Quando alguém chega ao escritório de Dan Wiley, o mal já está feito – e nem sempre é remediável. O diretor da Equipa de Respostas a Incidentes da Check Point já se habituou a conviver de perto com o desespero causado pela nova geração de ciberataques, que tem no ransomware o expoente máximo. O especialista acredita que a Máfia estará por trás de muitos desses ataques, mas também aponta o dedo a estados como Irão ou a Coreia do Norte, que têm recorrido aos códigos maliciosos que sequestram redes e computadores com o propósito de tirar partido de um mecanismo de financiamento que é fácil e barato e cuja autoria é difícil de apurar. “Imagine que sou uma vítima de ransomware e começo a negociar com os “maus”, eventualmente, ganho algum desconto de 20% por ser “cliente frequente”. Logo, em vez de 10 milhões passamos para oito… sendo que a recuperação pode custar 25 milhões. E aí os “maus” desencriptam o sistema e tudo volta a funcionar. E a seguradora terá de cumprir com as suas responsabilidades”, explica Dan Wiley, numa entrevista dada à margem de um evento da Check Point em Viena, Áustria.
Que tipo de pessoas pedem os vossos préstimos?
No último ano recebemos 2000 incidentes de todos os pontos do mundo. Estes incidentes incluem de tudo – de pequenas e médias empresas às 500 maiores empresas do ranking da Fortune. Não há um perfil único. Envolve todas as indústrias, países ou segmentos que vêm ter connosco diariamente. Esta manhã, recebemos os pedidos de uma firma de advogados, uma empresa imobiliária e ainda um advogado. Trabalhamos com qualquer tipo de empresa, porque todo o tipo de empresas tem vindo a ser alvo de ataques agressivos, alguns deles direcionados para aquelas empresas e outros que não são direcionados. Estamos a descobrir que a maioria destes clientes que nos procuram não tem controlos de segurança para lidar com este tipo de incidentes… mas são estes os nossos clientes!
Imagine-se o desespero… é possível recuperar os sistemas que foram atacados? Qual a taxa de sucesso?
É muito dinâmico. Depende realmente do tipo de ataque… vou ser muito honesto: depende também dos resultados que se pretende alcançar. Quem quiser voltar ao ponto em que se encontrava antes de sofrer o incidente, pode ter um grande desapontamento… A maioria dos casos com que lidamos são ataques de ransomware ou ataques ao e-mail. No ransomware, o cliente terá ainda de pagar aos “maus”, ou então será a companhia de seguros a fazê-lo. Também há a alternativa de recuperar dados de backup – se houver algum e se os “maus” não o tiverem encriptado também. Se um cliente tiver a sorte suficiente para ter as condições de reconstruir o sistema… mas isso exige algum tempo, não acontece em poucos minutos. Mas se pagar aos “maus”, isso não significa que não é necessário reparar o ambiente de trabalho. Vai ser necessário perceber como é que alguém rebentou com o sistema, e instalar controlos adicionais. E nesse momento já é uma conta volumosa (que é paga) para dois tipos de pessoas: para os “maus”; e para as pessoas que têm de recuperar a infraestrutura depois dos ataques dos “maus”. Aconteça o que acontecer, no ransomware, a experiência é sempre negativa, mas é uma grande oportunidade para aumentar os controlos de segurança e aprender com eles e não repetir os erros. Se não aprender com estas lições, vai acontecer outra vez. Vimos muitos clientes que não fizeram nada a não ser pagar aos “maus”, e que julgavam que nunca iria acontecer o mesmo outra vez… mas aconteceu outra vez passadas três semanas.
Nos e-mails, o objetivo resume-se à extração de informação?
No caso dos e-mails empresariais que ficaram comprometidos é ainda mais complicado… um atacante pode fazer passar-se por um vendedor ou um fornecedor e, no meio de uma transação entre dois intervenientes, é possível alterar um e-mail a dizer para enviar o pagamento para uma conta bancária que não era suposto e o dinheiro desaparece. Temos vários clientes que perderam mais de 10 milhões de dólares com este tipo de roubos. É muito complicado recuperar esse dinheiro. É possível fazer algum rastreamento nos vários bancos, mas as chances de recuperar tudo são muito próximas de zero. Há que aprender com isto. Tivemos 10 ou 15 casos desses no ano passado.
E não conseguiram recuperar o dinheiro?
Não. E quase todos estes clientes estavam a usar o Office 360.
Bom, talvez seja mais correto dizer que vocês não ajudam ninguém a recuperar informação e apenas ajudam a evitar que este tipo de coisas aconteça.
Tenho a difícil missão de dar as más notícias… mas muitas vezes ilumino o futuro para que não volte a acontecer.
Com essa conversa toda, diria que é um dos melhores vendedores da Check Point!
De alguma forma, sim. Não vou mentir. Somos um fornecedor, queremos vender, mas as coisas estão tão más… Se tivermos controlos de segurança mais avançados, passamos a ter algumas chances (contra ataques), mas a maioria dos clientes com que lidamos na Europa não tem os controlos de segurança para sobreviver a estes ataques. Ponto final. Mas aí entramos noutra questão: a maioria destes clientes não têm competências para esse trabalho. E é por isso que temos um ecossistema de parceiros. Acreditamos que os parceiros podem multiplicar a nossa força, quando se trata de ajudar os clientes a instalarem estes controlos. É por isso que o ecossistema de parceiros é tão importante.
E esses controlos chegam para garantir que não volta a haver um ciberataque?
Não diria que há uma garantia de 100%, mas se se usar um agente nos terminais passa a haver uma probabilidade reduzida de ser atacado com ransomware.
Porquê?
Porque usamos controlos de comportamento, monitorizamos sistemas operativos para ver quem está a fazer comunicações criptográficas e quantas comunicações estão a ser feitas, emulamos os códigos enviados para dentro do sistema, vemos o que fazem dentro de caixas de quarentena (sandboxes), tudo isto para garantir que uma determinada ação ou ficheiro não vão causar qualquer dano.
Depois de três ou quatro anos de campanhas de ransomware de grandes proporções, não era suposto empresas como a Check Point já conhecerem bem a anatomia dos ataques de códigos e métodos de ransomware?
Sim, mas só que está tudo sempre a mudar e evoluir. Todos os dias vemos novas campanhas, que vão mudando gradualmente processos e nós também mudamos as nossas capacidades para poder reagir a essas mudanças. É um pouco como um jogo do gato e do rato. Agora estamos em condições de observar novas campanhas e ataques e modificar os nossos sistemas em tempo real para poder travar estes ataques.
A computação quântica pode mudar o paradigma?
Quando houver computadores quânticos (em abundância) teremos uma solução. Até lá, vou manter-me ligado ao mundo real.
Por outro lado, o ransomware também poderá vir a usar igualmente tecnologias quânticas!
Se há um sistema então há uma forma de o atacar.
Os resgates pedidos têm sido elevados?
Tenho ouvido coisas que vão de algumas dezenas de milhares de dólares a 10 ou 20 milhões de euros.
Mesmo pagando esses valores compensa pagar?
Não há uma resposta consistente. Alguns pagam, outros não. O mais importante é saber se é melhor a companhia de seguros a pagar. Na maior parte dos casos, a resposta é sim, porque fica mais barata a recuperação. Imagine que sou uma vítima de ransomware e começo a negociar com os “maus”, eventualmente, ganho algum desconto de 20% por ser “cliente frequente”. Logo, em vez de 10 milhões passamos para oito… sendo que a recuperação pode custar 25 milhões. E aí os “maus” desencriptam o sistema e tudo volta a funcionar. E a seguradora terá de cumprir com as suas responsabilidades. O problema é que, depois, se começa a alimentar a “besta”… e a “besta” fica cada vez com mais fome. Neste momento, já há milhares de milhões em pagamentos. Em alguns estados dos EUA, já há algumas leis propostas com o objetivo de proibir, pelo menos, os organismos públicos de pagarem resgates.
Em Portugal, as autoridades recomendam que não se pague…
Dizem para não pagar, mas possivelmente não é ilegal pagar. É uma questão que está a começar a ser debatida, mas ainda não é uma lei de âmbito nacional. Talvez no próximo ano, à medida que mais e mais pessoas sofrem sequestros, e os custos e os valores dos seguros aumentam, terá de haver um ponto de viragem, em que se torna ilegal pagar o sequestro.
E o que acontece às pessoas que se recusam de pagar? Será que perdem os seus negócios?
A maioria consegue recuperar sistemas, mas leva a tempo. Para recuperar a totalidade… se tivermos sorte suficiente, os backups estão lá fora (da empresa), em cassetes, numa montanha…
Sem ligações à Internet…
Exatamente. Mas é possível recuperar… só que tem de reconstruir todos os sistemas de raiz.
Deve ser difícil para uma empresa que tem mais de 50 mil empregados!
Amém (em jeito de quem concorda na totalidade). É esse o problema. Há que tomar uma decisão de negócio. É mais caro pagar ou mais caro fazer a recuperação?; quanto tempo vai ser necessário para fazer a recuperação…
O ransomware dá mais dinheiro que vender armas ou drogas, ou qualquer outra atividade ilícita. E é mais barato de fazer, é muito difícil ser apanhado, porque é muito difícil atribuir a autoria de um ataque, e é quase 100% anónimo.
Dan Wiley, da Check Point
E é nesse momento que descobre que o ataque de ransomware está a ser liderado por dois jovens de 13 anos!
Não. Esse não é esse o perfil. O perfil dos gestores de redes de ransomware está relacionado com o de um crime bastante organizado, de gangues…
Máfia?
Sim.
A máfia à antiga, como aquela aparece nos filmes do Scorcese?
Sim, alguns desses tipos. Porque é algo que dá mais dinheiro que vender armas ou drogas, ou qualquer outra atividade ilícita. E é mais barato de fazer, é muito difícil ser apanhado, porque é muito difícil atribuir a autoria de um ataque, e é quase 100% anónimo. Há várias questões neste tema. E geralmente não costumo perder muito tempo a tentar atribuir autorias de ataques de ransomware, mas sabemos que há um punhado atribuições relacionadas com a máfia. Mas também pode haver relações com a atividade suportada por certos países, como o Irão. É uma forma fantástica de ganhar dinheiro para um governo – e o mesmo se passa para a Norte Coreia. Esses grupos podem estar a ser financiados por estados para conseguirem recolher mais fundos…
E a Rússia não está nesse grupo de estados?
Na Rússia, é um pouco diferente. Na Rússia, há vários níveis de oligarcas com relações com a máfia, e nunca se encontra uma relação direta com o governo central… há sempre dois ou três níveis intermédios. Mas sabemos que esses grupos são responsáveis pelos ataques. Nos EUA, encontramos gangues a operar, mas têm relações com a Nigéria. Há muitas camadas; o problema aqui é que a barreira de entrada nestas atividades é extremamente baixa. Se alguém tiver 500 mil ou um milhão de dólares para investir numa pequena equipa, que está concentrada e tem um plano, e sabe como funciona a segurança operacional, e pode ser bastante eficaz e ter um retorno de 100%.
As pessoas tendem a esquecer-se das regras de cibersegurança… ou se calhar nem as conhecem!
E está cada vez mais difícil. Previamente, uma pessoa estava atrás da firewall, na sua rede empresarial… havia muitos ataques, mas era necessário fazer uma análise de perfil demorada sobre como é que esses sistemas funcionam. Numa cloud pública, apenas é necessário ter um cartão de crédito e ter o mesmo tipo de ferramentas que qualquer outro cliente e aí posso testá-los e ver os que funcionam e os que não funcionam. Tudo se faz com uma compra. Posso preparar um ataque, mas também posso testar um ataque para ver como é que um cliente (do serviço de cloud computing) se pode defender. Uma das coisas que nós fazemos é pegar num cartão de crédito e ir, por exemplo, para um Office 365 e tentar ver como é que os ataques são feitos tendo em conta os controlos de segurança que são disponibilizados. Podemos ver que elementos dessa infraestrutura estão aptos a impedir os ataques e aqueles que não estão aptos. Depois, podemos ir ver o que têm os nossos clientes; se não tiverem controlos que travem os ataques, então possivelmente já estarão ficado comprometidos.
Voltando atrás: não é perigoso contrariar as atividades da máfia?
Todos os dias a nossa equipa gasta imenso tempo com a segurança operacional. Gastamos bastante tempo a garantir que temos anonimato, até certo ponto… acabamos sempre por nos preocupar com a segurança física, mas ao mesmo tempo não podemos preocupar-nos assim tanto que não possamos seguir em frente.
E costumam colaborar com as autoridades?
Trabalhamos de mãos de dadas com a Europol, a Interpol, o FBI, a NSA, GCHQ – trabalhamos com eles em permanência. A realidade é que ainda vivemos num mundo físico e temos de ter cuidado.
E será que a Microsoft, a Apple ou a Google têm feito o que deviam para evitar a disseminação destes ataques de nova geração?
Essas marcas têm dado contributos. Trabalhamos com uma grande proximidade com a Microsoft… porque temos visto as suas plataformas a serem usadas como um vetor de ataque. O mesmo se passa com a Amazon e a Google. Continuamos a trabalhar com o objetivo de saber como é que podemos observar e travar este tipo de ataques. Ou trabalhamos como equipas, ou nunca vamos conseguir alcançar os nossos objetivos.
Isso é válido também para o Windows 7?
O Windows 7 está morto. Boa sorte! Ou então não use o Windows 7!
