Texto original por Paulo Brandão, Consultor Sénior na MEGABIT
WannaCry(pt) – queres chorar?
Em 1999 desloquei-me a Genebra na companhia de um colega para assistir à Windows 2000 Deployment Conference, organizada pela Microsoft. Ao chegar ao aeroporto, enquanto esperava pela bagagem de porão, reparamos que alguns dos monitores do aeroporto apresentavam um erro típico dos Windows NT4.0 e 2000 na altura, qualquer coisa como “C++ Library…”.
O aeroporto que estava a receber milhares de nerds da região EMEAs (Europe, Middle-East, Africa), a maior concentração de saber tecnológico por metro quadrado e ali estava: o erro do mal amado Windows! Achamos piada.
No dia seguinte, a assistir a uma das conferências de Mark Russinovich, um guru das entranhas do Windows na altura, e que versava a estabilidade (ou a falta dela, como muito de nós vindos do UNIX na altura sabíamos) tive a oportunidade de lhe colocar a questão, meio a brincar meio a sério, do evento no aeroporto de Genebra no dia anterior.
– “Ah e tal, Mark, então como é possível acontecer uma coisa destas no aeroporto de Genebra, ah, ah, ah, toma lá, estamos falados quanto à estabilidade do Windows…”.
Imperturbável, Russinovich responde-me:
– “Sim, estou a par do que aconteceu. Sabes que uma actualização para aquele sistema e que corrigia a falha que neste caso pode ser induzida por software do utilizador-programador, mas que a Microsoft quer colmatar, já tinha sido publicada há 6 meses? O problema não é a Microsoft. O problema é um sistema constituído por Microsoft (ou sistema operativo) – hardware – técnico – utilizador. São estas vertentes todas que fazem o sistema. Se uma delas falha, teremos problemas, certamente. Se não existir uma responsabilidade do administrador de sistemas, se não existir um processo, um procedimento, uma instrução de trabalho que garanta a estabilidade do sistema, não há nada a fazer!”
Engoli em seco, ri-me e toda a gente se riu. Mas para aí metade dos 600 nerds que assistiam à palestra enviaram de imediato e-mails à equipa que tinha ficado lá na empresa a perguntar se a actualização MS-001-XPTO estava instalada. A mim responderam-me: “Não. Queres que instale?”. Seis meses de atraso. Seis meses. “Sim, quero que instales”.
WannaCrypt
Vem a história a propósito dos eventos de Sexta-feira passada, dia 12 de Maio de 2017. Um dia que não vai ficar na história das tecnologias, porque dias piores virão. Não duvidem.
Desde há algum tempo atrás, na comunidade de hackers e jornalistas especializados em ciber-segurança que se vem falando de um possível ataque massivo que poderá comprometer a infra-estrutura da Internet, interrompendo serviços, uns mais outros menos críticos, mas que será “O” ataque, uma espécie de Dia do Juízo Final da Internet e da Informática. Há quem diga que os acontecimentos da passada Sexta-feira constituíram exactamente esse ataque global! Talvez o “vírus” WannaCrypt tenha conquistado o seu lugar na história. No início desta história, pelo menos.
Mesmo no meio do drama, noto o sentido de humor da nossa comunidade (a das TI, os hackers, os piratas): WannaCypt foi o nome da “iniciativa”, do vírus, do problema. Mas algumas variantes na designação surgiram, como por exemplo WannaCry (queres chorar?, numa tradução adaptada).
O que se passou?
Este ataque teve como base de sustentação a técnica de phishing, na qual são usados objectos aparentemente inócuos, que levam os utilizadores voluntaria mas inconscientemente a fornecer dados ou a correr software malicioso. Neste caso (e em muitos outros no passado), o utilizador recebe um mail, eventualmente até com o remetente seu conhecido, com um anexo. Ao abrir o anexo, o software malicioso entra em funcionamento – este anexo na realidade é o código do vírus (tecnicamente não é um vírus, mas o termo é usado no sentido lato). Neste momento duas coisas acontecem em simultâneo: os dados do disco do computador começam a ser encriptados com recurso a uma “chave” desconhecida pelo utilizador e ao mesmo tempo é explorada uma venerabilidade dos sistemas operativos Windows, mais concretamente nas componentes de SMB, que permite a propagação do vírus.
Consequências para as vítimas
A consequência imediata para os utilizadores é a encriptação dos dados dos seus discos, de forma praticamente impossível de desencriptar sem conhecer a respectiva “chave”. Numa mensagem que aparece no computador, é exigido um “resgate” (daí o nome dado a este tipo de software: “ransomware”) de 300 dólares americanos. É dado também um prazo de 3 dias para proceder a esse pagamento. No caso de não ser feito nesse prazo, o “resgate” passa a 600 dólares americanos para serem pagos em 7 dias. Caso este pagamento também não seja feito, é dito pelos perpetradores do “rapto de informação” que a desencriptação não será mais possível. Nunca mais.
Como se passou?
Esta é a parte mais interessante de todo este evento. Como foi possível este ataque em tão grande escala (a EUROPOL classifica-o como o maior ciber-ataque da história, com 230 000 computadores a ser infectados no primeiro dia (12 de Maio)?
A resposta diz muito sobre a nossa actual dependência das tecnologias, a iliteracia generalizada de utilizadores de computadores e Internet, incluindo muitos dos chamados profissionais de tecnologias de informação. Mas diz mais ainda sobre o verdadeiro jogo de gato e rato, se quiserem, ou posto de outra forma, das novas armas ao dispor das nações e estados (e também pessoas, grupos e empresas), armas que podem parar o mundo.
Não, não é mais ficção científica. Os prejuízos causados por este aparentemente “financeiro-rapto-de-informação” (um crime com o objectivo de obter lucros perante coacção) vão para além dos cerca de 50 000€ conseguidos até agora pelos criminosos (valor que teria o potencial de 200 000 x 300 = 60 milhões de dólares no primeiro dia, mas que ficou muito aquém. Ops, piratas…).
Os verdadeiros prejuízos nunca serão publicados, pois interesses comerciais falam mais alto do que a partilha da informação. Mas para se ter uma ideia, em Portugal, empresas como a PT, a NOS, a Vodafone, a EDP, alguns hospitais e muitas PME viram alguns dos seus computadores encriptados de um momento para o outro. As grandes organizações, em resposta meramente de contingência, desligaram redes, infra-estruturas inteiras, para conter rapidamente a propagação. Agora multiplique-se este cenário pelo resto do mundo… podemos imaginar a grandeza dos prejuízos envolvidos.
Era evitável?
A história repete-se, com requintes de actualização e impacto. Tal como na história do início deste artigo, também esta agora era evitável. Quer dizer, mais ou menos.
A fragilidade do sistema operativo da Microsoft que foi usada, foi tornada pública em 14 de Abril, por um grupo de hackers que publicou variada informação acerca de como a National Security Agency (NSA) dos EUA estava a aproveitar falhas em sistemas para aceder ilegalmente e sem conhecimento de ninguém a sistemas e informação. Mas a Microsoft já tinha detectado a falha, desenvolvido a correcção e publicado uma actualização para os sistemas afectados a… 14 de Março! O ataque de 12 de Maio surge assim DOIS MESES após a solução que impediria a propagação do vírus estar disponível.
Por isso sim, era evitável, pelo menos a exponencial propagação da praga.
(NOTA para aligeirar consciências: a infecção primária, no entanto, não seria evitável desta forma. Nos últimos 3 meses pelo menos 4 clientes meus viram o seu PC encriptado pelo Petya, outro “ransomware” activo nos últimos tempos. Um desses clientes foi afectado DUAS VEZES no mesmo computador. A técnica foi a mesma, mas aparentemente o Petya não se propagava através da vulnerabilidade agora usada, mas só a partir da infra-estrutura de e-mail e da chamada “engenharia social” que requer que o utilizador inconscientemente colabore para a infecção).
O “aftermath”
Este evento deu visibilidade a vários aspectos da massificação das TI e da Internet que, sabedores dos mesmos há muito tempo, de repente são preocupações urgentes de resolver.
Uma das mais importantes, polémicas e merecedoras de atenção é o envolvimento das organizações de intelligence ou espionagem. Primeiro porque, em nome da segurança, elas próprias usam software malicioso propagando-o da mesma forma que os hackers, e na direcção de todos nós. O que será mais ou menos equivalente a fazer ou usar escutas sem autorização de um tribunal ou usar tortura num interrogatório de um suspeito de terrorismo.
Outra, menos evidente, mas relacionada, é o facto da falha no Windows que permitiu a propagação do WannaCrypt ser conhecida da NSA, alegadamente à muito tempo. A agência não terá divulgado a informação no seu próprio interesse (para a utilizar), como ficamos a saber por mais um “leak”. Sobre este assunto, vale a pena ler a posição do presidente da Microsoft Brad Smith.
A Reter:
Problema:
A técnica de phishing, complementada por “engenharia social”, permite que os utilizadores de um qualquer serviço forneçam voluntariamente autenticações (login / password) a hackers.
Contramedida:
Não se deixe enganar pela aparência (tal como no “mundo real” o deve fazer). Verifique o endereço do remetente. Ninguém lhe vai enviar legitimamente um e-mail a pedir que altere a password através de um “clique aqui”.
Recebeu um mail de alguém que não conhece, com um texto socialmente aceitável? Por exemplo “Olá Paulo, envio-te em anexo o relatório sobre as vendas do primeiro trimestre. Dá uma vista de olhos e diz-me qq coisa”, seguido de um anexo. Se a mensagem não vem de alguém conhecido ou se é inesperada, desconfie. Se abrir o anexo a probabilidade de a seguir estar a pagar $300 a um hacker é elevada.
Problema:
Fragilidade do Sistema Operativo
Contramedida:
Tenha sempre as actualizações… actualizadas. Sim, é um incómodo ficar à espera vinte minutos que o computador se desligue (ou arranque) porque está a actualizar o sistema operativo. Mas é assim que infelizmente funciona a nossa indústria: os produtos não saem perfeitos à primeira (nem à segunda, terceira, quarta… tema para outro artigo!).
Contramedidas genéricas
Um bom anti-vírus
O seu computador vai ficar mais lento. Vai ter mais uma actualização para fazer regularmente. Vai gastar dinheiro em mais uma licença de software. Acredite que vai desejar ter passado por tudo isso quanto perder toda a informação no caso de não ter esta protecção básica.
Hábitos preventivos
Se o seu browser o avisa que o site que quer consultar não é seguro, não o consulte, por mais curiosidade que tenha.
Evite a instalação de software ilegal. Muitos dos “cracks” para utilizar software sem o comprar contem vírus, backdoors, trojans, etc. Muitas vezes nem é imediatamente evidente a infecção. Mas será mais tarde (os anti-virus dão uma boa ajuda neste caso).
Acabou?
Não. Nunca acaba. O que podemos fazer é mitigar os riscos. Ameaças online haverá sempre, como as há “off-line”. Por isso vacinamos as crianças (nem todos!), por isso existe vigilância policial, alarmes contra intrusão, portas com fechaduras. E acima de tudo, existe Lei. Que no caso da nossa “vida online”, é fraca, recente, muitas vezes baseada em pressupostos errados e de todo ineficaz.
Nestes tempos em que cavalgamos a grande velocidade a tecnologia, os hábitos sociais, a legislação, os políticos e todos nós terão de mudar à mesma velocidade.
Alguns links sobre o assunto
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://www.theregister.co.uk/2017/05/15/wannacrypt_sitrep/
https://betanews.com/2017/05/16/symantec-wannacrypt-ransomware/
Texto por Paulo Brandão, Consultor Sénior na MEGABIT
Pode encontrar este texto, e outros, no blog pessoal do Paulo Brandão em: http://www.pauloteixeirabrandao.pt/wannacrypt-queres-chorar/