Ajuste de foco

Renato Maia*

Independentemente dos aparatos de segurança, APTs são complexas, direcionadas. Por trás dessas ameaças estão  profissionais engajados e, em muitos casos, financiados por nações. ¨Se os chineses são APT1, a NSA, segundo as revelações de Snowden, merece o posto de APT0¨. 


APT, Ameaça Persistente e Avançada, é o acrônimo da moda na área de segurança da informação. Usado e abusado pelo marketing de fornecedores da área, teve sua origem e valor ofuscados no processo. Na essência, APT representa uma nova categoria de ameaças aos sistemas digitais de empresas e governos e tem valor ao nos permitir visualizá-la, em contraste às tradicionais ameaças “comoditizadas” do passado recente.

Afinal, não é possível enquadrar o infame vírus ILOVEYOU, que infectou milhares de computadores pessoais Windows no ano 2000, com o avançado Stuxnet, o software malicioso descoberto em 2010 e parte fundamental de uma complexa operação com objetivo de atrasar o programa nuclear iraniano. ILOVEYOU era superficial, trivial, porém abrangente, de massa. Stuxnet, profundo e complexo, tinha apenas um único alvo de interesse: sistemas de controles usados em Usinas Nucleares do Irã.

Por trás de uma APT existem atores motivados, profissionais, engajados e, em muitos casos, financiados por nações. Um interessante relatório divulgado em 2013, pela empresa norte-americana Mandiant, intitulado APT1 – Exposing One of China Cyber Espionage Unit – é um marco para o termo. Nele a empresa “aponta o dedo”, responsabilizando uma divisão do exército chinês como a responsável direta por ataques e intrusões cibernéticas a pelo menos 141 empresas e organizações Ocidentais, com roubo de 6,5 Terabytes de informações em um período de 7 anos.

Diversos elementos são apresentados como sustentação da acusação, incluindo modo de operação similar, recursos utilizados, origem dos ataques e, até mesmo, uma forte correlação entre os setores econômicos das empresas vítimas e a lista de setores estratégicos ao crescimento chinês, destacados no 12º Plano Quinquenal deste país.

Mais recentemente, em maio de 2014, um júri nos EUA condenou cinco militares chineses por crimes digitais contra várias empresas ocidentais como Alcoa, US Steel, SolarWorld e Westinghouse, para citar algumas vítimas. Os militares aparecem hoje na lista de “Procurados” por crimes digitais do FBI e o episódio tem causado constrangimentos e preocupações diplomáticas.

 “Getting the ungettable” 

Quem é da área sabe que em TI contamos sempre a partir do zero, não do um. Lembrando disto, achei curioso a Mandiant atribuir aos chineses, em fevereiro de 2013, o termo APT 1. Alguns meses depois, em Junho de 2013, Edward Snowden veio a público revelar o enorme aparato de monitoramento e espionagem online do governo norte-americano via NSA. Claramente demonstrando ao mundo que, se os chineses são APT1, a NSA merece o justo posto de APT0.

Chamou atenção, em especial, o catálogo de serviços do TAO – o grupo de acesso sob-medida – da NSA. Parece filme do 007. O slogan do grupo é “getting the ungettable” e, uma breve análise das tecnologias à disposição no catálogo torna impossível achá-lo exagerado. “DeityBounce”, por exemplo, é o nome de um “implante” de software para servidores Dell PowerEdge – linha extremamente comum e possivelmente presente em enorme percentual de Data Centers mundo afora. Uma vez implantado, sobrevive até a atualização de BIOS do servidor. Periodicamente, busca instruções em um centro de comando online, secretamente.

Junto com o lançamento do livro “No Place to Hide”, do jornalista Glenn Greenwald que recebeu em primeira mão os documentos do Snowden, alguns novos arquivos foram liberados. Um deles mostra fotos de uma operação denominada “Supply Chain Interdition” – interdição na cadeia de suprimentos. Na foto, operadores da NSA abrem caixas de equipamentos de TI novos, em trânsito para serem entregues aos seus novos donos, realizando os “implantes” necessários. Um espanto.

Como disse um colega, CSO de uma grande empresa: “...vontade de desistir”. Na era pré-APT, segurança da informação era um conceito relativo. Quando o seu carro é o único com alarme em uma rua pouco iluminada, as chances de você ter o som roubado são muito pequenas. Efeito similar existia no mundo digital. Se as medidas preventivas de uma grande empresa industrial eram superiores à média do seu setor, sua probabilidade de virar vítima de um ataque digital externo era baixa. Pós-APT, não mais. Sua empresa pode ser o alvo escolhido de determinado adversário. Neste caso, não importa se sua grama é mais verde que a do vizinho. O adversário te escolheu, e persistirá, alterando técnicas e táticas até obter sucesso. Evidente que, neste novo cenário, as estratégias de defesa e resposta precisam mudar.

* Renato Maia é sócio-fundador e diretor técnico do Grupo TechBiz