As recentes violações de cibersegurança da SolarWinds, iniciadas pela inserção não de um, mas de dois backdoors maliciosos (SunBurst e Supernova) no software de monitoramento de rede Orion, trouxeram à mente uma das minhas cenas favoritas de filme
Nas Linhas de Frente: Uma Janela para as Violações de Segurança de Backdoor
Blogs David Petrisky, CIA, CRMA, CISA, CPA mar 10, 2021
As recentes violações de cibersegurança da SolarWinds, iniciadas pela inserção não de um, mas de dois backdoors maliciosos (SunBurst e Supernova) no software de monitoramento de rede Orion, trouxeram à mente uma das minhas cenas favoritas de filme. Você deve se lembrar do filme Jogos de Guerra (WarGames) de 1983, no qual o personagem de Matthew Broderick visita seu amigo programador/hacker, Jim, e descobre que, às vezes, os desenvolvedores inserem uma maneira secreta de acessar seus programas, ignorando o procedimento normal de autenticação. O colega de trabalho de Jim, Malvin – também conhecido como “Sr. Cabeça de Batata” – fica chateado por Jim ter revelado tal conhecimento privilegiado, mas Jim diz que isso nem era mesmo um segredo.
É uma cena hilária, mas, por mais engraçada que seja, os riscos retratados no filme foram bastante influentes na época, chamando a atenção do presidente Ronald Reagan, como relatou o The New York Times. O filme pode ter causado mudanças na forma como o governo dos EUA e toda a cadeia de suprimentos de TI abordavam os riscos de cibersegurança.
Bem, eu não sou programador ou hacker, mas, no início da minha carreira, tive que projetar uma metodologia de auditoria interna para aplicativos sem suporte de TI. Isso era para uma empresa tão grande que "shadow IT" significava funcionários como os de TI, incorporados em outras unidades de negócios para desenvolver ou gerir aplicativos não hospedados em servidores controlados pela TI. Durante o planejamento, a equipe de auditoria trabalhou com a equipe de segurança da TI para entender os tipos de controles que procurariam em uma avaliação de riscos de aplicativo.
Nessas discussões, aprendemos sobre o Open Web Application Security Project (OWASP), que produz orientações e ferramentas disponíveis gratuitamente para segurança de aplicativo web, incluindo a lista dos 10 principais riscos de aplicativos web OWASP. Na época, um dos principais riscos estava relacionado a códigos desprotegidos ou à presença de mecanismos de bypass de autenticação. Portanto, nossos testes de auditoria buscaram evidências de que os desenvolvedores e testadores independentes monitoraram e corrigiram backdoors.
Curiosamente, a versão de 2017 dos 10 principais riscos incluem quebra de autenticação, quebra de controle de acesso e configuração incorreta de segurança, mas parece minimizar o risco de insiders mal-intencionados inserirem um backdoor próprio, apesar do aviso que recebemos do filme Jogos de Guerra em 1983.
Há poucos dias, ansioso para aprender mais sobre o assunto, encontrei no site do OWASP uma apresentação informativa sobre os 10 principais backdoors (PDF). Acontece que alguns backdoors são intencionais, inseridos pelo fornecedor do aplicativo para habilitar serviços administrativos ou de monitoramento, dos quais o cliente deve estar ciente. Os procedimentos adequados de configuração e autenticação – como mudar senhas padrão ou desativar contas padrão – devem mitigar os riscos desses backdoors.
O risco de backdoors ocultos e instalados pelo fornecedor é um pouco mais complicado para os clientes mitigarem, porque provavelmente não terão acesso aos resultados dos testes de código seguro (dinâmico e estático) ou de avaliação de qualidade. Além disso, backdoors maliciosos podem empregar táticas altamente sofisticadas para evitar sua detecção depois de instalados.
O risco de backdoors secretos está no cerne das proibições feitas pelo governo dos EUA à instalação, em uma rede dos EUA, de componentes feitos pela fabricante chinesa de equipamentos de telecomunicações Huawei. Mas como as organizações podem se proteger de backdoors secretos quando não há razão aparente para suspeitar do fornecedor?
Os detalhes técnicos de como as organizações podem detectar e remediar ameaças persistentes avançadas (advanced persistent threats – APTs) – que exploram backdoors intencionais ou não intencionais para iniciar a vigilância e exfiltração – estão além do meu conhecimento. No entanto, se eu estivesse planejando auditar riscos e controles relacionados a APTs, perguntaria às equipes de TI e segurança da informação se eles implantaram algum controle para identificar APTs e se compararam seus esforços com um padrão ou prática recomendada da indústria.
Em algumas auditorias, minhas equipes perguntaram aos clientes se eles tinham feito a conciliação das comunicações de saída que passavam pelo firewall – ou do tráfego de serviço em uma plataforma de middleware – em comparação com um inventário de conexões ou serviços externos aprovados. O pensamento era que isso poderia identificar APTs. Em ambos os casos, os clientes indicaram que não tinham tomado essas medidas, mas admitiram que tais controles poderiam ser eficazes. Se os leitores tiverem sugestões de controles de auditoria que possam detectar APTs, tenho certeza de que muitas equipes de auditoria de TI adorariam ouvi-las.
Costuma-se dizer que a cibersegurança é uma competição sem fim entre os jogadores de ataque e os de defesa, com a vantagem para os atacantes por diversos motivos. No entanto, se a defesa puder melhorar a qualidade de seus controles de detecção, talvez possamos igualar o placar. Que tal jogar uma partida?