Senhor empresário: a culpa não é da TI
Quarta-feira de uma semana qualquer, 06h15. O sr. Celso, presidente e acionista de uma?empresa de mais ou menos 2 mil funcionários, liga para o diretor de TI (Sr. Marcos) naquele tom que já conhecemos: Houston, we have a problem.
Na?ligação, o presidente conta que?recebeu um e-mail anônimo de alguém que alegava ter tido acesso a toda base de dados de clientes da empresa, com dados pessoais e sensíveis. Essa entidade, que comumente se esconde atrás de um serviço de comunicação segura (Ex: ProtonMail), ameaça publicar toda essa massa de dados online, disponível para qualquer internauta, e avisar veículos de imprensa e portais de Internet caso não seja pago o montante de 100 criptomoedas para sua carteira digital a critério de “resgate”. Para comprovar que não é blefe, o extorsionista anônimo envia 150 conjuntos de dados completos de clientes, contendo desde simples cadastro até dados de pagamento e detalhes dos pedidos (produtos comprados inclusive).
Como se esse conteúdo na “ransom note” não fosse assustador o suficiente, o criminoso alega?ter invadido o sistema de controle de acesso do edifício corporativo (catracas e leitores de crachá das portas), câmeras de vigilância, servidor de e-mail e sistema de gestão (sim, o ERP!) e tudo mais que a criatividade desse indivíduo permitir.
Comentário: Obviamente que, agora, tranquilos, escrevendo ou lendo este artigo, sabemos que a probabilidade dessa “dominação plena” (ou seja, todas as alegações do adversário serem verdadeiras) – tendo em vista a complexidade e as diferentes “camadas” desses sistemas – é baixa e, muito provavelmente, acharíamos isso um blefe. Mas, convido o leitor a ponderar se, no momento de crise, um executivo na linha de frente de uma operação que sofre esse tipo de incidente consegue absorver isso tão facilmente ou se ele, imbuído de paranóia, acredita sempre no pior cenário.
Esses dados anexos são nossos?
Voltemos à ligação do Celso (presidente) para Marcos (diretor de TI): a primeira coisa que o presidente quer saber: esses dados anexos são nossos? Isso demonstra que fomos vítimas de algum ataque ou existe a chance de estarmos ilesos? Obviamente, de bate-pronto, o diretor não sabe, pois nem viu o e-mail ainda. Ele estava tomando café da manhã e assistindo o jornal local.
Às 6h40, o diretor de TI já redirecionou o e-mail aos seus principais gerentes (sistemas,?infraestrutura e service desk). Não conseguiu falar com nenhum dos 3 e o presidente liga novamente:
– E aí, os dados são nossos?
– Não sei, pedi para o gerente de sistemas (Wagner) checar com o analista sênior do banco de dados, o DBA.
– E o que ele disse?
– Não respondeu. Liguei, mas não atendeu. Vou esperar um pouco pois ele pode estar dormindo.
– Marcos, não dá para esperar. Preciso saber o que dizer para a imprensa se eles ligarem.
– Ok, vou ver o que eu consigo fazer.
Marcos?liga mais?umas 3 vezes?para Wagner, que?continua não atendendo. Desesperado, liga para a gerente de infraestrutura (Diana):
– Diana,?ainda bem?que você atendeu. Tô com?uma emergência e preciso da sua ajuda
– Oi, Marcos, claro, pode falar. Caiu algum sistema? Porque o Robson tá de plantão agora…
– Não. O Celso recebeu um e-mail com uns dados e precisamos saber se são quentes.
– Como assim “quentes”?
– É que… faz assim, me passa o contato do Robson. Ele tem acesso direto à base de dados, certo?
– Sim. Vou te passar pelo Whatsapp.
– Ok, obrigado, te vejo daqui a pouco na empresa e te conto tudo.?
Robson estava na empresa, conectado ao servidor que hospeda um dos Bancos de Dados potencialmente afetados, fazendo suas tarefas de rotina – mais especificamente, consertando um script de backup que precisava de melhorias.
– Robson, tudo bem? Aqui é o Marcos falando.
– Que Marcos?
– Diretor de TI.
– Da onde?
– Da empresa que você trabalha!
-?Ah,?é que?eu sou da?HotUltraDevOps. Sou terceirizado. Só conheço a Diana mesmo. Mas pode falar, ela já mencionou seu nome algumas vezes.
– Robson, vc conhece um tal de ProtonMail?
– Sei..
– Dá pra rastrear quem usa?
– Ixi.. aí é casca, viu…
– Tá, tudo bem, depois a gente fala do ProtonMail pessoalmente. Vou te?mandar um e-mail. No anexo,?tem uns registros que preciso saber o quanto antes possível se são dados da nossa base de dados
– Ah, tá.. qual base?
– Qualquer uma
– Tá… (silêncio de 5 segundos) .. de qual servidor?
-?Qualquer um. Você me liga e me diz o mais rápido possível por favor?
– Tá, vou ver o que eu consigo. Meu e-mail é robson ponto max arroba hotultradevopsbrazil ponto com ponto bê erre.
Robson recebe o e-mail. Liga para Diana, que já está de saída de casa, começando a enfrentar o trânsito que já está acostumada:
– Fala Diana…
– Oi Robson. O que o Marcos queria?
– Meu, você viu que doideira?
– Não, nem sei o que aconteceu!
– Invadiram aqui! Acho que foi aquela API que o pessoal tava testando…
– Oi?
-?Estão?pedindo?100 bitcoins?para não publicarem, você viu?! Eu tô vendo aqui, dá mais de 3 milhões de reais!
-?Robson, respire. Não faz sentido isso que você tá falando. Invadiram a empresa?
– Sim, você não viu o negócio do ProtonMail? Já até desliguei os servidores de aplic…
– Não, não vi nada ainda. Você pode me mandar agora, por favor? Tô no trânsito, mas já vejo.
– Tá, vou te mandar aí.
– E o que era tão urgente?
– Ele quer saber se os dados são nossos mesmo.
– Que dados?
– O que o hacker mandou pra provar que conseguiu invadir.
– Entendi. E são nossos?
– Parecem, mas quem vai saber é o pessoal de sistemas ou os DBAs. Eu vou ver o que eu consigo achar aqui… vou dar uns greps pra fazer umas buscas rápidas aqui
– Tá, responde o Marcos o mais rápido possível porque ele não para de mandar mensagem no grupo dos gerentes, nem consegui ver ainda.
E lá vai Robson executar seus comandos para procurar alguns dados do anexo. Por amostragem, encontra alguns. Depois de confirmar uns 3 ou 4 cadastros, ele liga para Marcos e diz:
– Sim, os dados são nossos mesmo.
Marcos liga para Celso às 8h:
– Celso, ferrou, são nossos.
– CENSURADO. Puts, Marcos, assim você me $?!&#%@. Vou colocar você pra falar com meus sócios e com cada um dos clientes!
– (silêncio de uns 20 segundos)
– Marcos,?eu já cheguei na?empresa. Assim que?você chegar você coloca seu time?numa sala de reunião e só vão sair quando descobrirem o que aconteceu!
– Tá bom, pode deixar…
– Tem ideia de quem pode ser?
– Ah… (silêncio de 10 segundos) … tem aquele gerente comercial que foi trabalhar na concorrência… que você brigou com ele, lembra?
– Verdade, vamos ver o que a gente consegue descobrir!
Às?11h30 chega um novo e-mail do extorsionista para Celso, agora com cópia para Marcos:
“O prazo de vocês está acabando. A esta altura Marcos já deve ter confirmado que os dados são de vocês mesmo, né?”
Celso quase cai da cadeira quando recebe esse e-mail. Sente-se espionado, com sua privacidade totalmente devassada. Num ato impulsivo, manda desligar as câmeras da?empresa e pede que seu time (diretores, gerentes e profissionais mais sêniores) não utilizem nada online (nem e-mail corporativo, nem comunicador da empresa, nada) para se comunicar. Marcos faz pior: no intuito de ganhar tempo, responde ao e-mail dizendo que precisa de aprovação interna para autorizar um pagamento desse tamanho (sim, do resgate de mais de 3 milhões de reais!).
O presidente cria um grupo no Whatsapp para tratar a crise. Adiciona o diretor jurídico. Adiciona assessoria de?imprensa terceirizada. Dá privilégio de administrador do grupo para Marcos, que por sua vez adiciona o DBA, o coordenador de Telecom, o coordenador de segurança da informação que também responde para Diana, o gerente de sistemas e, claro, o terceirizado Robson.
No grupo, todos disputam para ser o herói do dia.
- Um diz que rastreou o ProtonMail e que o IP é da Suíça, mas nem cita se é o IP da plataforma do ProtonMail ou do extorsionista;
- Outro?diz que?já localizou os cadastros, mas não?encontra os dados de pagamento. Os dados de pedidos estão a cargo do DBA porque a query é mais complexa – ele diz que é um “INNER JOIN”?das tabelas de clientes e pedidos, prendendo a atenção da grande maioria do grupo quando cita termos técnicos assim.
- Outro cola uma notícia?de um caso nos EUA onde?o FBI teve colaboração da PureVPN?para poder prender um pedófilo – talvez tentando dizer que é possível ir atrás de quem está fazendo isso mas sem sequer citar se há traços de utilização de VPN no caso deles;
- Outro menciona que no final de semana dezenas de endereços IP da Estônia apareceram nos?logs do firewall da rede corporativa (e não da rede de produção onde ficam os servidores) como alerta de portscan e, logo na sequência, envia 20 prints com essas telas, no próprio Whatsapp – e, tal qual a reação do leitor agora, todos no grupo se perguntavam o que isso queria dizer e se tinha relação com o incidente em curso;
- Por fim, alguém cita que a secretária do diretor comercial sabidamente tinha um caso com o gerente comercial que saiu da empresa, e que talvez poderiam olhar os e-mails dela para varrer se ela mandou esses dados para ele. Isso ficou sem resposta.?
- Quinze minutos depois?quem estava olhando o log do firewall diz, nesse mesmo grupo, que naquele momento, às 11h da manhã, apareceu um IP de Campo Grande-MS num alerta de DDoS (ataque distribuído de negação de serviço) nesse firewall da rede corporativa e que sabe?que esse ex-gerente comercial tem família lá.
Sounds familiar?
Os militares americanos têm um termo muito bacana para esse tipo de situação:
SNAFU (Situation Normal: All Fucked Up)
Por que? Porque em poucas horas a empresa conseguiu tomar dezenas de decisões erradas – o que só aumentam a exposição!
Vamos recapitular:
- Marcos respondeu ao criminoso, o que não se aconselha. Entende-se que a intenção é ganhar tempo, mas em muitos casos a forma como a empresa lida com o criminoso ganha mais tração/notoriedade do que o fato isolado de um vazamento de dados em si;
- Em poucos minutos, o círculo de confiança da investigação se abriu até um funcionário júnior – e terceirizado! – que na mesma manhã contou para todos seus colegas de trabalho e da faculdade que a empresa que ele trabalha (onde ele está “alocado”) tinha sido vítima de um cyber ataque;
- Não é esse mesmo colaborador, que cuida de infraestrutura, que deve dar a resposta final se os dados do e-mail são ou não fidedignos;
- Não foi avaliado se esses dados, daquele jeito, poderiam ter sido subtraídos de fora da empresa (publicamente na Internet, de algum parceiro, prestador de serviços, etc.);
- As prioridades e os esforços estão completamente bagunçados: os profissionais não sabem se fofocam a respeito, se especulam sobre quem foi o autor, se bancam o herói mostrando que estão fazendo algo (mesmo que esse “algo” não ajude a chegar em objetivo algum);
- A curiosidade sobre a autoria e o interesse de aparecer e se mostrar são “agendas” das pessoas físicas que trabalham nessa corporação e deveriam ser irrelevantes se naquelas horas elas estão?trabalhando e atuando para a corporação: é necessário que elas façam o que é melhor para a empresa e não para os interesses pessoais;
- Estão tratando por um canal particular (WhatsApp dos telefones pessoais) de um assunto?extremamente sensível para a empresa, inclusive com ilações perigosas; ainda, com tudo isso acima em curso, desaparece lentamente a chance de fazer aquilo que é preciso fazer. Por exemplo:
- Ninguém está procurando se há algo vulnerável ou se há uma exploração dessa vulnerabilidade em curso;
- Ninguém está escrutinizando?os dados, campo a campo, registro?a registro, para validar se essa “foto”?enviada pelo atacante corresponde a alguma foto (atual ou anterior) do que consta no parque de TI da corporação;
- Ninguém está?conduzindo, com equipe interna ou externa especializada, o rito?urgente de identificação, coleta e preservação de evidências digitais de todo o parque de TI da empresa;
- E, obviamente, sem essas frentes supracitadas em andamento, ninguém?está dando uma ideia para o presidente, jurídico, acionistas, assessoria de imprensa e outros stakeholders sobre qual a extensão do dano;
Essas são as primeiras 8 a 10 horas de um incidente cibernético de muitas empresas que?sofrem com este fenômeno que tem se transformado em algo comum no Brasil e no mundo. De acordo com Fórum Econômico Mundial 74% das empresas no mundo inteiro vai sofrer com algum ataque desta natureza até 2020.?
Nossa?empresa (Ventura Enterprise?Risk Management) às vezes é contratada neste primeiro dia. Às vezes no segundo. Muitas vezes, entre 2 a 4 semanas depois do “Marco Zero” (o primeiro dia). Você?consegue imaginar como o Diretor de TI está se sentindo na terceira ou quarta semana depois do Marco Zero?
Eu te conto:
- Frustrado,?porque?ele ainda?não conseguiu?satisfazer as perguntas?do presidente, jurídico,?compliance, segurança corporativa e auditoria;
- Exausto,?porque?eles estavam?no meio da migração?do ERP quando ocorreu o incidente e ele não tinha, na negociação de metas dele com o presidente no início do semestre, calculado que ele trataria 1 ou mais incidentes como esse;
- Apavorado, porque está sendo enxergado como ineficaz pelos seus pares e superiores;
- Preocupado, porque o Robson pediu demissão da HotDevOps e o assunto ainda não “estourou” na imprensa; o jurídico?decidiu fazer um Boletim de Ocorrência e um dos analistas do time de Diana foi chamado para?ser ouvido, já que Robson não trabalha mais na empresa, e esse analista acabou dizendo que copiou a?caixa de e-mail da secretária do comercial, sem deixar muito claro o porquê para o escrevente, deixando?isso vago em sua declaração. Esse mesmo analista pergunta diariamente se “vai dar xabú isso aí” e Marcos não sabe o que responder.
Daí, finalmente, eu convido você a fazer à seguinte reflexão:
A área de TI sabe lidar com crime? Ou com dolo? Ou?com emergências que não sejam de indisponibilidade ou falta de integridade dos dados/sistemas? E com imperícia, muitas vezes dos seus próprios profissionais? E negligência, de um prestador de serviços ou de um colega de trabalho? E imprudência, muitas vezes de um subordinado? Tem o treinamento adequado?para atuar nessas situações de crise, envolvendo tantos stakeholders? E as ferramentas? E os processos, já prontos, com simulações frequentes para manter o pessoal “afiado”?
Ou seja, se já era comum a área de TI ser culpada pela materialização do incidente, é comum ver casos onde essa mesma área seja responsabilizada pela reação inadequada ao incidente também! Faço algumas reflexões a respeito – e comparativos com ameaças mais conhecidas da humanidade – em um vídeo polêmico de nossa escola, a Ventura Academy, no nosso canal do Youtube. Assista aqui.