um mês ou dois atrás eu estava tendo uma discussão com um médico sobre doenças obscuras — comumente referido como zebras. Enquanto eu estava considerando essas zebras no contexto de estratégias eficazes de mineração de dados para o diagnóstico médico, ele fez um ponto interessante. Uma das coisas que eles ensinam aos novos médicos é a frase ” quando você ouve cascos, pense em cavalos, não em zebras.”O princípio é muito simples — as probabilidades são que o paciente tenha o diagnóstico mais comum do que um raro e improvável. Um exemplo simples mas ilustrativo seria o seguinte (roubado de um membro da família médica):
Uma paciente adolescente apresenta uma história de três semanas de dor de cabeça, fadiga e febres intermitentes, mas era historicamente saudável. O exame físico foi normal e, além das febres ocasionais, o único sintoma notável foi que ela estava pálida de cor. A zebra pode ter sido meningite ou um tumor cerebral — e o praticante inexperiente pediria milhares de dólares de testes e submeteria o paciente a vários procedimentos. Mas uma contagem de sangue de rotina mostrou que ela estava apenas anêmica-o cavalo-e só precisava de ferro extra. A regra: pensar em cavalos sem excluir zebras.Este princípio de como nós, como humanos, tendemos a complicar as coisas ressoa comigo, mas para um sector completamente diferente, que tem destaque na notícia da segurança cibernética tardia.Para considerar esta questão, vamos discutir três vírus similares da variedade de computador, também conhecidos como worms de computador.
nosso primeiro worm é chamado de “Código Vermelho”. Este era um vírus do Windows que poderia executar um código arbitrário uma vez no sistema do host. Além disso, o worm infectaria um servidor web do Windows e exibiria a seguinte mensagem:
e é claro que o worm iria procurar espalhar e encontrar outros hospedeiros infecciosos em máquinas não compensadas. Um patch para esta vulnerabilidade tinha sido oferecido até um mês antes dos ataques do Código Vermelho, mas poucas instituições o instalaram. Isso causou dores de cabeça substanciais e embaraço para departamentos de TI em vários setores.O nosso segundo verme é Nimda. A Nimda podia transferir-se para um computador de cinco maneiras diferentes, incluindo o e-mail. Tornou-se um dos primeiros worms a ser capaz de executar seu código, mesmo se o host não abriu o e-mail infectado. A Nimda impediu os funcionários do Tribunal Federal de acederem aos ficheiros do Tribunal electronicamente e os documentos do Tribunal infectados tiveram de ser limpos um a um. A Nimda, como o Código Vermelho, explorou uma vulnerabilidade do Windows já remendada. No entanto, causou danos significativamente maiores devido aos múltiplos pontos de entrada e rápida propagação.O nosso terceiro verme é o WannaCry. Assim como com os dois últimos worms, a Microsoft tinha oferecido um patch que teria protegido contra a ameaça WannaCry. No entanto, há um pouco de detalhe aqui que é relevante: um patch não foi originalmente emitido para o Sistema Operacional Windows XP. Houve alguma frustração do usuário com isso, mas deve-se notar que o Windows XP estava no “fim do suporte” por mais de três anos na época deste surto (mais sobre isso mais tarde). WannaCry arquivos criptografados local para a máquina e ofereceu a seguinte mensagem para os usuários:
O usuário tinha a opção de pagar o “resgate” ou de perder o acesso aos seus arquivos permanentemente. Ao mesmo tempo, o worm continuaria a tentar espalhar a infecção para outras máquinas que tinham a vulnerabilidade incomparável. Felizmente, havia um” kill switch ” que um pesquisador de malware inteligente identificou e ativou e grande parte do potencial do worm nunca foi realizado.Enquanto eu estava terminando este post, uma nova façanha ransomware chamada Petya começou a infectar sistemas em todo o mundo. Por TechCrunch, ” tudo sobre esta situação indica que muitos governos e empresas ao redor do mundo não levaram WannaCry a sério, não conseguiram remendar seus sistemas e agora estão pagando o preço.”
como Brian Krebs disse, ” organizações e indivíduos que ainda não aplicaram a atualização do Windows para a eterna exploração azul deve remendar agora. No entanto, há indicações de que Petya pode ter outros truques na manga para se espalhar dentro de grandes redes.”Isso sugere que Petya pode simplesmente ser a salvação de abertura, tudo resultante de más práticas de patching.
A linha comum por trás de todos esses exploits é que os sistemas não foram prontamente corrigidos e, portanto, foram expostas a esses vermes. Estes eram, na verdade, problemas evitáveis. Mas o que torna isso verdadeiramente interessante é que os primeiros worms foram em 2001 e o último foi em 2017. Como é que, 16 anos depois, estamos a passar pelo mesmo problema?No final da década de 1990 e início da década de 2000, à medida que estávamos construindo algo de aberto, nunca considerámos questões de segurança cibernética, já que estávamos tão focados na hipercalação do negócio e as ameaças conhecidas eram mínimas. No entanto, o sofrimento através da Nimda e do Código Vermelho fez-me acordar. Fui ter com o nosso conselho de Administração da Opescível e informei-os sobre as ameaças emergentes no ciberespaço e como a nossa rede poderia ser vulnerável a ele. Isso teria um impacto direto na estabilidade, escalabilidade e integridade do nosso negócio e, portanto, deveríamos investir em torná-lo mais seguro. Eu defendi um plano de segurança focado em fazer o básico de segurança bem, e foi financiado. Enquanto a segurança continuava a ser um problema contínuo, e estou certo de que preocupa as pessoas hoje em dia, tornou-se essencialmente um processo resolvido e fomos capazes de construir uma base estável.
o núcleo por trás da abordagem fundamental era simples. Remenda os seus sistemas atempadamente, controle o que pode ser visto pela Internet e sistemas de permissão adequados. Um usuário deve ter as permissões mínimas para realizar o que precisa. Esta abordagem básica impede notavelmente uma enorme exposição à segurança. Esta é a abordagem do “cavalo”.Este sentimento foi ecoado num recente podcast de segurança O’Reilly, “Dave Lewis on the tenacity of solvable security problems”. Lewis, um advogado de segurança global em Akamai, fez o seguinte ponto que claramente ressoa:
” vinte anos atrás, quando eu comecei a trabalhar em segurança, tínhamos um conjunto definido de coisas que tínhamos que lidar em uma base contínua. À medida que nossos ambientes se expandem com coisas como computação em nuvem, nós pegamos esse conjunto Central de preocupações e as multiplicamos mais, mais, mais. As coisas que devíamos estar a fazer bem há 20 anos — como remendar, gerir activos — pioraram muito nesta altura. Aumentámos a nossa dívida de segurança para níveis incontroláveis em muitos casos. As pessoas que são responsáveis por remendar acabam por passar esse dever para o próximo júnior na fila à medida que avançam na sua carreira. E esse Júnior, por sua vez, passa-o a quem aparecer por trás deles. Então, remendar tende a ser algo que é desviado para o lado errado. Como resultado, o problema continua crescendo.”
a moral da história é que precisamos retornar ao básico para parar esta falta de progresso em uma área crítica. Quando eu era o diretor de informação (CIO) da cidade de Chicago, eu gastei tempo e esforço significativo construindo um programa de cibersegurança. Infelizmente, a todos os níveis de governo, essa é uma área que continua a ter falta de pessoal, que é pouco pensada e que não dispõe de recursos suficientes. À medida que estamos inovando e avançando para mais sistemas digitais, é uma das questões mais críticas que o governo precisa contar.
apesar dos benefícios óbvios de uma abordagem de cavalo para a segurança, como CIO I foi constantemente barrado por fornecedores que oferecem sistemas altamente especializados para casos de uso muito específico. Recusei-me a fazer este tipo de despesas de zebra quando nem sequer consegui cobrir o cavalo. Então, começamos um programa focando na fundação, e construindo a partir daí quando prático.As agências têm de considerar estes passos básicos de higiene cibernética como uma base para fazer progressos críticos .:
- Mantenha — se atualizado em patching e torná-lo uma prioridade departamental/agência-é chato, mas é eficaz.
- Sistemas de permissão adequados com as permissões mínimas necessárias.
- para o tráfego web, use sempre SSL. https://https.cio.gov/
- a agência executiva precisa de um recurso de alta segurança cibernética que compreenda a tecnologia.Não há desculpa para permitir que a história se repita. As más práticas de há dez anos não devem continuar a atormentar as organizações hoje, e a maneira mais eficaz de prevenir os ataques cibernéticos de amanhã é apostar no cavalo.