Opinião

Vazamento de dados na Deloitte

No mesmo mês em que a EQUIFAX, um dos três maiores Bureau de crédito nos EUA sofreu um hacking e vazamento de dados de 143 milhões de norte-americanos (quase a metade da população nos EUA), A Delloite, uma das “Big Four” presente em mais de 150 países, com cerca de 244.000 profissionais e faturamento de US$ 36,8 bilhões também foi alvo de um vazamento de dados que vai desde e-mails corporativos internos e de clientes, até possivelmente outros dados como senhas, informações pessoais e privadas de seus clientes. Dada a importância da Deloitte, de seus clientes e projetos, chamo à reflexão, quanto um concorrente mal-intencionado estaria disposta a pagar por estas informações, ou, quanto valeria um login e senha de um servidor Azure contendo todos os e-mails e informações pessoais de colaboradores e clientes de uma multinacional como a Deloitte?

Um estrago enorme

Apenas nestes dois casos, podemos contabilizar danos tangíveis e estimar perdas intangíveis, como por exemplo o prejuízo de milhões de dólares através da redução de valor de mercado, processos, ações, e até mesmo a quebra de credibilidade junto à clientes, parceiros, ativos, acionistas etc. Este prejuízo no mercado de capitais e por ações movidas por clientes, investidores, contra as empresas também foi a consequência imediata de outros cyber incidentes como no caso Yahoo, Mossack Fonseca, Ashley Madison, DropBox e tantos outros.

Pragmatismo

Tornamos a repetir a mesma pergunta e sempre com a mesma resposta: o que pode estar havendo quando instituições de receita bilionária, com elevado investimento em segurança e profissionais de renome, altamente capacitados, para que estas empresas e instituições não consigam frear ou impedir que seus dados sejam roubados e este prejuízo exceda em muito o valor investido em segurança?


A nossa resposta é irrefutável: a forma como as empresas utilizam criptografia hoje para proteger dados digitais, armazenados ou em tráfego, é frágil no que tange à capacidade, errada na forma como é utilizada e obsoleta no emprego mundo à fora, frente à velocidade e dinamismo no qual novas tecnologias surgem, nascem também novas metodologias de intrusão.

Patch as a Service

Brechas, falhas ou 0-Days avançam na medida em que tecnologias emergem, e de maneira reativa, suas caríssimas correções, patches e atualizações deixam os decisores de empresas e instituições reféns de novas tecnologias e soluções para reduzir a superfície de ataque e vazamento de dados.

A indústria global de inteligência paga expressivamente mais do que grandes provedores de tecnologia tais como Facebook, Google, Microsoft, Apple, e seus “Hackatons” ou prêmios que, quando não estão aquém do valor da indústria global de inteligência, estão mais distante ainda de quanto paga o mercado negro de vulnerabilidades, e esta é senão a maior alavanca de brechas e vulnerabilidades, logo, esta dinâmica vai permitir sempre que haja uma brecha para dispositivos, servidores, applicances etc. Só não haverá, a última fronteira na segurança digital, que é a frágil criptografia largamente empregada por estas instituições e empresas multinacionais de faturamento altíssimo.

Um exemplo de quão obsoleta é a forma como a criptografia é largamente utilizada, é o desenfreado uso do protocolo SSL-TLS, muitas empresas o utilizam como criptografia alimentando o seu discurso de vendas, mas que é na verdade, um baixo ou nenhum diferencial competitivo e valor agregado, visto que estas tecnologias comumente são nativas e oriundas de poucos fornecedores, e como poucos sabem, este protocolo protege apenas dados em tráfego contra ameaças de monitoramento ou espionagem passiva, tais como sniffers, coletores de backbone, monitoramentos passivos e híbridos de GSM etc. De fato, este já é hoje apenas um protocolo de autenticação requerendo múltiplas etapas de autenticação em 2-3 tempos, pois mesmo este, já é facilmente burlado.

Ilustrando um pouco mais como este protocolo não representa diferencial competitivo, valor agregado e tampouco proteção, a EQUIFAX, garantia dentre outras coisas o roubo de identidade digital e fraudes, e esta tecnologia não pode impedir o vazamento de dados pessoais como documentos, cartões, data de nascimento de quase a metade da população norte-americana, causando além de um prejuízo enorme a “cabeça” do seu CEO Richard Smith.

Outro exemplo foi a cyber-arma apelidada de Stuxnet, que utilizou um certificado assinado e válido da Realtec, um fabricante de hardware baseado em Taiwan, e de uma autoridade certificadora baseada em Tóquio, sem que esta autoridade tivesse conhecimento. No intuito de enganar os sistemas infectados por Stuxnet, estes certificados foram utilizados para parecer um programa confiável da Realtec, posteriormente, as autoridades certificadoras revogaram o certificado, até que um outro driver Stuxnet foi encontrando, utilizando um outro certificado roubado, desta vez, da empresa JMicron Technology, um fabricante de circuitos baseado em Taiwan.

Stuxnet, dentre outras coisas, manipulou instruções e comandos que trafegavam abertamente (sem camadas de segurança), injetando comandos e manipulando fisicamente uma usina nuclear, acelerando reatores até que estes se sobrecarregassem. Atualmente sabemos que muitas empresas de infraestrutura crítica no Brasil e no mundo estão vulneráveis ao mesmo ataque, justamente por estarem conceitualmente suscetíveis à mesma metodologia empregada em Stuxnet, a maioria destas, sequer utiliza criptografia em tráfego (SSL-TLS) nos seus sistemas de automação industrial SCADA.

As formas de burlar a criptografia empregada em certificados são muitas, e vão desde o hacking diretamente no HSM (Hardware Secure Module) das autoridades certificadoras, que possuem cópia dos certificados emitidos para os seus clientes, como também o cracking das autoridades certificadoras e de suas respectivas autoridades revendedoras, ou o sequestro de certificados pessoais.

Todos estes certificados estão baseados em criptografias de mercado, que são utilizadas como criptografia e proteção de dados digitais. As Autoridades Certificadoras que distribuem certificados e validam certificados e utilizam HSM (Hardware Secure Module), pouco sabem que a interoperabilidade destes hardwares é igualmente vulnerável, pois é toda baseada em protocolos Web tais como WebServices, WebAPI, SOA, e trafegam dados abertos (JSON ou XML), desde os servidores Azure da Deloitte até estas Autoridades Certificadoras, estão portanto, todos vulneráveis à Sniffers, spywares, ou contra um singelo LAN Turtle (coletor via USB que permite sequestro de dados como certificados de autenticação e ataques MITM – Man in the Middle). Esclarecendo novamente como a criptografia empregada no mundo hoje possui pouca ou nenhuma segurança.

No caso Deloitte, até onde se sabe e é público, um usuário (login e senha) com privilégio elevado (administrator ou “root”), foi criado para ter acesso irrestrito ao servidor Azure, esta credencial de acesso foi utilizada por um hacker ou insider, para ter acesso irrestrito ao servidor Azure da Deloitte. Neste ponto é importante salientar que a facilidade e interoperabilidade Microsoft é de fato incomparável, todavia esta produtividade cada vez mais se dá com a terminologia “As a Service”. Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), e todas estas tecnologias oferecem ou criptografia baseada em SSL-TLS na proteção de dados em transporte, ou nenhuma criptografia, e em último caso criptografia nativa como é o caso dos servidores Azure que utilizam Bitlocker (Criptogragia nativa do Windows), ou dm-crypt (criptografia nativa Linux), dependendo do sistema operacional do servidor.

Este vazamento da Deloitte, mesmo que a criptografia nativa do Azure estivesse implementada seria em vão pois se trata de um acesso irrestrito ao servidor. Destaco, que não são apenas as soluções Microsoft que estão vulneráveis, tanto à malwares que criam e elevam permissão de acesso, dispensando qualquer criptografia, e nem de insiders mal intencionados, todos os Cloud Services e “As a Service” acima citados estão suscetíveis ao mesmo incidente, quer seja Amazon (AWS), e até mesmo outros fornecedores como DropBox, que oferecem criptografia E2E (end-to-end), teve o vazamento de 68 milhões de contas de usuário. Exemplos não faltam, e vão desde estes citados até Edward Snowden que através de um SharePoint vazou dados da NSA, novamente criptografia empregada no tráfego (SSL-TLS), combinada com criptografia nativa.

DLP (Data Loss Prevention) Fail

O mercado de segurança da informação costuma vender proteções contra ameaças externas, enquanto que as mais perigosas são as ameaças internas ou “insiders”, ex-funcionários, funcionários insatisfeitos ou cooptados, e até mesmo a ameaça externa, onde o atacante assume as credenciais e permissões do alvo, quer seja um C-Level, ou um operador de SAC, bastando ao atacante roubar as credenciais de acesso de um colaborador da empresa, e quando não, estas permissões são alteradas através de elevação de privilégio tal qual ocorreu neste caso da Deloitte.

Particularmente, eu acredito que a Deloitte foi vítima de um insider, pelas poucas características até agora apresentadas, de maneira geral, os malwares que são capazes de elevar privilégio de usuário, ou até mesmo o operador por trás do mesmo, seria em tese, capaz de apagar logs, registros e não deixar rastros. Não foi o caso, pelo o que nos consta, ferramentas de DLP Data Loss Prevention parecem ter registrado as operações do invasor que utilizou aquele perfil de acesso no servidor Azure, todavia, estas soluções não preveram o acesso a tempo de evitar este incidente.

Como a MarkzCorp se comporta neste cenário?

O Unlico é uma máquina de criptografia com blocagem parametrizável, que representa criptografia sem limites com chaves em qualquer tamanho, viabilizando chaves de milhões de bytes, contando também com uma série de implementações anti-hacking e cracking (tais como dicionário e output imprevisíveis), elevando processos de cracking à níveis inimagináveis (ou fisicamente impossíveis). Esta plataforma contempla também chaves em qualquer formato (ou mesmo sem formato pré-estabelecido), eliminando malwares e spywares de coleta de chaves pré-determinadas e senhas em formatos padronizados como *.Key, *.Cer etc. Com uma performance inigualável.

Enquanto os demais mecanismos de criptografia do mercado operam leitura e escrita (I/O) em blocos de poucos bits, o Unlico pode ter parâmetros de leitura e escrita alterados dinamicamente, com blocagem de leitura e escrita variáveis, permitindo encriptar e desencriptar grandes volumes de dados com maior performance.

O Unlico pode ser utilizado como terceira parte em processos B2B, ou em demais plataformas cloud tais como PaaS, SaaS, Em Bancos de Dados, tanto em rotinas de integração e Backup, como também, operar múltiplas chaves para cada célula em tabelas de dados (de qualquer fornecedor de BD com interface para ETL, e em todos os SGBD – Sistema de Gerenciamento de Banco de Dados).

A MarkzCorp estendeu também seu core para outras soluções: como chat (Unlich), e-mail (Unlimail), FTP/Cloud (Unlift) e demais protocolos de internet presentes em Servidores, Appliances, rádio comunicadores e qualquer solução digital; com a interoperabilidade para qualquer sistema operacional, e performance a de um aplicativo otimizado para ler, codificar e transmitir dados em qualquer ambiente.

O que a MarkzCorp provê está além da criptografia mais forte e segura da atualidade, é a possibilidade de CISO’s, CFO’s, CEO’s e demais gestores terem o seu maior ativo utilizando segurança de nível altíssimo: chaves (gerenciáveis) de tamanho ilimitado; eliminando assim, qualquer ameaça (mesmo de insiders), possibilitando que seus sistemas estejam em conformidade com legislações e modelos de auditoria, com diferencial competitivo e alto valor agregado em seus respectivos setores.

Leonardo Metre
COO – MarkzCorp

Botão Voltar ao topo