo Java ARchive), dois cheios de óleo e os demais vazios. Os frascos com óleo estão lá para enganar uma varredura superficial; os ladrões se escondem naqueles que estão vazios.

Com essa carga, ele aparece na casa de Ali Babá. O plano é que o capitão, disfarçado de vendedor de óleo, use seu charme para entrar, com a intenção de soltar os outros ladrões mais tarde, quando todos estiverem dormindo.

No geral, essa é uma descrição de um ataque à infraestrutura usando malware oculto em contêineres. Como os scanners na entrada não verificaram o que havia dentro dos contêineres, a ameaça passa pelo perímetro de segurança. Lá de dentro, o capitão ativa o malware.

Mas Marjaneh novamente salva o dia ouvindo um ladrão em um dos frascos. Ela verifica cada recipiente, determina quais deles contêm bandidos e depois derrama óleo fervente, eliminando a ameaça. Em outras palavras, mesmo naquela época ela tinha uma ferramenta para escanear o conteúdo dos contêineres. Nossa solução Kaspersky Hybrid Cloud Security tem a mesma tecnologia – apenas 1.500 anos mais atualizada.

No final, a justiça prevalece. O líder dos ladrões é morto; Marjaneh se casa com o filho de Ali Babá (que aparece do nada no final do conto); e Ali Babá continua sendo o único com a senha da caverna cheia de tesouros.

Moral da História

  • Ao projetar um sistema de autenticação, lembre-se da segurança. O uso de uma senha codificada transmitida por um canal não criptografado sem autenticação multifator é simplesmente pedir para enfrentar problemas.
  • Escolha fornecedores e terceirizados com cuidado. Se possível, verifique suas ferramentas e serviços em busca de vulnerabilidades e implantes mal-intencionados e não se esqueça de solicitar a todas as partes para que assinem acordos de confidencialidade (NDAs).
  • Use uma solução de segurança que faça a varredura do conteúdo dos contêineres quando eles são carregados, para impedir que códigos maliciosos entrem no seu projeto a partir de um repositório comprometido.