terça-feira, 16 de agosto de 2016

Redescobrindo a Cisco – Conectividade e Segurança em Foco – entrevista

Em um intervalo curto de tempo pude participar de duas atividades com a Cisco. Em nova visita ao Rio de Janeiro pude rever os projetos de inovação urbana. Também da conferência Cisco Live que me mostrou algo que de certa forma eu já sabia, mas não tinha realizado em total proporção. Há tempos a Cisco vem ampliando seu escopo de atuação. A grande expertise em redes, presente no seu DNA e muito intensa desde sua criação, evoluiu de forma destacada. A rede, pelas características de um amplo mundo conectado tornou-se fundamento para várias outras áreas de atuação. Simples assim.

Redescobrindo a Cisco

Você sabia caro leitor, que a Cisco oferece servidores com alta capacidade e para aplicações gerais? Também sistemas hiper convergentes que integram rede de alta velocidade, armazenamento e servidor para processamento? Também sistemas de nuvem, sem contar o emergente mercado de Internet da Coisas (IoT), o qual depende imensamente de conectividade, comunicação e integração entre sistemas?

IoT é um nome novo para algo que passo a passo vem crescendo nos últimos anos, ou seja, multiplicidade de sensores, pontos de monitoramento e também a existência de dispositivos que fazem mais do que coletar informações. O valor da tecnologia IoT é permitir também interação entre os elementos instrumentados com o resto do mundo, troca de dados e decisões tomadas seja por processamento local ou remoto, na empresa, na nuvem... Em função disso, acredite, a Cisco tem investido também um bocado em tecnologia de Drones. O motivo é simples. Um drone é capaz de levar sensores a lugares não previstos e também de difícil acesso, ou seja, os drones na visão da Cisco são essencialmente sensores que podem voar para onde forem necessários.


figura 01 – Drones como meio de levar sensores a lugares remotos

Não é novidade que a Cisco implementou infraestrutura de rede da olimpíada do Rio, mas não foi só isso. Diversos projetos de melhorias urbanas foram executados em parceria com a prefeitura da cidade, projetos estes, na minha, opinião muito emblemáticos.  Eu comecei a contar esta história no texto “A Cisco além das redes, nos jogos olímpicos - transformações na cidade” no final do ano passado. Entre as iniciativas que vi à época, aceleração de empresas que tinham premiadas ideias germinaram e entre elas alguns projetos de grande valor e que ilustram o poder da tecnologia, IoT e conectividade em prol da cidade.

Na foto abaixo o que se vê é algo muito singelo, mas de imensa utilidade. Trata-se de um sensor conectado à Internet, a uma central de monitoramento, colocado nos bueiros (atualmente na região revitalizada do Porto Maravilha) que denunciam quando há excesso de sujeira comprometendo o fluxo de água. Uma ideia muito simples, mas que permite que a manutenção seja feita antes que haja entupimento do bueiro e transbordamento. Você leitor, que achava IoT algo ainda abstrato, circunscrito ao ambiente fabril, veja que exemplo interessante.


figura 02 – bueiros monitorados e conectados

O que viabiliza isso tudo é o sistema de WiFi público instalado pela Cisco nos arredores do Porto Maravilha. Estes access points proporcionam o acesso, com ampla cobertura, vários destes espalhados, com toda segurança.


figura 03 – sistema de WiFi público no região do Porto Maravilha no Rio de Janeiro

Outra aplicação muito interessante, também fruto do projeto de aceleração feita pela Cisco pode ser vista na imagem abaixo. O peculiar dispositivo consiste de um conjunto de microfones e uma câmera direcional. Como são vários microfones, o som ao ser captado pode ser localizado espacialmente (saber de onde vem). O sistema está programado para quando um som de característica perigosa como o disparo de uma arma, uma explosão, a colisão de um carro, ou algo do tipo acontecer, automaticamente a câmera é direcionada para o local de onde vem o som que requer atenção e isso é visto em uma central de monitoramento.



figura 04 – monitoração inteligente baseada no tipo de som captado

Há ainda os quiosques de informações históricas e turísticas que também se valem da conectividade proporcionada pela Cisco na região do Porto Maravilha. Eu entendo que estas iniciativas servem principalmente para mostrar a viabilidade técnica e financeira, mostrando que podem ser estendidas para toda a cidade e porque não, para muitas outras cidades do país!!


figura 04 – região da Praça Mauá - Porto Maravilha

Mas e a segurança?? Fundamental!!


Além do fundamento básico de conectividade que integra todas estas (e outras soluções), existe mais um componente que é absolutamente fundamental presente em todas as aplicações corporativas. Estou falando da segurança, totalmente essencial neste mundo totalmente conectado. A Cisco tem uma posição privilegiada neste importantíssimo segmento, o qual conta com outros fornecedores também com imensa competência.

Ter rede em seu DNA e ser líder de mercado neste segmento, fez com que a Cisco desenvolvesse seu portfólio de soluções de segurança contando com toda a sua própria infraestrutura de rede como elemento constituinte e integrado, a sólida fundação para seus produtos. Há não muito tempo eu tive duas conversas muito interessantes com dois executivos da Cisco Brasil sobre o tema segurança. Conversei com Ghassan Dreibi e Paulo Breitenvieser que foram registradas nos seguintes textos: “Entrevista, Cisco inova em sistemas abrangentes de segurança” em 2015 e “Conversando sobre segurança com a Cisco - tendências e tecnologias” em 2016.

Ao participar do Cisco Live 2016 em julho passado, tive a grata oportunidade de conversar com Craig Williams, que posso definir, com minhas próprias palavras como um “Security Guru”! Um pesquisador de vulnerabilidades e ameaças, focado no projeto de produtos de segurança de próxima geração, responsável pelo Cisco Talos Security Intelligence Group.
 

figura 05 - Mrs Craig Williams – Guru de Segurança da Cisco
 
Mais dados de sua rica biografia podem ser vistos em seu blog que também contém muitos artigos relacionados com segurança explorando assuntos como Ransomware, Exployt Kits, Malware, Ameaças em IoT, etc. Clique aqui para visitar seu blog.

Esta conversa aconteceu durante o Cisco Live 2016 na presença de um grupo de jornalistas brasileiros e sul americanos na qual Mr. Williams respondeu diversas perguntas relacionadas a um dos assuntos mais agudos do momento que são os ataques do tipo Ransomware, ou seja, sequestro de dados. Trata-se de uma organizada e sofisticada “indústria” que movimenta somas inacreditáveis de dinheiro fruto da extorsão para devolver o acesso aos arquivos da empresa que são criptografados de maneira fortíssima. Mas deixemos a conversa com Craig Williams contar esta história por si só.


figura 06 – Conferência Cisco Live 2016


Flavio Xandó: gostaríamos de saber um pouco mais de você e como tem atuado na Cisco na área de segurança...

Craig Williams
: estou envolvido com pesquisa de segurança na Cisco há 12 anos ligado a assuntos relacionado ao mundo todo e diversos projetos..

Flavio Xandó: quais são os tópicos importantes com os quais devemos nos preocupar?

Craig Williams: analisando de uma forma geral, RANSOMWARE é de longe a prática que mais tem sido mais lucrativa para os cyber criminosos, uma verdadeira corporação criminosa na Internet. Tudo começou tempos atrás quando estes indivíduos começaram a usar a combinação Ransomware e bitcoins como moeda para pagamento (mais difícil de rastrear) por ser uma forma fim a fim para fechar o “negócio”, sem necessidade de envolver bancos do governo, unidade monetária centralizada... O desenvolvedor é pago de forma direta em qualquer lugar do mundo. O resultado disso é que evoluiu de um negócio muito pequeno para algo muito amplo nunca visto antes.


figura 07 –ilustração - Ransomware

Flavio Xandó: tem havido mudanças neste tipo de ataque de Ransomware?

Craig Williams: no começo nós víamos malware com códigos bastante sofisticados, mas agora, estão estamos vendo aparecer códigos muito simples tentando entrar neste “mercado”. Estão praticamente quebrando o modelo!

Flavio Xandó: como o modelo pode estar sendo quebrado?

Craig Williams: vamos pensar como funciona um Ramsonware. É algo “sério”! Eu entro, invado o seu sistema de arquivos, criptografo e roubo todo o acesso e prometo que vou devolver tudo se você me pagar uma certa quantia. Sem garantias, tem que confiar cegamente, e ele te avisa cerca de 20 minutos depois que estiver pago para te passar a chave capaz de restaurar os arquivos. É algo MALUCO! Não acredito como pode ser assim, mas é assim. Trata-se de um modelo de “confiança” construído nos últimos anos que, com eu disse, exige uma codificação complexa. Mas tem pessoas novas entrando neste mercado que não têm a capacidade de desenvolvimento complexo assim para fazer a criptografia e descriptografia. Então eles apenas embaralham de um jeito destrutivo o sistema de arquivos, uma completa farsa. Isso quando não fazem apenas deletar os arquivos. Eles apenas querem o dinheiro e deixam o usuário na mão.

Flavio Xandó: absurdo isso! Existe perigo adicional?

Craig Williams: um determinado Ransomware conhecido com SAMSAM tem como característica, além de fazer “seu trabalho”, é disseminado por outros malwares pela Internet. Pela primeira vez não há usuários envolvidos. Nenhum email é enviado para alguém, não é necessário clique em algum hiperlink. Se seu servidor não tiver recebido os “patches” de segurança, você vai acordar um dia e tudo vai estar comprometido por, provavelmente um dos mais sofisticados Ransomwares existentes. A verdade é que usando vulnerabilidades existentes e divulgadas há, por exemplo, 9 (NOVE) anos, os autores aplicam este conhecimento para ganhar controle e ter domínio sobre o sistema de arquivos e comprometê-lo. E pior, tem pessoas que ficam cobrando mais e mais dinheiro para devolver o controle dos arquivos. Eles não têm ideia do valor que os dados têm para as pessoas e por isso vão cobrando mais e mais, sem devolver os arquivos.

Comparado com a primeira geração do
CRYPTLOCKER quem dissemina o Ransmware do tipo SAMSAM não têm muita ideia do que estão fazendo, não sabem quanto dinheiro eles querem e agora existem estes novos “atores” que nem ao menos sabem escrever o seu próprio Ransomware e os falsificam. Isso tudo está fazendo com que comecem a ser desacreditados. Assim, na minha opinião, como alguém de segurança, o que há de melhor prática é, boas soluções de proteção, mas também manter os backups dos arquivos sempre em dia. Assim isso dificulta bastante este tipo de incidente.


figura 08 –ilustração – Ransomware

Flavio Xandó: você disse que Bitcoin foi um dos grandes facilitadores para este este submundo de Ransomware mas o que acontecia antes disso?


Craig Williams: existem casos que remontam por exemplo a 1986, usando meios de transferência como Western Union e usavam nomes como Interpol, FBI, etc., claro, tudo uma farsa, mas de alguma forma eram, com alguma dificuldade, rastreáveis.

Flavio Xandó: hoje em dia qual a maior porta de entrada para Ransomware, phishing, sites infectados, algum tipo de vírus ou algum outro meio?

Craig Williams: hoje em dia, de longe, o vetor mais efetivo contra os usuários é “malvertising”, uma técnica de propaganda online que tem como objetivo disseminar esta e outras ameaças. Por exemplo, em abril passado foi disponibilizado um kit direcionado para pessoas que falam o idioma espanhol contendo o “Neutrino Exploit Kit”, um verdadeiro ecossistema. A maneira que ele trabalha é, pessoas (mal-intencionadas) compram exibições de propaganda, pagam sites para hospedar e exibir estas propagandas. Pessoas que falam espanhol chegam a estes sites e ao clicar nas propagandas são direcionados ao site que contém o malware (do Neutrino Exploit Kit), que analisam o navegador, plugins, suas vulnerabilidades e usam a técnica eficaz para comprometê-lo e disseminar a ameaça instalando o Ransomware. Por este método pode ser instalado o que o atacante quiser, uma vez destravado o acesso, passa tudo que ele desejar pelo buraco aberto.


figura 09 –ilustração – Ransomware

Flavio Xandó: mas se os navegadores estiverem atualizados então será impedida esta tentativa de injetar código malicioso.

Craig Williams: não necessariamente. Você pode ter um navegador completamente atualizado, mas não tem os plug-ins atualizados, o do Flash, Java, etc. por exemplo, uma ameaça pode se aproveitar disso e entrar no sistema.

Flavio Xandó: li que há alguns meses, em Nova Iorque houve um número muito grande de computadores, incluindo órgãos públicos como departamento de polícia, hospitais etc. que tinham sido capturado por cyber criminosos ou Ransomware. Como algo assim pode acontecer?

Craig Williams: eu não posso falar particularmente sobre este ataque, mas infelizmente isso é muito comum. Nós vemos grupos cujos ataques são direcionados contra órgãos ou organizações específicas, simplesmente porque eles têm muitas máquinas e uma parte delas (ou boa parte) pode não estar atualizada. Houve uma grande leva de ataques do Ransomware SAMSAM contra hospitais usando vulnerabilidades já conhecidas entre 7 e 9 anos. O problema aqui é que nestas organizações existem máquinas que estão conectadas à Internet sem que se saiba. Assim que isso acontece os atacantes podem usar estas máquinas e por meio delas comprometer o sistema de arquivos da rede. Isso é MUITO COMUM!! As levas de ataque de SAMSAM usaram kits de malware de prateleira (pré-fabricados) que se acha gratuitamente na Internet, que são feitos para administradores testarem as suas redes. Basicamente eles pegam estes kits, ferramentas de teste e os usam como armas. Por que eles usam este tipo de kit que endereça vulnerabilidades antigas? Porque nestes kits há ferramentas para fazer varreduras nas redes e Internet buscando por máquinas vulneráveis e desprotegidas (para serem corrigidas), mas eles ao contrário, focam o ataque exatamente onde serão bem-sucedidos. É incrível, pode acreditar, vulnerabilidades com 10 anos ainda podem ser encontradas em mais de 3.2 milhões de computadores ao longo do mundo em hospitais, empresas de engenharia aeroespacial e governo. Assim, todas estas máquinas são grandes alvos em potencial que uma vez infectadas por Ransomware poderão servir para extrair rendimento para os criminosos. Isso que o SAMSAM fez de forma bem efetiva.

Flavio Xandó: mas se uma empresa dispuser de uma boa solução de segurança como as do portfólio da Cisco, que medidas de segurança de fato vão impedir Ransomware de penetrar nos limites da empresa?

Craig Williams: são muitos vetores, muitas formas de entrada que são analisadas. Emails precisam ser analisados e para isso existe Cisco Email Security Appliance, qualquer vírus enviado, não importando qual seja, será imediatamente bloqueado, também aplicativos com Ransomware. AMP (Advanced Malware Protection) vai analisar o arquivo e vai brevemente dizer “não sei o que é este arquivo, mas espere um momento”. Rodando no sistema de segurança de emails, se necessário vai analisá-lo em um “Sandbox” e se este ambiente (controlado) for comprometido, será marcado como malicioso e vai na mesma hora bloquear o arquivo e alimentar esta informação em toda a rede da Cisco para compartilhar com os clientes a existência de uma nova ameaça. Para acesso à Web temos algo similar, usamos uma tecnologia chamada “Web Reputation”, se é feito acesso a um site com histórico de hospedar malware (má reputação), o acesso é bloqueado, não importa o arquivo. Em sites conhecidos ou desconhecidos também se aplica uma tecnologia que tem semelhança com antivírus, que executa diversos tipos de inspeção. Assim, basicamente em todos os nossos sistemas nós temos proteção contra malware. Não importa por onde venha o malware, nós o evitamos e bloqueamos.  

Flavio Xandó: parece que os cyber criminosos estão de longe de ser ingênuos, mas ainda fazem o que fazem buscando “diversão”? Embora estejam subtraindo muito dinheiro com seus golpes...

Craig Williams: eu acho que isso não é necessariamente verdade. Vou dar um exemplo, relacionado ao exploit kit chamado Angler que é de longe o mais usado no mundo e está gerando mais de US$ 60 milhões de receita apenas com Ransomware. O que ele fez foi reprojetar como funcionam as redes botnet. Em um botnet tradicional existe um ponto central de controle e vários nós espalhados. Se o ponto central de controle da botnet é derrubado, os nós (escravos) caem também. Angler percebeu que este modelo não era bom e instituiu servidores de status que são constantemente verificados. Se um servidor central de controle da botnet cai (ou é derrubado), em 30 segundos um novo servidor substitui aquele e a botnet não cai. Eles gastam muito dinheiro desenvolvendo e aprimorando estas redes, as tecnologias, técnicas de criptografia para se manterem em segredo. E não fazem isso para se divertir, fazem porque precisam fazer. Não é uma questão de eles estarem na nossa frente e sim uma questão de permanecerem no jogo. Não tivessem esta mentalidade ainda permaneceriam usando contra nós as mesmas técnicas de 10 anos atrás.

Flavio Xandó: você comentou que o Ransomware baseado no Criptolocker cresceu baseado na “confiança”, mas que surgiram também os ataques falsos de Ransomware. Hoje em dia, que percentual representa cada um?

Craig Williams: hoje em dia os ataques falsos são uma porcentagem relativamente pequena. Mas o problema é que criar um ataque falso simulando um Ransomware é muito fácil. Mas infelizmente isto está crescendo. Seguimos vendo muito mais ataques reais e muita gente investindo muito tempo e dinheiro nestes ataques. Nas últimas 6 semanas nós publicamos mais de 12 artigos em nossos blogs falando sobre Ransomware.

Flavio Xandó: e o quem vem pela frente, qual a nova dor de cabeça com Ransomware?

Craig Williams: acredito que Ransomware continuará em alta, mas tendendo a estabilizar e cair. Quando muitas pessoas começam a falsificá-los, não se pode mais confiar (na recuperação dos dados), as pessoas começarão a parar de pagar levando a um declínio. Mas não há uma garantia. Há que demande pagamento mais de uma vez. Mesmo agora, há muita cópia sendo feita. Algumas cópias baseadas no CryptLocker tão “reais” que colocadas lado a lado você quase não consegue distinguir. Fazem isso para se aproveitar da “respeitabilidade” do ataque original, construída nos últimos anos. E já se veem várias assim.

Flavio Xandó: será que devemos nos preocupar com efeitos posteriores destes ataques, algo como ficar um código escondido que implemente algum “backdoor” para uso futuro?

Craig Williams: já estamos começando a ver algumas coisas assim. Um de nossos clientes, que acessou nossa equipe de “Customer Response” e que compartilhou seus dados conosco, trouxe um caso de ataque baseado no exploit SAMSAM que penetrou na sua rede 74 dias antes da instalação do Ransomware. Durante este tempo toda rede foi comprometida.

Flavio Xandó: e se a rede é afetada desta forma, trata-se “próximo nível” de comprometimento?

Craig Williams: eu acredito que eles estão mirando em IoT. Se você olhar em quase todos os tipos de negócios, existem dispositivos, sensores de alguma forma conectado, ou seja IoT. O supermercado da esquina tem sensores conectados em seus refrigeradores, nas trancas das portas, controle de temperatura. Uma rede que foi comprometida, passará a ter todos os seus pontos varridos em busca de pontos de vulnerabilidade, notadamente servidores antigos e dispositivos sem as atualizações de segurança e dispositivos com estas tecnologias. Uma vez implantado em um destes dispositivos, estará configurado um ataque com alta persistência quase que “para sempre”, pois ninguém vai se logar em um refrigerador para checar nível de atualizações de segurança. Já imaginou alguém questionando “vocês já fizeram a atualização do freezer hoje?”!!

Flavio Xandó: você citou que Ransomware está diminuindo por causa da “crise de confiança” uma vez que as pessoas estão parando de pagar...

Craig Williams: adoraria que já tivesse acontecido isso, mas ainda não aconteceu, é a tendência.

Flavio Xandó: entendi, mas você imagina que novo tipo de ameaça poderá vir a tomar o papel do Ransomware?

Craig Williams: ainda não, não consigo ver isso porque nada pode ser mais lucrativo neste momento. Para cada computador criptografado o pagamento mínimo é de US$ 500... nada rende tanto para eles. Interessante é que solucionar o problema de Ransomware é relativamente bem simples! Usuários precisam apenas fazer BACKUP dos seus dados. Simples assim.

Flavio Xandó: eu testemunhei alguns episódios de Ransomware recentemente. E um deles cheguei tarde, todo o servidor já fora criptografado incluindo o HD externo com o backup. No segundo caso eu descobri a origem do malware (a máquina infectada), isolei-a da rede interrompendo o processo e com os backups recuperamos 30 mil arquivos comprometidos (dentre 900 mil que havia na rede). Realmente, backup em dia é a solução eficaz e mais simples para o problema. Eu contei esta história no texto “Sequestro de dados (Ransomware) é real, previna-se!!”.

Craig Williams: é um pouco mais complicado para as empresas, pois há dois pontos chave. O primeiro é serem capazes de verificar os backups. Pode acontecer de acharem que está em dia e não estar, ou não conseguem ler o backup (e não poderem restaurá-lo). O segundo ponto é que pode haver gargalos no processo de restauração que não são ainda conhecidos. Imagine que o departamento de vendas é vítima de um ataque e requisita restauração e 8 Petabytes!! Quanto demora para recuperar 8 Petabytes de arquivos pela rede? Vou parar os negócios por 6 semanas e depois retornar?? Não é viável!!


figura 09 –ilustração – Ransomware


Flavio Xandó: e sobre dispositivos móveis? É algo que devemos nos preocupar?

Craig Williams: Não com Ransomware, mas há muitas variações de malware.

Flavio Xandó: mas em algum momento no ano passado eu ouvi falar de Ransomware em smartphones... O que seria?

Craig Williams: isso depende. A única situação que isso seria eventualmente plausível seria em alguns smartphones com Android, pois pessoas podem deliberadamente forçar o download de  aplicativo inseguro e instalá-lo mesmo assim. Nós vemos muito malware no mundo dos dispositivos móveis, principalmente entre as pessoas que fazem root (tornar o usuário super administrador e com plenos poderes sobre o dispositivo).

Flavio Xandó: qual o caminho para estar melhor protegido nestes casos.

Craig Williams: a Cisco dispõe de uma larga solução integrada e entre elas, neste, caso a nossa solução AMP (Advanced Malware Protection) monitora continuamente o ambiente, seja no dispositivo móvel ou endpoints (estações de trabalho) e impede que arquivos sejam executados.

Flavio Xandó: nos smartphones o problema é quase sempre o usuário porque nem sempre tem as informações. Há vários sites que visitamos que de vez quando apresentam uma mensagem do tipo “detectamos um vírus no seu smartphone, clique aqui para realizar a limpeza” e invariavelmente nestes casos é como o próprio malware entra no dispositivo. Também acontece em computadores quando sites de live streaming são visitados...

Craig Williams: bloqueadores de propagandas (ad blockers) são importantes também por isso, pois limitam a exposição de conteúdos potencialmente perigosos. Os donos dos sites não gostam muito porque isso acaba limitando a exposição de seus anunciantes. Mas infelizmente é uma ameaça real. Há muitas ocorrências de Ransomware distribuído por meio de propagandas maliciosas, o tempo todo. É possível identificar servidores de propagandas (ads) por meio de uma de nossas soluções, o OpenDNS e assim limitar o acesso. OpenDNS é um produto incrível.  Ele tem um fantástico portal de segurança que entre outras coisas realiza filtro de conteúdo e permite analisar o encadeamento de endereços associados com um ataque.

Flavio Xandó: sabe que por acaso eu já conheço e uso OpenDNS há vários anos, mesmo antes da aquisição por parte da Cisco. E sobre isso eu queria saber, depois que a Cisco adquiriu esta empresa, que evoluções foram implementadas? Há integração com outros produtos da empresa?

Craig Williams: ele está integrado com nossas soluções e é uma ferramenta também indicada para gerenciamento e bloqueios de ameaças em locais sem grande infraestrutura e isso é feito no nível do DNS, uma outra camada, que é muito importante, uma vez que agrega um nível a mais de segurança.

Flavio Xandó: Craig muito obrigado pelas ricas informações!! Foi ótimo ter conversado com você!

Depois desta conversa, confesso que ficou ainda a vontade e me aprofundar neste tema. Se vivemos em um mundo cada vez mais hiper conectado, rede, processamento, nuvem, IoT remetem à necessidade severa de segurança!! Voltarei ao tema, com a Cisco!!!


Um comentário: