Militares e suas empreiteiras obviamente possuem adversarios preparados e motivados (como nacoes inimigas e hackers trabalhando para elas). Isto nao eh novidade, como pode ser visto na historia que se passou ha 25 anos, contada por Cliff Stoll no livro "The Cucko's Egg" (veja nosso post sobre isto aqui).
Para usar um exemplo real mais recente (2010) e talvez menos conhecido, veja o caso do vazamento de informacoes do projeto de um jato americano chamado "Joint Strike Fighter" (para mais informacoes, clique aqui).
Na semana passada eu comecei a acompanhar as noticias relacionadas ao ataque ocorrido no dia 21 de maio a uma grande empresa empreiteira (contractor) militar norte-americana. No inicio eram informacoes desencontradas e muita suposicao e poucos fatos, mas nesta 2a-feira foram publicadas informacoes mais precisas. Vamos aos dados:
O blogueiro Robert X. Cringely divulgou o seguinte post no dia 25 (quarta-feira):
http://www.cringely.com/2011/05/insecureid-no-more-secrets/
No dia 27, (sexta), a Reuters publicou uma "exclusiva" e colocou o "nome nos bois" no caso: - a empresa atacada foi a LockHeed Martin - a maior empreiteira militar americana - que atua nas areas de defesa aeronautica e aeroespacial.
No mesmo dia (27/05/2011) a LockHeed Martin divulgou o seguinte comunicado oficial (grifos meus):
On Saturday, May 21, Lockheed Martin (NYSE: LMT) detected a significant and tenacious attack on its information systems network. The company's information security team detected the attack almost immediately, and took aggressive actions to protect all systems and data. As a result of the swift and deliberate actions taken to protect the network and increase IT security, our systems remain secure; no customer, program or employee personal data has been compromised.A Lockheed Martin tem um bom time de Resposta a Incidentes, incluindo o especialista Michael Cloppert - que considero um dos melhores Incident Reponders do mundo, e que ja foi citado aqui no blog (e nao atualiza seu twitter desde o dia 21, curiosamente o mesmo dia do incidente envolvendo a empresa).
Throughout the ongoing investigation, Lockheed Martin has continued to keep the appropriate U.S. government agencies informed of our actions. The team continues to work around the clock to restore employee access to the network, while maintaining the highest level of security.
To counter the constant threats we face from adversaries around the world, we regularly take actions to increase the security of our systems and to protect our employee, customer and program data. Our policies, procedures and vigilance mitigate the cyber threats to our business, and we remain confident in the integrity of our robust, multi-layered information systems security.
[ Update 31/05/2011 17h - A Wired divulgou que outro Contractor também foi afetado: Second Defense Contractor L-3 ‘Actively Targeted’ With RSA SecurID Hacks ]
[ Update 01/06/2011 12h - A Fox News publicou uma noticia envolvendo um terceiro contractor: Northrop Grumman ]
Dentre as acoes de mitigacao do incidente, todos os acessos remotos a empresa LockHeed Martin foram revogados temporariamente, incluindo a reconfiguracao dos tokens SecurID, da RSA, que serviam como segundo fator de autenticacao dos acessos via VPN, por exemplo.
Desde o incidente divulgado pela empresa RSA em marco deste ano, envolvendo o possivel vazamento do codigo do SecurID - ataques como este ja eram esperados. Este trecho do comunicado da RSA fez muita gente "ligar os pontos" entre os dois incidentes (grifo meu):
While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.Para explorar com sucesso um sistema utilizando a autenticacao SecurID da RSA - como o da LockHeed Martin, eh necessario saber o nome do usuario, o PIN (ou senha) - que podem ser alvo de um ataque de forca bruta - e o valor da semente (seed) original (que foi facilitada devido ao ataque a RSA de marco).
Desta forma, o segundo fator de autenticacao permitia que os acessos dos usuarios que escolhiam senhas fracas (curtas e/ou pouco complexas), estivessem protegidos.
Na verdade estruturas de acesso remoto sao sempre uma porta obvia aberta para ataques externos, E eh possivel que a monitoracao em tempo real das autenticacoes nos sistemas SecureID da LockHeed Martin tenha possibilidado a identificacao do ataque a tempo de conter vazamentos consideraveis de informacoes sigilosas.
Vale ressaltar que para vencer o SecurID e sistemas similares nao eh necessario tanto esforco, pois ataques do tipo "man in the middle" e/ou a instalacao de trojans na maquina do cliente que esta se autenticando podem interceptar toda a comunicacao diretamente do S.O. ou browser do usuario e passa-las ao atacante - no mesmo estilo dos ataques a acessos a personal banking.
Para sistemas criticos, caso o acesso remoto seja realmente necessario, outros esquemas de protecao de acesso remoto podem (e devem) ser implementados, como a utilizacao de biometria (que pode ser o 2o ou 3o fator de autenticacao) e o meu preferido: o port-knocking <= mas isto vale outro post..
Em uma nota paralela, a LockHeed Martin acaba de adquirir o primeiro computador quantico comercial do mundo por US$ 10.000.000,00 (dez milhoes de dolares) . Ja que a tendencia eh que a criptografia classica (como a usada com o SecurID da RSA) seja facilmente quebrada utilizando a computacao quantica (.pdf) - quem sabe em alguns meses eles nao liberam uma solucao de autenticacao utilizando criptografia quantica usando o "D-Wave One" recem comprado! ;)