Pensando sobre um caso recente de um crime que está se tornando bastante comum (não citarei nomes ou quaisquer outras referências – fogem ao ponto, é desnecessário e antiético), ataque de ransomware.
Do que se trata: por alto, ocorre uma invasão de um computador e os dados armazenados são criptografados, e a senha para descriptografá-los é obtida mediante o pagamento de um resgate, normalmente por meios difíceis ou impossíveis de rastreamento, como por meio de criptomoedas.
Fomos acionados para investigar um ataque do gênero. Liguei para a pessoa responsável pela área de TI e perguntei se seria possível enviar o equipamento (servidor) para análise em laboratório. Não seria, não havia um servidor de reserva para substituir o principal em caso de falha catastrófica (como era o caso). Todo o esquema de salvaguardas se resumia ao backup (felizmente atualizado) dos sistemas em operação.
Considerando as limitações inerentes a esse tipo de análise/investigação (ex.: conta de e-mail para contato/pagamento do resgate pertencente a serviço localizado no estrangeiro em país não cooperativo), o pouco que poderíamos fazer tornou-se em nada, frustrando as expectativas dos presentes na reunião de atendimento, já que não teríamos acesso ao equipamento comprometido, e que o mesmo teria de ser colocado novamente no ar a toque de caixa.
Algumas lições ficaram evidentes:
1) a solução empregada de virtualizar os ambientes de produção e seus respectivos sistemas, de modo a cortar custos, o que é compreensível, visto que a área de TI, normalmente área meio em uma empresa, dificilmente recebe um orçamento adequado, e facilitar (em certo sentido) a administração dos recursos, no caso de uma operação crítica como era a área de atuação da pessoa que nos acionou, não se mostrou a mais adequada, pois uma vez que o servidor foi comprometido, todos os sistemas ficaram offline.
2) Backups nunca devem ser a única solução de reserva para um evento catastrófico. Não vou me estender muito, mas existem tantas soluções passivas e ativas para prover redundância quanto o dinheiro pode pagar, e o prejuízo causado à empresa pelo fato de suas operações terem parado por um ou dois dias, suponhamos da ordem de alguns milhões de reais (mas poderia ser, no seu caso, todas as fotos de família dos últimos 20 anos), sem contar a quantidade de homens-hora despendida levantando novamente os sistemas, teriam em muito pago uma solução mais robusta, que envolvesse, por exemplo, um servidor clone que permanecesse offline, apenas acionado numa eventualidade (eu sei que ninguém quer “desperdiçar” um recurso “caro” como um servidor apenas para “ficar no banco”, mas se é assim com equipes desportivas, que dirá mesmo na operação de uma empresa).
3) A prevenção sempre será o melhor remédio. A nossa recomendação nesse tipo de caso é não pagar o resgate (é a famosa máxima de não negociar com terroristas ou bandidos) a não ser em caso de desespero extremo (frise-se). Primeiro que pagar incorre em risco, afinal, ninguém sabe se o criminoso ao receber o pagamento irá realmente descriptografar o material, ou entregar a senha, afinal, se o criminoso fosse alguém confiável e ético não estaria cometendo crimes. Segundo que ainda que o faça, ele saberá que a pessoa ou empresa invadida paga, potencializando novos ataques. E por prevenção, estabelecer boas políticas de auditoria para exame futuro de ataques ou mal usos (respostas a incidentes) vem bem a calhar.
4) Por último, e entendendo que uma invasão nem sempre começa por um equipamento servidor (ex.: pode começar por um equipamento de rede e se propagar rede adentro), que por melhor que esteja instalado, configurado e mantido (atualizado) sempre pode estar sujeito a incidentes como esse (afinal, brechas e falhas de segurança são reportados todos os dias envolvendo sistemas operacionais, gerenciadores de bancos de dados, além de falhas humanas e de hardware, engenharia social, etc.), uma verdade antiga de manter serviços sensíveis offline ainda vale, muito embora na situação real do dia-a-dia isso pode se provar mais difícil (então, talvez seja melhor estruturar a rede, equipamentos servidores e sistemas distribuídos em camadas, mantendo os dados mais sensíveis com acesso limitado internamente, e apenas os serviços públicos com acesso pela Internet).
Se mantemos nossos dados sob custódia adequada, com backups atualizados, e um sistema de redundância na medida da nossa capacidade técnica e financeira, mesmo que um evento dessa magnitude aconteça (mesmo que não por crime, uma falha de hardware me vem à mente), nosso prejuízo será minimizado. Quando os incidentes acontecem, e eles acontecem (lei de Murphy), é melhor estar preparado para o pior cenário, para não depender de forças ocultas e não confiáveis (criminosos, por exemplo) para a recuperação de seus/nossos ativos digitais.
Fica a reflexão.
Meu espaço sem espaço 