Um ataque informático à escala global que dá vontade de chorar
A falta de conhecimento atempado sobre ameaças e o consequente pânico de muitas organizações tornaram estes dias um marco histórico. Não havia necessidade.
O ataque informático de escala global que marcou a semana ficou conhecido por WannaCry. O nome, entre outros mais técnicos, deriva do vírus/malware criado e disseminado por piratas informáticos com vista ao sequestro de dados e consequente pedido de resgaste.
De forma espetacular e ruidosa, a campanha criminosa tornou-se a mais bem-sucedida da história infetando em dois dias centenas de milhar de computadores por todo o mundo. Espanha foi um dos países mais afetados, atrás da Rússia, Reino Unido, Taiwan, Ucrânia e Estados Unidos.
Situações destas são diárias, existindo inúmeros malware deste tipo (“ransomware”) usados por muitas organizações criminosas, com relativo sucesso, mas longe do agora verificado.
O que tornou então relevante e notória esta particularização de uma situação recorrente?
Sabe-se agora que o ataque não é particularmente sofisticado, não fez uso de vulnerabilidades desconhecidas nem a sua abrangência geográfica foi maior que o normal.
Efetivamente, o ransonware usado não diferiu muito, técnica e funcionalmente, de outros anteriores: 1) abuso de um computador por exploração de uma vulnerabilidade; 2) bloqueio do acesso à informação e apresentação de pedido de resgaste e; 3) propagação para outros computadores da organização identificando os com igual vulnerabilidade.
Um aspeto curioso, mas não tão importante assim, é que a mensagem de resgaste apresentou-se em 28 línguas diferentes, refletindo a ambição dos criadores deste malware.
Num outro dia qualquer não seria tema de conversa. Na realidade, o ataque é tão frágil que foi bloqueado à escala global por um analista de segurança usando apenas 12€.
Porém, foram muitas as vítimas, incluindo organizações como hospitais, operadores de comunicações, operadoras de gás, empresas de transporte, companhias ferroviárias, construtores de automóveis e até ministérios do interior de países que se afirmam como potências mundiais, entre muitas outras a quem se perdoaria menor atenção à cibersegurança.
Foram-no todas pela mesma razão, muito pouco abonatória. Não aplicaram atempadamente uma atualização de segurança disponibilizada pela Microsoft há precisamente dois meses ou ainda usam software já não suportado pela mesma empresa há anos. Caso tivessem endereçado devidamente estas situações teriam, como tipicamente acontece, apenas um ou outro computador infetado.
É, portanto, quase imperdoável o que se passou, com doentes a terem de ser deslocados para outros hospitais, com eventual risco de vida, e alguns operadores de infraestruturas críticas e de telecomunicações a terem ameaçada a sua operacionalidade.
A falta de conhecimento atempado sobre ameaças (“Threat Intelligence”) e o consequente pânico de muitas organizações, a desligarem-se da Internet por efeito mimético sem saberem se estariam vulneráveis, aliado à inoperacionalidade das que efetivamente soçobraram, tornaram estes dias um marco histórico.
É caso para dizer que não havia necessidade.
Existem hoje inúmeras empresas especializadas cuja missão é apoiar os seus clientes a prevenir, detetar e reagir de forma superior a este tipo de ameaças. Os alertas foram dados, mas não interiorizados em tempo útil, e o resultado foi o que se viu.
Com a dependência crescente pelas organizações da informação e da interligação à Internet, não se entende como os decisores ainda não colocam nas suas prioridades a cibersegurança. Qualquer organização dos tipos mencionados, dada a sua dimensão e relevância nos mercados em que opera, deveria ter este tipo de serviço contratado a especialistas. Todos ganharíamos se, no rescaldo de toda esta situação, analisasse-se a correlação entre vítimas deste ataque e a ausência de apoio especializado de forma continuada.
O ransomware de nome WannaCry cumpriu. Foram muitos os que choraram por estes dias.
Que, ao menos, tenha servido para promover uma mudança de mentalidade e que a cibersegurança seja percecionada não como um custo, mas como gestão do ciber-risco e, consequentemente, um investimento na proteção da marca, dos negócios e até da vida humana.
O autor escreve ao abrigo do novo acordo ortográfico
Artigo editado às 11h55 de domingo para corrigir cargo do autor