Excel, Flash e Ambiguidades na Invasão à RSA

No blog da RSA, o Uri Rivner se propôs a detalhar um pouco mais como foi o tal ataque que eles sofreram. Eu fiquei meio desconfiado porque a data do post é "April 1, 2011" – isso não é dia pra se falar algo que se pretenda ser levado a sério.

Em todo caso, o resumo da ópera é: ele falou que o vetor de invasão foi um spear-phishing realista o suficiente para convencer um usuário interno (não muito privilegiado) a abrir uma planilha do Excel que tinha algum código executável embutido que comprometeu a máquina através de um 0-day do Adobe Flash.

Mas o ponto que mais chamou atenção foi que ele fez questão de ser reticente quando a exatamente o que vazou. Ele gastou trinta e tantos parágrafos definindo o que eles chamam de "advanced persistent threat", que todas as empresas têm sido vítimas disso, que o número desse tipo de ataque está crescendo, como que o usuário caiu na planilha, como atacante injetou o payload malicioso, deu um histórico sobre "doutrinas de defesa", fez umas analogias com filmes de Hollywood,... e gastou comparativamente bem menos – apenas dois parágrafos – explicando o que o atacante realmente fez, uma vez lá dentro:

In the third stage of an APT, the goal is to extract what you can. The attacker in the RSA case established access to staging servers at key aggregation points; this was done to get ready for extraction. Then they went into the servers of interest, removed data and moved it to internal staging servers where the data was aggregated, compressed and encrypted for extraction.
The attacker then used FTP to transfer many password protected RAR files from the RSA file server to an outside staging server at an external, compromised machine at a hosting provider. The files were subsequently pulled by the attacker and removed from the external compromised host to remove any traces of the attack.

Eu achei particularmente brilhante a ambiguidade do "key aggregation points". Isso pode significar "pontos de agregação-chave" ("chave" no sentido de "cruciais", "de alta importância") ou "pontos de agregação de chaves" ("chaves" no sentido de "chaves criptográficas").

A informação é muito vaga para se tirar alguma conclusão realmente firme, mas, por enquanto, eu acho que a história deles continua consistente com minha teoria de que o vazamento tem a ver com cadastro de sementes ou "chaves privadas" usado para "inicializar" os tokens.

Talvez até os atacantes não tenham roubado instâncias específicas das sementes; é concebível que eles talvez tenham roubado informações relativas ao processo de distribuição dessas sementes. Nesse caso, um possível ataque ao SecurID seria perpetrado não na RSA em si, mas em algum dos clientes da RSA (pore exemplo, em algum dos bancos brasileiros). Isso me parece consistente com a lista genérica de reforços à segurança de TI que eles propuseram como medidas mitigatórias.

Eu acho perfeitamente natural e esperado que eles foquem no aspecto "engenharia social" do caso e sejam vagos quando aos aspectos técnicos do sistema deles que possa ter sido comprometido. É muito mais "desculpável" e "compreensível" – daí a ênfase no "todas as empresas estão sofrendo com isso", "somos apenas uma dentre um mar de vítimas". Mas pra mim, o que mais interessa são exatamente esses detalhes técnicos que eles estão sendo reticentes em detalhar.

Mas ainda que eu ache natural essa abordagem deles (e eu admita que, se estivesse no lugar deles, provavelmente estaria trilhando o mesmo caminho), eu não consigo concordar 100% com ela. Se por um lado eles estão certos em dizer que a doutrina de segurança clássica, que focar essencialmente em defesa perimetral, precisa ser revista, eu não concordo muito com a visão fatalista de que "isso não tem jeito". O artigo foi muito habilmente escrito – ele não disse explicitamente que não tem jeito; ele deixou para o leitor preencher a lacuna quando terminou a frase na forma interrogativa:

Yet still the determined attackers find their way in. What does that tell you?

Esse truque eu conheço – é um estratagema psicológico para capitalizar a sensação de impotência que frequentemente acomete os gestores de segurança de grandes empresas, pois é mais ou menos assim que eles se sentem: impotentes. Na área de segurança de TI há uma vaga fragrância de que "é uma guerra perdida", que "não tem jeito mesmo", que "quando o cara quer atacar, acha uma brecha".

Não compactuo desse sentimento, nem de forma geral, nem no caso específico deles. Acho que há várias coisas que eles poderiam ter feito para evitar o ataque e pra mim, eles bobearam, sim. A monocultura Windows e o uso de programas sabidamente vulneráveis, como o Adobe Flash, são pontos fracos óbvios, mal e porcamente toleráveis em uma empresa comum e beirando o imperdoável em uma empresa "de segurança" como a RSA. Afinal, se eles sabiam que o Flash tinha uma vulnerabilidade explorável ativa, por que raios não os removeram? Ou melhor ainda, dado o histórico de vulnerabilidades o Flash, por que não bani-lo? Ou compartimentalizar os computadores que os têm instalado? Por exemplo, se eles tivessem usado o truque de snapshots com VMs de forma abrangente, e que não é nenhuma novidade no mundo de segurança da informação, talvez tivessem se safado, ou no mínimo comprado tempo para analisar a anomalia.

E eu sei que eles sabem disso tudo e não duvido que tenderiam a concordar comigo. Mas continuar parecendo "bem na fita" depois de uma situação dessas é uma fina arte que exige tanto franqueza quanto reticência. O próprio artigo menciona como eles estão fazendo o dever de casa e "questionando a doutrina". Acho que devemos ouvi-los com atenção e acompanhar o que eles estão fazendo, pois temos muito a aprender com eles.

Em que pese o fato que esse relato da RSA poderia ter bem menos blábláblá e mais detalhes técnicos, na minha opinião eles estão se saindo mil vezes melhores do que qualquer outro caso que eu consiga lembrar em termos de explicar ao público o que aconteceu – franqueza que merece nada além de elogios. Eles poderiam perfeitamente encobrir o caso todo, mas são suficientemente tarimbados para saber que, se esse negócio viesse à tona posteriormente sem ser da boca deles, o dano à sua imagem seria pior. Oxalá as demais empresas demonstrassem tal respeito pelo seu público.

Parte anterior

Próxima parte

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.