Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Mauricio Orellana
(Cybersecurity Researcher & Trainer)
COMPARTILHAR
Beaconing: Rastrear atacantes
Periodicamente, surgem novos ataques a empresas que tentam recolher informação sensível, ou alguns dados importantes. O que qualquer ciber-atacante procura é levar algo que esteja ligado ao seu alvo, seja um documento, uma fotografia, ou um ficheiro. É verdade que é importante estar sempre preparado para o pior quando isso acontece, e com uma defesa cibernética activa podemos estar um passo à frente para contrariar os ataques, em vez de esperar que isso aconteça simplesmente. Este método, quer o utilize quer em conjunto com os honeypots, pode dar-nos uma boa imagem em termos de resultados.
Revisão Ciber-Defesa Activa
Na Active Cyber Defence temos 3 grupos de técnicas dependendo do seu âmbito de acção: redes, software e processos. No primeiro grupo estão: honeypots, balizagem, e afundamento. O segundo grupo toma como base o conceito de alvo móvel, e é aplicado em técnicas tais como: ofuscação proactiva, variantes diversificadas, e aleatorização espacial. O terceiro grupo está representado em Cyber Threat Intelligence (CTI) e Threat Hunting.
O que é Beaconing?
A balizagem é uma técnica para demonstrar o conhecimento de que certas informações protegidas deixaram uma rede autorizada ou uma área de confiança, e podem potencialmente identificar a localização de ficheiros no caso de serem roubados. É considerada como uma técnica activa, enquanto que a marca de água a complementa como uma técnica passiva. Também pode ser combinado com a técnica canária, que envolve associar uma peça de informação a uma pessoa com base na geração de um elemento de identificação específico.
Esta técnica permite a um defensor colocar peças disfarçadas de código, ficheiros ou artefactos nos seus sistemas de armazenamento e aplicação. Uma vez roubado, este código pode ser activado nos computadores dos agressores para registar informações de identificação, avaliar a vítima do roubo, a localização dos seus dados de propriedade, e muito mais.
Há acções de ciberdefesa mais agressivas, por vezes chamadas "hack backs". Há algum tempo atrás, o Washington Post publicou um artigo intitulado "Ataques cibernéticos despoletam uma conversa sobre 'hacking back'", no qual se salienta que apesar de ser uma actividade proibida, alguns bancos instalam os chamados "beacons" que podem ser potencialmente anexados a dados sensíveis, tornando mais fácil seguir o caminho dos dados roubados e determinar o caminho que tomou através da Internet. Os autores argumentam ainda que o simples facto de falar sobre o assunto no seio dos círculos de cibersegurança pode desencadear uma conversa sobre os riscos envolvidos, começando pelo facto de a maioria das formas de pirataria informática serem ilegais e terminando com avisos de retaliação que poderiam provocar uma guerra cibernética em grande escala, com danos colaterais através da Internet.
Marco jurídico em alguns países
Nos EUA, a proposta Active Cyber Defense Certainty Act (ACDC), visa permitir aos actores privados devidamente autorizados "sair das suas próprias redes para 1) estabelecer a atribuição de um ataque, 2) perturbar o ataque cibernético sem danificar equipamento de terceiros, 3) recuperar ou destruir ficheiros roubados, 4) monitorizar o comportamento do atacante, e 5) utilizar tecnologias de balizagem", comportamentos que actualmente poderiam violar a actual Computer Fraud and Abuse Act (CFAA).
Alguns países parecem estar a seguir este caminho, como o Reino Unido, cuja a Estratégia Nacional de Segurança Cibernética 2016-2021 apela ao "desenvolvimento e implementação de medidas de defesa activa que melhorem significativamente os níveis de segurança cibernética através das redes britânicas", embora o âmbito da liberdade que será dada às empresas para implementar tais medidas, bem como as suas características específicas, continue por especificar. Por enquanto, Singapura está a assumir a liderança nesta área, que em 2014 alterou a sua legislação para permitir aos actores privados, através de um mecanismo de autorizações prévias e imunidades penais, levar a cabo medidas de defesa activa contra ataques contra infra-estruturas críticas, , mesmo numa base preventiva .
Em Espanha, a Estratégia Nacional de Cibersegurança procura uma "transição de um modelo de segurança cibernética preventiva e defensiva para um esquema que incorpora elementos de maior força dissuasiva", bem como "uma abordagem mais proactiva à ciberespionagem", embora não atribua expressamente poderes para tal aos actores privados, para além de lhes reconhecer "um papel relevante como um dos gestores e proprietários dos bens digitais de Espanha". Além disso, a estratégia refere-se expressamente à defesa cibernética activa ("A defesa dos cidadãos, dos trabalhadores independentes e das empresas deve ir além das medidas de auto-protecção que podem tomar, pelo que é aconselhável implementar medidas para a sua defesa cibernética activa"), Também a inclui entre as suas linhas de acção ("serão implementadas medidas para a ciberdefesa activa dos cidadãos e PME"), embora não especifique que tipo de medidasactivas podem ser adoptadas, ou se esta defesa activa inclui apenas uma troca de informação reforçada entre os diferentes actores ou se deixa a porta aberta a outras medidas mais agressivas
Do lado latino-americano, o Peru tem uma lei que dá origem à defesa cibernética, Nº 30999 no Capítulo II (Uso da força no e através do ciberespaço) refere-se a isto em dois artigos: Artigo 10. Sobre legítima autodefesa: “Qualquer ameaça ou ataque no e através do ciberespaço que ponha em perigo a soberania, os interesses nacionais, os bens nacionais críticos e os recursos chave para manter as capacidades nacionais, dá origem ao exercício do direito de legítima autodefesa.” y Artigo 11. "Requisitos para o exercício do uso da forçaa: “"O exercício do direito de autodefesa no contexto de operações de defesa cibernética está sujeito aos princípios da legalidade, necessidade e oportunidade. No caso de conduzir uma operação de resposta no e através do ciberespaço contendo um ataque deliberado, esta deve ser conduzida em conformidade com a lei". Dito isto, podemos assimilar que permitir a forma de conduzir um contra-ataque em caso de ataque seria contemplado por lei para executar acções de "hack back".
Discussão
É verdade que hoje em dia é considerado ilegal nas empresas "piratear" para recuperar ficheiros que foram roubados, em teoria para não desencadear uma guerra cibernética em grande escala, mas não faz sentido ficar parado e esperar para descobrir o que farão com a nossa informação, onde ela estará, quem a terá, como a fizeram, e gastar grandes quantidades de dinheiro para recuperar o que foi roubado ou perder a confiança dos nossos clientes. Por esta razão, faz sentido convidar as pessoas a reflectir e expressar as suas opiniões sobre o assunto, e a formar novos pontos de vista relativamente à possibilidade de recuperar dados e informações roubados.