O Que Não Se Ensina Sobre
"Pensar Como o Inimigo"
Por Pete Herzog*, publicado no blog Infosec Island
Traduzido por Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
1 de Dezembro de 2012
Para quem quer fazer um curso de segurança digital que promete ensinar hackerismo ético e sobre como compreender a mente do inimigo, permita-me economizar-lhe tempo e dinheiro adiantando o que se vai aprender:
- Encontre quem e o quê interage com seu alvo.
- Busque por vulnerabilidades nestes.
- Ataque.
- Apague os rastros que puder.
- Lucre.
Mas, o que não se está ensinando:
1. "O inimigo" é heterogêneo.
Assim como não existe apenas um idioma estrangeiro, não existe só um tipo de inimigo. Eis que entre potenciais atacantes, nem todos pensam da mesma forma. Mesmo entre aqueles que se juntam para uma missão ou objetivo comum, com frequência há divergências sobre como alcançar o objetivo.
Então, qual o inimigo cujo pensar você está tentando aprender? O fanático? O vândalo? O desesperado? O solitário? O zeloso? O frustrado? O louco? O pobre? O ganancioso? Seja qual for, mesmo aí, você acha que pode realmente pensar tal como quem construiu uma mentalidade ao longo de anos pensando e vivendo de uma outra maneira? Você acha que pode realmente entender os motivos de um atacante quando o seu capuccino custa o mesmo que um dia do salário dele [ou o seu, o que o do uísque dele]? Gostamos de pensar que podemos, porque filmes nos dizem que é possível. Mas não é.
Para um pouco de perspectiva, considere quantas vezes você já ouviu um amigo ou vizinho dizer que não se preocupa com intrusos porque ele tem um cachorro. E criminosos também não podem ter? Alguns têm rinhas, onde os cães mais ferozes se enfrentam, e esses criminosos não parecem ter problemas em lidar com tais cães. Só porque você ou seu amigo acham que um cachorro grande e barulhento é intimidante, não significa que um atacante vá achar também. Não entender isso já é admitir que não se tem a mentalidade do atacante. Mas se você pensa que pode, então tente pensar com uma mentalidade na qual é moralmente correto e civilizado explodir um mercado lotado ou um prédio de repartição pública. Pode-se ir além, mas num seminário seria menos censurável que neste artigo.
2. O inimigo pode investir muito mais recursos para um ataque do que você pensa que valeria a pena.
Primeiro, ele provavelmente não está no mesmo sistema de valores financeiros que você. Segundo, ele não tem necessariamente os mesmos motivos e interesses que você, o que significa que você e ele não concordam necessariamente sobre quais são os seus ativos de valor. O inimigo pode ir mais longe estudando os seus dispositivos, até mais do que os próprios engenheiros que os fabricaram. Como alguns desses engenheiros vêm usando ferramentas e código reciclados de outros projetos, os quais eles nem mesmo sabem como funcionam, apenas que funcionam, suas técnicas e implementações vão estar ativas por bem mais tempo do que você faz idéia.
Mas o mais importante: para alguns tipos de atacante, coisas pessoais nas quais você não pensa muito objetivamente, tais como sua reputação, ideologia, filiação política, o que representa, círculo de amizades, contatos, dados brutos de pesquisa, detalhes sobre clientes, ou mesmo seu alardeado código moral, podem ser vistos como ativos mais valiosos do que meros números de cartão de crédito. Em dadas situações, certos inimigos podem estar mais interessados em fazer você engolir sapos em público do que em surrupiar seus bens. Enquanto o valor de certos ativos para você, você só vai reconhecer quando forem perdidos ou manchados no noticiário. Porquanto esses atacantes porão mais esforço nisso do que você pensa que poria se estivesse no lugar deles, uma vez que eles pensam que o resultado vale mais do que você nem de longe pensava.
Em nossos seminários, ilustramos isto mostrando que é comum ilusionistas planejarem e treinarem durante anos a execução de um truque, antes de surpreenderem platéias com ele. Tanto tempo e esforço por algo que se executa e acaba em poucos instantes! A maioria das pessoas nem considera fazer o mesmo, razão pela qual suas exclamações de assombro e aplausos frente a uma correta performance. De forma semelhante, com alguns tipos de ataque: claro que também produzem em nós exclamações de assombro, exceto que não em bom sentido, pois geralmente são os atacantes que aí se aplaudem.
Para um pouco de perspectiva sobre como é difícil avaliar algo da mesma forma que outra pessoa, você se lembra de quantas vezes algum amigo ou vizinho já lhe pediu para examinar o computador dele porque ele pensa que está com vírus? Eles dizem: "por favor, isso só vai lhe tomar uns dez minutos, depois eu lhe pago um café." Mas o que eles não percebem é que você levou pelo menos dez anos para se tornar apto a analisar e diagnosticar o problema "em dez minutos", e nenhum café irá compensá-lo pelo valor de dez anos e dez minutos de trabalho. Então, se mesmo esses amigos e vizinhos não conseguem ampliar seu raciocínio para ter uma idéia de quanto esforço lhe custou para ser capaz de fazer isso, e porque isso vale mais do que um café, então talvez você possa considerar sua própria dificuldade em ampliar o seu para fazer uma idéia do que um inimigo valoriza, e de quanto esforço ele está disposto a investir.
3. O inimigo pode explorar – e prontamente o fará – aquela coisa na nossa sociedade que, em nosso pensamento, a faz tão avançada e civilizada: confiança.
Enquanto somos crianças, nossa sociedade nos faz aprender que é simpático e gentil compartilhar. Isso nos é sedimentado com recompensas por quem nos confidencia segredos, em troca dos seus. Saber de segredos nos faz sentir importantes, pois "de confiança". Até mesmo as típicas novelas e comédias românticas focam-se nisso – mostrando que é bom e saudável compartilhar uns com os outros, para depois se arrepender, para depois perceber que não importa, e então se apaixonar novamente e fazer tudo de novo. Assim, podemos também rir e chorar juntos, o que nos faz uma sociedade unida.
Enquanto crescemos, aprendemos que é gentil e civilizado oferecer confiança como gesto de boa vontade. Pessoas que a recebem sem ter dado motivo se sentem importantes. E então, pessoas que se sentem realmente importantes tendem a esperar (ou demandar!) ter acesso a segredos dos outros, e a se enfurecer com quem simplesmente não confia nelas. Talvez venha daí aquele ditado que diz que as pessoas que não confiam em outras não merecem confiança. Mas, numa sociedade, estão nisso todos juntos; e por isso, "oferecer" confiança e confidenciar segredos assim nos leva a buscar confiabilidade em perversos círculos viciosos de relações e de amores "confiáveis", que, no fundo, são de presunções e de vaidades auto-importantes.
É por isso que as pessoas clicarão naquele link que seu velho amigo de escola, o Zé, lhes enviou, apesar de não terem falado com o Zé desde então, nem terem sido ambos lá tão amigos mas apenas sentado lado a lado em aulas, porque o Zé parece ter algo que ele precisa que as pessoas vejam – então clique e puft!
É bem provável, então, que você confie demais por razões de menos. E é também provável que confie de forma errada. As pessoas, quando confiam em alguém, geralmente não discriminam a respeito do quê. Podem acolher conselhos financeiros do dentista, e conselhos odontológicos de um amigo próximo, simplesmente porque confiam neles. Alguns simplesmente confiarão em empresas para compartilhar seus dados pessoais e aspectos de sua vida privada, e outros ainda confiam em políticos para representá-los e cuidar de seus interesses. Mas na verdade precisamos ter razões para confiar em alguém a respeito de algo, porquanto ter tais razões torna muito mais difícil sermos aí enganados. Num dos projetos de pesquisa do ISECOM, são dez os critérios classificatórios para se poder confiar em alguém sobre algo. Enquanto na prática observamos que as pessoas geralmente se satisfazem com um só desses critérios. Via de regra o critério da consistência, o qual nos indaga se esse algo já ocorreu antes. Mesmo os inescrupulosos costumam se satisfazer com apenas três dos dez critérios.
Então, um inimigo que se sinta desimpedido da obrigação de confidenciar seus segredos e confiar em outros para ser gentil e civilizado na sociedade só pode ver tais relações de confiança como interações exploráveis. E disso podemos culpar a sociedade!
Para um pouco de perspectiva sobre como sua confiança é uma responsabilidade, quando foi a última vez que você comprou algo com base em pesquisas de opinião entre consumidores? Tal forma de confiar é uma falácia, a da componibilidade, na qual confiamos em algo porque "tanta gente assim não poderia estar mentindo ou se enganando ao mesmo tempo." Usuários de agências de viagem que operam pela internet costumam aprender isso na pele; muitas das opiniões postadas podem ser plantadas ou forjadas pelos próprios fornecedores do serviço. Quando alguém pode influenciar suas decisões manipulando aquilo em que você confia, isso é uma forma de ataque pela via da confiança.
Nas imortais palavras de Sun Tzu, "Confiança é uma flor delicada que precisamos pisotear antes que ela nos destrua." [citação]
4. O inimigo pode entrelaçar planejadamente vários ataques via múltiplos canais para tentar atingir seu alvo.
É mais difícil, claro (veja 2.), mas ele pode estar pensando além de possíveis laranjas maduras na beira da sua estrada. Não se trata de paranóia ou conspiracionismo, o inimigo pode mesmo pensar vários lances na frente de suas atuais medidas de segurança, agregando diferentes técnicas de ataque e correlacionando efeitos de suas execuções através de vários meios, tais como rede sem fio, telefonia, pessoas e sua infraestrutura física, para chegar lá. Por exemplo, um exploit pode requerer que um funcionário receba um e-mail, clique num link daquele e-mail para receber um documento de tipo não permitido via e-mail, desligue todos os alertas e avisos de segurança para abrir esse documento, para então esta ação semear um minúsculo código malicioso no sistema operacional, o qual fará conexão com sua origem, camuflada de tráfego normal. E se você pensar "mas quem faria tudo isso?", releia 3. (ou leia sobre o ataque à RSA em 2012)
Hoje em dia, um ataque que pode ser executado diretamente, como por um exploit contra uma vulnerabilidade, é "laranja madura" que se supõe requerer, na maioria dos manuais de segurança digital, o menor dos esforços para neutralizar. Para qualquer um que atualize regularmente seu software não ficar exposto por muito tempo. Já os atacantes em busca de alvos ambiciosos, focarão em métodos de ataque mais complexos porém mais certeiros, e que perduram mais. Eles usarão cronometragem precisa, algoritmos para previsão de números randômicos, ataques ponta-a-ponta tais como um syn-flood seguido de um buffer overflow especialmente cronometrado, e muita manipulação de confiança, tudo coordenado em um único ataque. Alguns podem considerar isso um APT (Advanced Persistent Threat) mas penso que é apenas um ADITLO (A Day In The Life Of) para o inimigo.
Para um pouco de perspectiva sobre quão vulnerável as pessoas estão a ataques multifacetados e coordenados, considere a frequência a academias de ginástica. A forma direta de ataque ali seria com brutamontes de lá te abordando e simplesmente tirando o dinheiro de suas mãos. Mas o tempo de ataque das academias aos "laranjas maduras" já passou. Agora os brutamontes são úteis para te menosprezar e repreender porque você não frequenta uma. Mas você ainda tem que chegar lá, e seguir frequentando. Então para isso é necessário enorme quantidade de manipulação da confiança em propagandas que lhe dizem que você é gordo e sem saúde, apresentadoras de TV que te dizem que todo mundo precisa de fazer dieta e exercícios, com a aval de patrocinadores que vendem livros, revistas, videogames e shows te dizendo que você não está em boa forma. Eles aparentemente coludem com atores e modelos que desfilam o corpo que você gostaria de ter, com estilistas da moda que desenham roupas que nunca caberão numa pessoa com relação peso/altura normal, para bombardeá-lo com repetidas mensagens que subliminarmente questionam suas habilidades sexuais. E depois tem aquele amigo ou parente seu que já foi fisgado...
5. O inimigo pode ter o que você não tem, mesmo não tendo tudo o que você tem.
Só porque você não tem como bancar um supercomputador capaz de quebrar códigos criptográficos, não significa que teu inimigo não terá acesso a um. O inimigo poderá obter as coisas de que precisa, e fazer coisas que você pensava que ele teria de comprar, provavelmente até com material do teu próprio lixo. Há ainda a possibilidade de patrocínio estatal para recursos que ele mesmo não possa bancar. E há também o inimigo que é uma multidão de pessoas com um objetivo comum, cujos dedos distribuídos podem todos baixar ou clicar instâncias de um programa que te causam um ataque massivo de negação de serviço. Quando você tenta pensar como o inimigo, é difícil imaginar não só a quais recursos ele terá acesso, mas também quão diversas podem ser suas experiências que o capacitam a resolver os problemas que surgem ao tentar conseguir o que precisa.
Para um pouco de perspectiva, considere a criação da cantenna. Enquanto gurus da segurança corporativa se certificavam de que nenhum laptop, mesmo com caras antenas wifi, poderia acessar a rede interna sem fio da empresa fora dos muros da sua propriedade, o inimigo atacava sentado a um quilometro de distância, comendo restos de batata Pringles da lata descartada que agora envolucra a cantenna artesanal pendurada num dongle USB.
6. O inimigo vai tirar vantagem do teu superego.
Aquela parte da tua psique que é definida pela tua sociedade, cultura e estilo de vida, e que te faz querer ser querido, é um dos meios pelos quais o inimigo vai evitar ser detectado. Atacantes sabem com não te encurralar. Eles sabem que precisam te dar espaço para você pensar que pode escolher entre várias reações possíveis, incluindo a mais fácil, que é não fazer nada. Onde o nada quer dizer estufar o peito, bater o pé, esbravejar e brandir certificados de observância a padrões de segurança nos quais você foi provado e aprovado, mas nada no sentido de tentar realmente pegar o atacante.
Essa parte do ataque quase sempre requer moderação, raramente atribuída ao inimigo. Dissimulado, sim. Inteligente, claro. Mas moderado? Não, você automaticamente pensa que quando dominou o atacante você o fez antes que ele pudesse causar mais dano, ou então que o atacante foi estúpido ao não saber com quem estava se metendo. Isto é o seu ego te falando, claro. Mas na medida em que o ataque vai se esclarecendo e você precisa reagir, é seu superego que define qual responsabilidade lhe cabe e como você deve assumi-la. E então você fica apto a mentir adoidado.
Sim, mais uma vez, a sociedade tem tornado mais atraente a opção de negar qualquer mal feito e evitar punição, do que aprender e crescer com os erros. Veja os modelos que temos no governo e entre celebridades da TV e de Hollywood. É porque nossa sociedade competitiva quer que punamos as vítimas que não fizeram tudo o que podiam fazer; e no ambiente corporativo, isso significa demissão ou transferência para o marketing, onde você não pode fazer mais mal. No entanto, isso só significa na prática que a próxima pessoa a preencher tua função será igualmente inexperiente no assunto, mas terá aprendido a regra de ouro: negar quando for pego.
Para outra perspectiva, basta olhar para praticamente qualquer coisa. O que quer que seja, há alguém negando. No artigo "Smarter Safer Better" cobrimos a tática da mentira detalhadamente, e não são os tolos que geralmente optam por negar e mentir - são os mais inteligentes! Estudos mostram que QI mais alto se correlaciona com trapaça no aprendizado começando em menor idade, e em estar mais propenso a usá-la em tudo. É por isso que o atleta burro pego fazendo sexo adúltero com uma comissária de bordo vai confessar e ir para tratamento, por aparentemente ser viciado em sexo, enquanto o homem de negócios formado em Harvard vai negar até o fim, e manchar o bom nome da comissária de bordo acusando-a de ser ela a viciada em sexo.
* * *
Como se pode ver, não se pode pensar como o inimigo de nenhuma maneira realista. E mesmo se pudesse, isso não faria diferença, porque qual deles?
Pode-se também ver que, em alguns casos, somos explorados por nós mesmos, em muitos aspectos da mesma forma que o inimigo nos explora. Temos visto o inimigo e eles somos nós! Tchan tchan tchan tchan... Então, pense nisso da próxima vez que você quiser avaliar sua segurança à moda antiga (como em filmes), usando um ladrão para pegar um ladrão, ou um psicopata para capturar um psicopata. Ou ... não importa, você é capaz de pegar a idéia. Seu melhor recurso é parar de tentar adivinhar o que o atacante vai fazer em seguida e praticar uma boa segurança preventiva. E você pode encontrar os detalhes disso no Capítulo 14 da OSSTMM 3:
Faça separações entre seus ativos e que não deve estar interagindo com eles. Bloqueie e controle as interações permitidas. Gerencie ativamente todas suas custódias.
* Autor
Pete Herzog é analista de segurança, criador do OSSTMM (Open Source Security Testing Methodology Manual) e co-fundador da ONG ISECOM (Institute for Security and Open Methodologies). Reconhecido como autor de várias ferramentas, documentos e metodologias que oferece livremente através do ISECOM, também fundou o Hacker Highschool Project, para proporcionar conscientização sobre segurança informacional a adolescentes, o projeto Smarter Safer Better, para ensinar análise de confiança e pensamento crítico sobre segurança digital a leigos, e o Bad People Project, para encontrar um conjunto de regras comuns de segurança dirigida a jovens ainda livres de polarização cultural. Ensinou Segurança Empresarial no programa MBA da ESADE e Segurança Informacional no programa de mestrado La Salle URL, ambos em Barcelona, Espanha.Tradutor
Pedro Antônio Dourado de Rezende é matemático, professor de Ciência da Computação na Universidade de Brasília.
Direitos de autor:
Artigo publicado e distribuído sob licença Creative Commons (CC) NC-ND 2.5.
Termos da licença em: creativecommons.org/licenses/by-nc-nd/2.5/deed.pt