Modus operandi. Uma expressão em latim que designa os procedimentos específicos que alguém segue numa determinada atividade. No mundo do crime, é muitas vezes o modus operandi que permite às autoridades saberem qual o grupo criminoso que está por trás de um determinado incidente – os métodos usados, as ferramentas escolhidas, o desenrolar dos acontecimentos, tudo segue uma espécie de ritual. Em certa medida, a forma de atuação funciona quase como uma impressão digital ou cartão de visita.
João Orvalho, de 24 anos, decidiu agarrar nesta lógica para criar uma nova ferramenta de segurança informática. “Quis saber se conseguíamos definir ou traçar o comportamento de um atacante na rede”, explica em entrevista à Exame Informática. A ideia transformou-se na tese do mestrado em Engenharia de Segurança Informática e do papel saiu o iCatch – um sistema capaz de fazer a análise de um ataque informático multi-etapa.
A equipa de desenvolvimento, que conta também com o professor Rui Silva do Instituto Politécnico de Beja e outros cincos alunos, começou por criar uma ferramenta que analisa e identifica as diversas etapas de intrusão na rede de um ataque informático. “Depois de fazer esta análise, consegue perceber se aquele modus operandi já é conhecido e se já foi usado anteriormente, o que permite reconhecer os grupos de atacantes”, adianta João Orvalho.
Para funcionar, o iCatch depende dos chamados sistemas de alertas de intrusões (NIDS) – ferramentas de proteção informática que criam alertas sempre que detetam uma intrusão na rede. Mas estes sistemas só produzem os alertas, não têm capacidade para fazer sentido dos avisos que estão a ser emitidos. É aqui que o iCatch entra em ação.
“Primeiro, identifica as etapas do ataque, quais os [endereços] IP ativos e quais os softwares que estavam a correr nesses IP. Depois de recolher os alertas, vai perceber quais pertencem a um ataque multi-etapa: o iCatch cria grupos para dividir ataques como se fossem o mesmo, pois podem existir ataques em simultâneo que não têm nada a ver um com o outro. Cada ataque completo é analisado individualmente. São identificados os diversos passos de ataque num ataque completo, algo que é feito através de machine learning, com aprendizagem não supervisionada”, detalha João Orvalho.
A aposta em mecanismos de aprendizagem automática não supervisionada tem uma vantagem segundo o investigador: não necessita de informação prévia para conseguir identificar os passos do ataque. O que o mecanismo de inteligência artificial faz é ‘olhar’ para os metadados do alerta, como o endereço de IP de origem, o IP de destino, o tamanho dos pacotes de dados, as portas de acesso utilizadas, entre outras informações, para criar grupos com semelhança nas características (clusters) e também com base no período de tempo entre as diferentes características do alerta.
“Se nós utilizássemos conhecimento prévio na identificação dos passos de ataque, corríamos o risco de deixar para trás passos de ataque que não eram conhecidos”, explica o investigador do Instituto Politécnico de Beja.
De forense a preditivo
O projeto nasceu como uma ferramenta de análise forense – ou seja, era usada já depois de o crime informático ter acontecido. Por fazer uma análise em perspetiva, seguindo uma cadeia lógica, das várias etapas do ataque, o software era capaz de, mediante as provas existentes, encontrar um modus operandi e associá-lo a outros crimes já existentes.
Para que isto seja possível, foi criada uma base de comportamentos: os próprios investigadores simulam um ataque mediante a análise forense feita do ‘local do crime’, registam quais os alertas emitidos nesse ataque, mapeiam o comportamento e guardam-no, como um perfil. Esta componente é acima de tudo vantajosa para polícias de investigação, unidades militares e grandes empresas.
Mas o iCatch está a evoluir. O grande objetivo de João Orvalho é que o sistema seja desenvolvido ao ponto de conseguir conhecer tão bem o modus operandi do pirata informático que será capaz de evitar que os ataques informáticos sejam bem sucedidos. Quase como se o software soubesse o que vai na cabeça daquele pirata informático e o conseguisse antecipar, em tempo real, enquanto o ataque decorre. “Se conseguirmos identificar os passos, se conseguirmos reconhecer o padrão de ataque, conseguimos parar antes que chegue ao destino final”.
Além disso, o iCatch distingue-se por um outro motivo. O software está a ser trabalhado para ser capaz de associar a metodologia de um ataque a outros ataques já feitos, mesmo que não seja uma cópia decalcada dos cibercrimes anteriores. Se o cibercriminoso usar o seu modo de atuação normal, mas por algum motivo modificar uma parte do ataque, o software calcula ainda assim um grau de confiança relativamente a uma metodologia de ataque.
“Depois do processamento, [o iCatch] diz-nos que 90% do ataque que foi determinado é semelhante a outro que é conhecido. Não necessita que o atacante faça o mesmo, dá-nos percentagem de semelhança”, adianta João Orvalho.
A componente de defesa pró-ativa ainda não está totalmente desenvolvida, mas o iCatch, enquanto sistema de análise de ataques multi-etapa, já está a ser testado em ambiente real, com a colaboração da empresa Sparkint. “Temos estado a fazer [testes], nas últimas semanas, em ambiente real, para perceber se o nosso sistema está a conseguir dar resposta a dar num tempo que seja bom”.
Operação 2021
O objetivo de João Orvalho é que, em 2021, o iCatch chegue ao mercado como uma ferramenta comercial e que possa ser usada, por exemplo, em centros de operações de segurança (SOC) quase como um módulo extra ao software já existente. Pelo perfil avançado da ferramenta, é um mecanismo mais orientado para grandes empresas.
O projeto vai ainda ter uma passagem pelos EUA. Em outubro, o iCatch foi o grande vencedor da competição Inncyber, dedicada a projetos inovadores na área da segurança informática. Além de um prémio monetário, faz parte do pacote vencedor uma participação no curso Sillicon Valley Immersion Program, que irá decorrer na Universidade de São Francisco, nos EUA.
A viagem até ao outro lado do Atlântico só ainda não aconteceu por causa da pandemia, mas João Orvalho está confiante que aconteça em 2021. Ali espera conseguir aprender a atrair a atenção de investidores e novos contactos de parceiros que queiram ajudar o iCatch numa dor de cabeça para os piratas informáticos.
