[ Update: 23/05/2013 ]
As ordens judiciais que continham informações sobre contas do Gmail que estavam sendo monitoradas por agências de segurança e inteligência americanas foram acessadas, e este conhecimento pode ter proporcionado à Pequim uma vantagem de contraespionagem incluindo o término de operações e a mudança de modus-operandi e inclusão de informações falsas para confundir e controlar os esforços de inteligência do governo norte-americano.
Mais informações:
http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html
[ Update: 28/11/2010 ]
Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)
Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).
Neste final de semana, foi feita a divulgação pela WikiLeaks de 250 mil documentos diplomáticos dos Estados Unidos(*), incluindo 15 mil secretos e 100 mil confidenciais (!!)
Muito material já havia sido enviado anteriormente pela WikiLeaks para diferentes jornais ao redor do mundo (The New York Times, Le Monde, Guardian e Der Spiegel).
O site do WikiLeaks sofreu um ataque de negação de serviço logo antes de publicar as informações. No caso do WikiLeaks são tantos os interessados na não divulgação dos dados que vai ser difícil atribuir a responsabilidade (mais sobre atribuição no final deste post).
Obviamente o impacto no mundo diplomático foi gigantesco. Nos primeiros momentos já foram digeridas e publicadas por vários jornais informações impactantes presentes nas comunicações diplomáticas norte-americanas que vazaram, como:
- relações mais que especiais entre Itália e Rússia (Berlusconi, Putin)
- a corrida armamentista do Irã.
- espionagem na ONU autorizada por Hillary Clinton
- pedido de informações sobre AlQaeda ao Paraguai (tríplice fronteira)
- entre outras..
Vejam este comentário do New York Times (link exige cadastro para visualização - sugiro usar omailinator ou o bugmenot =)
"A global computer hacking effort: China’s Politburo directed the intrusion into Google’s computer systems in that country, a Chinese contact told the American Embassy in Beijing in January, one cable reported. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, cables said."
Finalmente temos a confirmação de que o governo norte-americano sabia que a alta cúpula do governo chinês estava por trás dos ataques ocorridos nas mais de 30 empresas americanas (incluindo o Google) que resultaram em vazamento de informações confidenciais e estratégicas (inclusive código fonte)..
Isto explica, inclusive, o infra-citado apoio irrestrito concedido ao Google pelo governo dos Estados Unidos, inclusive pela Agência de Segurança Nacional norte-americana (NSA).
Para mais detalhes, continue lendo abaixo..
[ Update: 07/03/2010 ]
Novidades liberadas durante a conferência RSA indicam - como era esperado - que houve possibilidade de roubo e alteração de código interno de aplicações do Google e das outras empresas (30-100) atingidas pelo ataque (via Wired).
A possibilidade era bem real baseado no que já conhecíamos, mas agora foi confirmada e temos detalhes de várias vulnerabilidades exploradas dentro da companhia, incluindo no Software Configuration Management (SCM) utilizado pelo Google (Perforce).
O paper da Mcafee não chega a ser muito marqueteiro, e sugere algumas boas contramedidas recomendadas para as vulnerabilidades exploradas. Baixe-o aqui.
Mais informações:
http://www.computerworld.com/s/article/9165718/Source_code_management_a_weak_spot_in_Aurora_attacks
http://www.crn.com/security/223101584020-11.html
[ Update: 10/02/2010 ]
A HBGary - empresa especialista em Malware Analysis e Memory Forensics - acaba de lançar um relatório bastante completo incluindo dicas de deteção e remoção de variantes - utilizando técnicas fuzzy - sobre o principal malware utilizado nos ataques conhecidos como "Operação Aurora".
Vale ressaltar que desde o lançamento do boletim MS10-002 da Microsoft (e consequente publicação do módulo do metasploit framework para exploração da vulnerabilidade) - há uma crescente utilização deste vetor de ataque em outros incidentes pelo mundo.
No relatório da HBGary são fornecidas informações valiosas, incluindo um inoculation shot (nome marketeiro para vacina) para eliminar o malware e suas variantes (a taxa de ~90% de similaridade é recomendada) remotamente (via WMI / ePO / AD) em uma rede corporativa.
Além da já conhecida capacidade avançada de análise gráfica de instruções de códigos em execução - que pode ser vista acima em um parser do Command & Control do malware, existem outras as funcionalidades interessantes no principal produto da HBGary: Responder Pro 2.0.
Uma delas é a geração de um Digital DNA baseado no comportamento, idioma, algoritimos e métodos utilizados pelos desenvolvedores do malware (a partir das instruções executadas em memória). Isto pode pode facilitar o processo de atribuição de responsabilidade e separação de grupos distintos de desenvolvedores em ataques similares.
A capacidade de visualização da ferramenta se extende a outros usos, como pode ser visto abaixo, com o timeline em segundos da execução do Dropper (A), do serviço svchost.exe (B) utilizado para executar o payload do malware (C) e o .BAT que remove - a maioria - dos rastros (D):
Muitos outros detalhes podem ser verificados no excelente paper publicado pela HBGary há poucas horas.
[ Update: 03/02/2010 ]
Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.
Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").
[ Update: 31/01/2010 ]
Para os que acreditam que a Operação Aurora e a discussão sobre Cyber War "China vs US" já é assunto ultrapassado, é FUD, ou foi apenas uma manchete temporária, talvez valha a pena salientar o real impacto relacionado aos ataques e técnicas discutidas neste artigo.
Com este objetivo, fiz questão de adicionar este rápido update para ressaltar a real importância da questão em pauta. A operação Aurora e a escalada do cyber crime / cyberwar foi o primeiro e principal assunto que o chefe da inteligência americana, Dennis Cutler Blair levou ao Senado dos Estados Unidos em uma declaração preparada por todas as agências de segurança americanas - mais detalhes / video (a partir de 41m:45s) (Selected Committee on Intelligence SH-216 - "Open Hearing: Current and Projected Threats to the United States").
[ Update: 31/01/2010 ]
Em 2008, me deparei com a pergunta "Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados?"
Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 4 tipos de soluções, listadas por ordem de importância para o caso em pauta:
I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)
II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)
III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )
IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]
Tentarei exemplificar o porque do posicionamento de uma solução de Forense de Rede em primeiro lugar na lista acima, me aproveitando de dados um caso tão complexo e sério quanto a Operação Aurora.
Para facilitar este trabalho, chegou às minhas mãos um material da NetWitness descrevendo as ações que podem ser tomadas por seus usuários para verificar se foram afetados pelo ataque descrito e com informações OSINT (Open Source Intelligence) obtidas da internet:
I - criar filtros para verificar conexões entrantes e saintes a partir dos seguintes hosts:
yahooo.8866.org
sl1.homelinux.org
360.homeunix.com
li107‐40.members.linode.com
ftp2.homeunix.com
update.ourhobby.com
II - verificar conexões SSL vindas do domínio homelinux.org, utilizando o TLS parser
III - checar tráfego destinado aos endereços IP dos servidores de Comando e Controle utilizados durante o ataque:
69.164.192.40
125.76.246.220
210.202.197.225
IV - utilizar a capacidade da solução de misturar diferentes camadas em regras para detectar atividades de beaconing:
Para quem nunca viu a interface do Investigator da Netwitness (que tem versão free) - segue um snapshot de um dos filtros citados acima em uma rede comprometida pela Operação Aurora:
service = 80 && action = put && client = 'lynx'
(service = 80 && action = put && tcp.dstport = 8080) && (payload = 939 && extension = zip,rm,jpg)
(ip.src = 125.76.246.220,210.202.197.225 || ip.dst =
125.76.246.220,210.202.197.225) && (service = 80 && action = put)
alias.host = yahooo.8866.org, sl1.homelinux.org, 360.homeunix.com,
li10740.members.linode.com, ftp2.homeunix.com,update.ourhobby.com
ip.src = 69.164.192.40,125.76.246.220,210.202.197.225 || ip.dst =
69.164.192.40,125.76.246.220,210.202.197.225
Além disto, as seguintes recomendações são dadas pela NetWitness:
1. Watchlist "usuarios" seguindo o seguinte critério:
a. Executivos e/ou Autoridades
b. Administradores de Sistemas com acesso privilegiado
c. Empregados que recentemente foram citados pela imprensa
2. Watchlist "extensões" contendo minimamente:
a. Executáveis (EXE, COM, BAT, SCR, CMD, PIF)
b. Documentos que exploram vulnerabilidades: PDF, DOC, XLS, PPT, CHM
c. Arquivos Compactados (zip, rar, etc)
3. Watchlist de estações, servidores e hosts relacionados aos usuários da watchlist 1.
4. Avaliar TODO tráfego por quesitos que envolvam a combinação destas entidades, procurando por variações do comportamento normal.
[ Post Original : 16/01/2010 ]
Antes de mais nada, é necessário perceber que o que foi divulgado pelo Google na última semana não chega a ser uma novidade, e nem uma tática nova utilizada pelo governo Chinês ou outros.
A mídia especializada tem feito alguns comentários sobre o anúncio de que mais de 30 (ou 100?) empresas americanas (Google, Adobe, Microsoft, Juniper, Symantec, Yahoo, Northrup Grumman, Dow Chemical, entre outras - ex: setor de energia) foram atacadas de forma coordenada e praticamente simultânea por hackers supostamente patrocinados pelo governo Chinês (Operação Aurora - FAQ).
O principal objetivo dos atacantes foi a permanência prolongada nas redes internas das empresas afetadas para obtenção de informações privilegiadas e propriedade intelectual.. A Inglaterra também divulgou que têm sido atacada pelos chineses de maneira semelhante.
A desconfiança do envolvimento do governo chinês nos ataques passou a ter contornos mais detalhados a partir da revelação de analistas de malware sobre a utilização de um algorítimo incomum de criptografia (CRC-16) em no principal trojans utilizados e sua similaridade com papers somente publicados em chinês. Hoje já se sabe - por exemplo - que os atacantes exploraram a infra-estrutura de acesso a a contas do Gmail que o Google montou especialmente para a Polícia acessar em casos de quebra de sigilo autorizado pela Justiça.
O incidente em pauta é muito útil para diferenciar ataques avançados e críticos de problemas comuns de segurança e para avaliar se as contra-medidas que possuímos estão adequadas para abordar ambos os tipos de ataques.
As análises que já foram publicadas sobre o caso incluem "erros" que foram cometidos pelos hackers - como executar o ataque de forma concomintante em múltiplas empresas e utilizar um só servidor dropbox para enviar os dados (código fonte, informações confidenciais) roubados - facilitando assim que os analistas do Google descobrissem as outras empresas atingidas.
A indústria de segurança e a opinião pública já tiveram várias diferentes reações sobre o ocorrido. O nosso objetivo é tecer alguns comentários sobre o assunto sob a luz de alguns conceitos apresentados em posts anteriores neste blog:
- Risco, Vulnerabilidade, Ameaça e Impacto (reloaded)
É fundamental conhecer as reais ameaças a que uma empresa (ou país) está exposto. E certamente este episódio - pela sua magnitude de divulgação - servirá a este propósito em nível nacional (US). Expandindo os componentes do termo "Ameaça", encontramos três fundamentais conceitos que por si só demonstram a seriedade e complexidade do caso em pauta:
- Intenção: tende a ser dependente de indústria e situação. Neste caso, apesar da grande ênfase da mídia na invasão de contas do Gmail de oponentes ao governo Chinês, o roubo de propriedade intelectual e possivel injeção de código malicioso nos programas destas 100 empresas americanas é o que mais chama a atenção. É importante notar que a intenção do atacante não pode ser influenciada por nenhuma ação de Segurança.
- Oportunidade: timing apropriado e conhecimento do alvo. Neste caso, o ataque que se iniciou com phishing direcionado (ou spear phishing) utilizou uma vulnerabilidade 0-day do Internet Explorer (0-day pero no mucho) - detalhes aqui (que inclusive já está disponível no MSF). O navegador era certamente era utilizado pelas empresas alvo, o ataque usou vários níveis de criptografia - para "bypassar" ferramentas DLP e similares, trojans comuns misturados à trojans especialmente desenvolvidos com protocolos específicos de comunicação via porta 443 - e uma chave criptográfica diferente para cada cliente - para vencer os anti-vírus, HIPS e NIDS/IPS.
- Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Certamente com o apoio e investimento do governo e ter os melhores hackers do mundo ajuda a China a obter seus objetivos de silenciar vozes que se levantam contra o regime - mesmo fora do país e a roubar informações privilegiadas de empresas pelo mundo.
- 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Integridade e Disponibilidade
O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis. Para mais detalhes sobre o termo APT, sugiro este link.
Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o ataque - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque em pauta.
Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas. -
E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso. Mais detalhes sobre o exploit utilizado, aqui. (update - a Microsoft lançou uma correção para o bug - que ela já conhecia desde setembro - e outras 7 vulnerabilidades do IE - veja o boletim e baixe o patch aqui).
Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo. Fazendo uma comparação com crimes reais - se você está preocupado com batedores de carteira, é bom sair de casa sem muito dinheiro no bolso, poucos documentos e sem relógio, além de evitar horários e lugares perigosos. Isto equivale no mundo virtual a defesa tradicional de AV/IDS/etc. - Mas se há um grupo profissional de criminosos atrás especialmente de você, a única forma de reagir eficientemente a esta situação é expô-los às autoridades e torcer para que eles sejam preso. Bem vindo ao mundo das Ameaças Persistentes e Avançadas (APT). Uma boa descrição das fases normalmente encontradas em ataques avançados e persistentes pode ser encontrada aqui:
- A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.
No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da "China vs Google + 30"- o caminho é envolver oficialmente o próprio governo americano na resposta ao incidente.
Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes (mais detalhes sobre isto ao final deste post), ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.
A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e avançados e não tentar se esconder confortavelmente atrás de checklists de itens de compliance e conformidade ou de qualquer sigla de norma da área de segurança. -
O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer - iniciativa que já foi seguida pelo governo Francês. Já é um começo.. O Google anunciou que vai parar de censurar resultados na China. E o governo americano já começou a se movimentar lentamente...
- Um outro desdobramento interessante deste evento será acompanhar como as empresas atacadas e o governo americano irão responder as respostas evasivas da China (e também contra-acusações), considerando a dificuldade de se atribuir a responsabilidade de um ataque cibernético a uma pessoa,quanto mais a um país!
- Atribuição de responsabilidade envolve identificar a ameaça, com o máximo de detalhes do ponto de vista de seus desdobramentos (Capacidade/Intenção/Oportunidade).
- Richard Beijtlich e Mike Cloppert sugerem 20 características para atribuição da responsabilidade (ou autoria) de ataques cibernéticos - e isto pode servir de ponto de partida para que iniciemos uma resposta a ataques persistentes e avançados (APT) em nossas organizações: 1)Timing, 2)Vítimas, 3)Origem, 4)Mecanismo de Entrada, 5)Vulnerabilidade ou Exposição, 6)Exploit ou Payload, 7)Weaponization, 8)Atividade pós-exploração, 9)Método de Comando e Controle, 10)Servidores de Comando e Controle, 11)Ferramentas, 12)Mecanismo de Persistência, 13)Método de Propagação, 14)Dados Alvo, 15)Compactação de Dados, 16)Modo de Extrafiltração, 17)Atribuição Externa, 18)Profissionalismo, 19)Variedade de Técnicas, e 20)Escopo.
Bem completa a abordagem do assunto, parabéns pelo blog e pelos temas escolhidos - virei fã!
ReplyDeleteMelhor abordagem do assunto que li ate agora, ao mesmo tempo detalhada e no ponto - as empresas e paises precisam mudar de estrategia, porque estao perdendo o jogo... - Claudio A.P.S.
ReplyDeleteParabéns pelo blog.
ReplyDeleteEstou utilizando o seu post para escrever sobre o assunto no meu.
O meu eu apenas faço comentários e deixo as pessoas que lêem pensarem, trazendo os links para as notícias e posts de verdade, caso a pessoa queira ler mais.
Trabalho na área de TI e fiquei fã do seu blog.
Anônimo, Cláudio e Pensador, muito obrigado pelos comentários e elogios.
ReplyDeletePensador, já acrescentei seu blog na minha lista de leituras diárias.
[ ]s,
S.S.
Bela abordagem Sandro, o conteudo do blog esta muito bom, parabens.
ReplyDeleteObrigado pela visita ilustre, comentário e elogio Felipe!
ReplyDelete[ ]s,
S.S.
Sandro, a empresa onde eu trabalho está participando das investigações sobre este incidente, e por isso mesmo eu tenho acompanhado muito do que a mídia tem escrito sobre isso e um pouco do que tem acontecido atrás das cortinas. Posso dizer, sem a mínima sombra de dúvida, que você escreveu a melhor, mais completa e mais correta cobertura sobre o incidente. Você está de parabéns, tanto por destacar os principais detalhes do acontecido, como por analisar o impacto com um ponto de vista mais macro.
ReplyDeleteEste incidente, na minha humilde opinião, é um grande divisor de águas. Até então, a cyber espionagem industrial poderia parecer conto de ficção científica para muitos. Este incidente mostra que mesmo as maiores empresas do mundo podem ter todos os seus dados estratégicos roubados através da Internet, em questão de poucos dias ou horas. Poucas pessoas, na verdade, sequer perceberam a magnitude do fato.
Anchises,
ReplyDeleteSeu feedback nos mostra que acertamos e estamos no caminho certo em nossos comentários e análises - especialmente por partir de um profissional gabaritado e respeitado como você.
Muitíssimo obrigado!
Sandro Süffert
Muito bom!
ReplyDeleterealmente, a cobertura desse caso feita pelo blog está de parabéns! perfeita!
ReplyDelete