Hackers, STJ e o Nosso Valioso Patrimônio!
Por Michele Nogueira, Professora Associada, Universidade Federal do Paraná (UFPR)
A pirâmide de Maslow, conhecida como Teoria das Necessidades Humanas, aponta a segurança como uma das necessidades básicas. A segurança do corpo, da família e da propriedade está atrás apenas das nossas necessidades fisiológicas de comer, beber, dormir, e respirar. Comprometer a segurança afeta diretamente a moral e a dignidade do ser humano, trazendo à tona receios e medos que aterrorizam e paralisam a pessoa, prejudicando as necessidades fisiológicas de dormir, comer e beber.
A segurança do patrimônio, incluindo nossos dados no ciberespaço nas esferas individual e coletiva, é sem dúvidas secundária em relação à segurança do corpo e da família. Porém, ainda assim, é uma necessidade na base da pirâmide. Ter seus bens furtados é uma sensação aterrorizante de impotência junto com frustração em ver destruído o resultado do seu esforço, trabalho e conquistas. No Brasil, nos parece que a violência contra o nosso patrimônio, inicialmente físico e cada vez mais no ciberespaço, tem sido aceita como algo normal de tão corriqueiro que ocorre.
A segurança do nosso patrimônio no ciberespaço, enquanto pessoa e sociedade, precisa ser pensada, planejada e construída. Não podemos mais postergar. Cada vez mais nosso patrimônio (ex., nossos dados, identidades, comportamentos e processos) está exposto e vulnerável no ciberespaço. Exemplos dessa vulnerabilidade não nos faltam. Apenas nos últimos 15 dias, vários casos foram noticiados no Brasil e no Mundo relacionados a sequestros de dados e pedido de resgate. Na Finlândia, hackers invadiram o sistema de um centro de psicoterapia, se apropriaram de dados de vários pacientes, e na sequência os extorquiram exigindo o pagamento de 200 euros em bitcoins em troca da confidencialidade de suas conversas com os terapeutas. Pasmem! Que ponto chegamos !? Extorquir pacientes de psicoterapia… No caso de não pagamento, as conversas eram vazadas na Internet, como aconteceu com alguns pacientes, expondo suas vidas a terceiros.
No Brasil, desde o dia 03 de Novembro de 2020, especialistas vêm observando um ataque massivo (e, talvez, orquestrado) de ransomware contra várias instituições públicas. O ataque de ransomware explora vulnerabilidades nos sistemas computacionais com o objetivo de sequestrar o controle do sistema e de seus dados. Uma vez sob o controle dos hackers, os dados do sistema são criptografados e a liberação dos mesmos é condicionada ao pagamento de somas financeiras em criptomoeda. O pagamento em criptomoeda acaba protegendo a identidade do atacante, dificultando as investigações e facilitando o sucesso do ataque. O Superior Tribunal de Justiça (STJ) por meio de seu presidente, o Ministro Humberto Martins, confirmou o ataque e o roubo das informações. Segundo sua declaração, o ataque hacker bloqueou, temporariamente, através de criptografia, o acesso aos dados. Os supostos hackers fizeram um pedido de resgate pelos dados criptografados. Investigações ocorrem pela Polícia Federal. Não se sabe ainda se a motivação do ataque tenha sido apenas de cunho financeiro. Além do STJ, suspeita-se de que o Ministério da Saúde, o Governo do Distrito Federal e outros órgãos públicos também tenham sido alvo do mesmo tipo de ataque nos últimos dias, mas esses últimos não foram confirmados.
No meio técnico de cibersegurança, acredita-se que vulnerabilidades conhecidas, como o zerologon e duas outras relacionadas ao VMWare nos servidores Windows, estejam entre aquelas exploradas pelos últimos ataques no Brasil. Essas vulnerabilidades permitem a execução de código remoto, o que por si só causa uma grande preocupação, pois dá margem para a criptografia dos dados sob controle pelos atacantes, como ocorreu no caso do STJ. Atualizações de sistemas que contornam tais vulnerabilidades associadas ao zerologon existem desde Agosto de 2020, conforme alerta do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Pesquisa (RNP). O Serviço Federal de Processamento de Dados (SERPRO) também criou e divulgou uma lista de recomendações para prevenir tais ataques além de oferecer um ponto central para notificação de incidentes de segurança pelos órgãos do governo federal.
Cabe aqui uma reflexão. O que tudo indica os atacantes estão explorando vulnerabilidades de segurança conhecidas. Existem soluções (ou, pelo menos, formas de mitigação) disponíveis para tais vulnerabilidades. Algumas dessas vulnerabilidades no Microsoft Windows são conhecidas desde 2019, como as do VMWare. Mas, no caso de alguns órgãos, como o STJ, essas vulnerabilidades aparentemente não foram tratadas, expondo o sistema e deixando o nosso patrimônio jurídico nacional exposto e vulnerável a ataques. Atualizações em sistemas como este são muitas vezes complexas e possuem um custo operacional. Entretanto, o resultado do ataque também tem um custo que vai muito além do financeiro. Caso não consigamos recuperar os dados do STJ ou se o estado não estiver disposto a pagar pelo resgate dos dados, o que acontece na prática é que teríamos de reconstruir todo o STJ virtual e seus dados. Com certeza, isso trará um custo financeiro e operacional muito maior do que o custo operacional de atualização desses sistemas.
Apesar de tomar como exemplos os órgãos públicos, essa reflexão cabe para muitas instituições pequenas, médias e grandes e para nossos dados pessoais. Muitas vezes negligenciamos as atualizações, investimentos e tratamentos de vulnerabilidades de segurança, pois achamos que incidentes como esses não ocorrerão em nossos sistemas e infraestruturas. Fica então o alerta! A cibersegurança vem se posicionando cada vez mais como um fator importante na nossa sociedade. Proteger nossos sistemas computacionais é proteger nosso patrimônio. Negligenciar essa proteção é um grande risco que pode gerar perdas financeiras e comprometer seriamente a credibilidade das nossas instituições.
Pensemos nisto!
Michele Nogueira, Coordenadora da Comissão Especial de Segurança da Informação e Sistemas Computacionais (CESeg) da Sociedade Brasileira de Computação. Editora da Coluna Atualidades em Cibersegurança da Revista SBC Horizontes. Doutora em Ciência da Computação pela Universidade de Sorbonne – UPMC/LIP6, França. Pós-Doutorado na Universidade Carnegie Mellon (CMU), Pittsburgh, EUA.
Referências
[1] Abraham H. Maslow. (1987). Motivation and personality (3rd ed.). New York.
[2] Hierarquia de Necessidades de Maslow. https://pt.wikipedia.org/wiki/Hierarquia_de_necessidades_de_Maslow
[3] Hackers extorquem milhares de pacientes de psicoterapia na Finlândia. https://g1.globo.com/mundo/noticia/2020/10/26/hackers-extorquem-milhares-de-pacientes-de-psicoterapia-na-finlandia.ghtml
[4] Padrões para Notificação de Incidentes de Segurança ao CTIR GOV. https://www.ctir.gov.br