Acelerado pela pandemia de covid-19, o trabalho remoto teve um aumento considerável nos últimos anos, fazendo muitas pessoas entenderem na prática o que é RPD e SSH, na medida em que precisam aplicar esses protocolos nas indústrias.

Porém, com o aumento do acesso remoto, também cresceu a exposição a ameaças cibernéticas, tornando ainda mais importante estabelecer uma conexão segura entre usuários e estação de trabalho ou pontos de extremidade. 

Nesse sentido, um dos principais riscos está associado à autenticação de usuários, que pode permitir a atacantes maliciosos explorar recursos vulneráveis e dados sensíveis dentro de uma organização.

Outra preocupação relaciona-se à segurança de endpoint, pois endpoints RDP desprotegidos são o principal alvo dos cibercriminosos. 

Por isso, lendo este artigo, você vai ver o que são RPD e SSH, entender como esses protocolos funcionam e de que maneira proteger sua empresa das vulnerabilidades criadas pelo acesso remoto. 

Nosso texto está dividido nos seguintes itens:

• O que significa SSH?

• Como funciona o SSH?

• Para que é usado o SSH?

• Benefícios do SSH

• Melhores práticas de segurança SSH

• Casos de ataques cibernéticos com chaves SSH

• O que é RDP e como funciona?

• Para que é usado o RDP?

• Benefícios do RDP

• Qual é a diferença entre SSH e RDP?

• Boas práticas de segurança RDP

• Vulnerabilidades do RPD e SSH

• Protegendo RDP e SSH da nuvem

• História do SSH

• Sobre o senhasegura

• Conclusão

Boa leitura!

• O que significa SSH?

SSH é a sigla de Secure Shel e consiste em um protocolo desenvolvido para acessar servidores Linux, que também pode ser utilizado em outros sistemas operacionais. 

Esse protocolo apresenta a interface de linha de comando normalmente controlada por meio do bash e diferente do RPD, não possui GUI. 

• Como funciona o SSH?

O SSH conta com o modelo de autenticação cliente/servidor e substitui as credenciais tradicionais por chaves públicas e privadas, que funcionam, respectivamente, como uma fechadura e a chave utilizada para acessá-la.

Geralmente, as chaves SSH privadas são armazenadas nos sistemas, enquanto as chaves públicas permanecem nos servidores. 

O SSH proporciona mais segurança ao processo de autenticação do que um nome de usuário associado a uma senha padrão, uma vez que utiliza criptografia de 2048 bits em suas chaves. 

• Para que é usado o SSH?

O SSH é utilizado para acessar remotamente uma conta de hospedagem e executar comandos. Com esse protocolo, é possível:

• Iniciar e interromper serviços;
• Executar arquivos de log de monitoramento ao vivo;
• Instalar softwares na conta; e
• Gerenciar seus bancos de dados MySQL, entre outras atividades.

Além disso, o SSH permite fazer uma interface gráfica padrão baseada na web e, conforme o usuário aprende a utilizar seus comandos, consegue administrar sua conta com mais agilidade.

• Benefícios do SSH

O SSH possibilita criptografar dados, impedindo que suas informações de usuários e senhas sejam acessadas por atacantes maliciosos. Veja a seguir de que o SSH pode proteger sua empresa:

• Roteamento de origem de IP por agentes mal-intencionados

Geralmente, o roteamento de origem é utilizado com finalidades positivas, porém, quando falha pode ser um recurso de cibercriminosos para fazer uma máquina pensar que está se comunicando com outra. 

• Ataques com falsificação de DNS

Nesse tipo de ataque, os usuários maliciosos inserem informações no banco de dados de cache e um servidor de nomes do Domain Name System (DNS). Desse modo, o tráfego é desviado para outro computador, uma vez que o servidor de nomes retorna para um endereço de IP incorreto.

Com isso, quem tem acesso a esse computador consegue obter informações confidenciais, que pode utilizar para tirar vantagem.

• Manipulação de dados em roteadores

Nesse tipo de ação, o hacker obtém ou altera dados em roteadores ou outros intermediários no caminho para o seu destino. É comum acontecer com os roteadores, cujos dados entram em uma espécie de gateway durante a rota de rede.

• Espionagem

Uma organização sem uma conexão permite que os hackers visualizem dados, colhendo informações confidenciais para as mais variadas finalidades.

• Falsificação de IP

Um hacker consegue criar pacotes com endereços de IP de origens forjadas. Assim, consegue usar um computador que permanece com a identidade e a localização ocultas, enquanto o receptor acredita estar interagindo com outro IP.

• Melhores práticas de segurança SSH

Algumas práticas podem melhorar a segurança do serviço SSH. Confira a seguir:

• Atacantes maliciosos utilizam software de scan de portas para detectar se o computador está utilizando o serviço SSH. Porém, a maior parte dos scanners de portas não analisam portas altas. Sendo assim, sugerimos que você mude a porta 22, atendida pelo SSH por uma porta acima de 1024.
• O protocolo SSH pode ser utilizado em duas versões, porém a primeira gera vulnerabilidades de segurança, abrindo espaços para ataques de inserção e ataques man-in-the-middle. Por esse motivo, é recomendável utilizar apenas sua versão 2.
• Para evitar ameaças cibernéticas, não permita o login do usuário root por meio do protocolo SSH. Isso porque se a conta desse usuário for comprometida, o invasor consegue causar mais danos em seu sistema do que se conseguisse acesso como usuário comum.
• Crie um banner customizado para que os usuários que se conectam por meio do protocolo SSH visualizem mensagens específicas. Essas mensagens podem ser usadas para informar o usuário que ele está acessando um serviço SSH privado.
• Substitua os nomes de logins e senhas pela chave pública DSA para autenticação, pois utilizar a chave pública permite proteger seu sistema de TI contra ataques de dicionário.
• Utilize TCP Wrappers para garantir que apenas hosts específicos se conectem a seu serviço SSH ou utilize sua configuração do iptables para esse fim.

• Casos de ataques cibernéticos com chaves SSH

Nos últimos tempos, muitos hackers têm utilizado recursos de identidade de máquinas SSH para realizar ataques cibernéticos. 

Isso significa que gangues com acesso à dark web podem fazer uso das mesmas técnicas que derrubaram a rede elétrica da Ucrânia contra setores governamentais.

Desse modo, conseguem vender backdoors SSH para grupos de Ameaça Persistente Avançada (APT) associados a determinados países por um alto valor.

As chaves SSH podem ser utilizadas pelos atacantes maliciosos para obter acesso não autorizado a sistemas críticos e efetuar diversas ações, como:

• Burlar controles de segurança;
• Inserir informações fraudulentas;
• Comprometer o software de criptografia; ou
• Instalar malware persistente.

Na maioria das vezes, o malware inseriu a chave SSH do cibercriminoso entre as chaves autorizadas no computador da vítima, o que garantiu sua permanência naquela máquina. 

Além disso, em outros casos, o malware enfraqueceu a autenticação SSH, o que possibilitou o acesso a credenciais e informações do host para se mover pela rede e infectar outros computadores.

Confira algumas campanhas de malware que utilizam identidade de máquinas SSH:

• TrickBot: inicialmente utilizado para roubar dados de login de conta bancária, ao longo dos anos, o TrickBot se expandiu e passou a ser útil para a atuação de cibercriminosos em diversos tipos de ambiente corporativo.

Trata-se de um malware baseado em módulos, que incorpora recursos de perfil em rede e coletas de dados em massa, além de permitir a movimentação lateral.

Seus recursos permitem extrair informações de computadores comprometidos, roubar credenciais em navegadores, do cliente Outlook e do Windows.

• CryptoSink: essa campanha ilícita de mineração de criptomoedas XMR descoberta em 2019 permitiu aos invasores comprometer os sistemas de destino, explorando uma vulnerabilidade dos sistemas Elasticsearch em plataformas Windows e Linux. 

Para isso, foi necessário adicionar sua chave pública ao arquivo de chave autorizado no computador da vítima.

• Worm Linux: esse malware ataca servidores de e-mail Exim em sistemas Unix-link e entrega mineradores de criptomoeda Monero.

Para isso, habilita o servidor SSH, caso esteja desabilitado, e cria um backdoor adicionando sua chave pública SSH.

• Skidmap: nesse caso, a chave pública do invasor é adicionada ao arquivo de chave autorizado para dar acesso backdoor a um computador de destino.

Para obter acesso root ou administrativo ao sistema e eliminar malware de criptomineração, são utilizados expoits, exposição à internet ou configurações incorretas. 

Além dos casos relatados até aqui, entre os anos de 2015 e 2017, um adolescente obteve acesso aos sistemas internos da Apple e copiou dados e chaves de autenticação. De acordo com o tribunal, o garoto teria baixado 90 GB de arquivos e afetado a conta de clientes, o que foi negado pela Apple.

Ainda segundo o magistrado, ele teria enviado um script de computador para o sistema, criando um túnel de shell seguro, o que permite acessar sistemas, contornar firewalls e remover dados mais rapidamente. 

Desse modo, foi possível acessar políticas de segurança internas e salvar chaves de autenticação. 

Conforme informações do SSH.COM e inventor do protocolo Secure Shell, Tatu Ylönen, os túneis SSH são amplamente utilizados em ambientes corporativos, porém, em combinação com o uso de chaves SSH roubadas tornam-se vetores de ataque muito difíceis de rastrear.

• O que é RDP e como funciona?

O Remote Desktop Protocol (RDP) é um protocolo antigo, muito difundido e, por isso, alvo de ataques constantes. 

Utilizado para acessar máquinas virtuais e servidores físicos do Windows, não atende ao sistema Linux e apresenta uma interface que torna os servidores mais acessíveis a usuários com ou sem formação técnica.

Geralmente, as portas RDP precisam ser conectadas à internet, o que gera vulnerabilidades diante da ação de hackers. Por esse motivo, é importante que os administradores protejam suas instâncias de RDP. 

• Para que é usado o RDP?

O RDP possibilita ao usuário conectar-se a um computador por acesso remoto utilizando o Microsoft Terminal Services.

Em geral, essa ferramenta é utilizada pelos usuários para acessar as máquinas fora do ambiente, onde estão instaladas para realizar atividades como configurações e manutenção. 

Além disso, o RDP é muito útil para empresas que atuam em trabalho remoto, modelo de serviço adotado por muitas instituições após o início da pandemia de covid-19.

• Benefícios do RDP

Assim como o SSH, o RDP proporciona uma série de benefícios para quem adota esse protocolo. Confira alguns:

• Segurança na conexão

Com o RDP, você consegue acessar seus arquivos e documentos de modo seguro devido à criptografia das conexões com sua área de trabalho remota, que reduz os riscos de perder dados com ataques maliciosos e roubo físico. 

• Mobilidade

Outro importante benefício proporcionado pelo RDP é a liberdade para trabalhar de qualquer lugar e a qualquer momento. Para isso, basta contar com um computador e acesso à internet. 

• Excelente relação custo-benefício

Utilizando esse recurso, não é necessário comprar licenças para vários computadores, pois todos podem ser acessados remotamente por meio de um único software. 

• Qual é a diferença entre SSH e RDP?

Esses dois recursos são utilizados para a mesma finalidade: acessar computadores e outros servidores de maneira remota. Além disso, RPD e SSH proporcionam segurança na hora de acessar servidores baseados em nuvem.

Apesar de suas semelhanças, o RPD e o SSH se diferem em alguns aspectos. Em primeiro lugar, o SSH é mais seguro que o RPD, que requer o uso de ferramentas para gerar mais segurança, como é o caso da rede virtual privada (VPN) e do múltiplo fator de autenticação (MFA).

Isso porque é mais fácil comprometer credenciais do que os pares de chave, o que não dispensa a necessidade de medidas adequadas para proteger as chaves privadas.

Outra diferença é que o SSH é mais complexo tecnicamente que o RDP. Por isso, muitas organizações optam pelo segundo, especialmente aquelas que contam com profissionais de TI iniciantes ou times menores. 

• Boas práticas de segurança RDP

O protocolo RDP proporciona segurança em ambientes ideais, porém para evitar problemas como sessões não autorizadas e acesso inadequado, é necessário ir além de suas configurações padrão e garantir um nível de maturidade maior para a segurança de TI. 

Isso porque o RDP proporciona somente uma linha base para criptografia, o que não garante total segurança para operações internas e externas.

Sendo assim, a primeira regra de segurança a ser seguida quando o assunto é RDP é não deixar o serviço exposto na internet para acesso, sendo usado apenas em uma rede local, independentemente da execução de proteção de sistemas e endpoints. 

Quer saber como proteger o RDP para uso interno de maneira adequada? Comece com o que se sabe sobre sua configuração padrão:

• Permitir o acesso aos administradores locais ou de domínio habilitando o RDP em Hosts Windows não é uma prática recomendada, pois não está de acordo com o princípio do privilégio mínimo. Nesse sentido, o ideal é que somente contas de usuário padrão recebam acesso RDP apenas pelo tempo necessário para executar determinada função e essa sessão deve ser monitorada do início ao fim, por meio de uma ferramenta de gerenciamento de privilégios como o PAM. 
• Caso a recomendação acima não seja seguida, é de extrema importância que as contas de administrador da máquina ou domínio local sejam nomeadas para algo difícil de decifrar. Afinal, se isso não ocorrer, um atacante malicioso pode ter acesso a essa conta. E mais: recomendamos ainda que o RDP como administrador não seja utilizado rotineiramente para demandas do trabalho remoto, mas apenas quando seu uso é indispensável. 
• O RDP também requer autenticação em nível de rede para que as credenciais não sejam enviadas para um controlador de domínio ou host remoto sem a devida criptografia. Além disso, é necessário utilizar a criptografia mais forte disponível para que a força da chave não seja negociada por meio de um controlador de domínio. 
• O protocolo RDP permite que os conteúdos sejam recortados, copiados e colados de sistemas remotos para dispositivos de conexão e vice e versa por meio do redirecionamento da área de transferência, o que pode causar vulnerabilidades relacionadas à extração de dados do sistema.
• Outro recurso oferecido por servidores RDP refere-se ao redirecionamento de impressoras para sessões de acesso remoto, que pode dar margem para a impressão de dados sigilosos e permite introduzir drivers maliciosos no ambiente de TI.
• Servidores Windows possibilitam que o usuário inicie várias sessões RDP, porém, se ele for desconectado, ao iniciar uma nova sessão, não consegue se reconectar à anterior, gerando perda de dados e produtividade. Para amenizar esse problema, é possível restringir o acesso, limitando os administradores a uma sessão. Essa solução também facilita o rastreamento de um RDP malicioso.

Os padrões do RDP devem ser configurados nas Opções de Diretiva de Grupo e aplicados por meio do Active Directory e os recursos utilizados no domínio estabelecidos individualmente a fim de combater ameaças. Além disso, é necessário manter-se atento a outros riscos:

• Vulnerabilidades encontradas nas versões do RDP:  as equipes de TI precisam estar informadas sobre atualizações de segurança que devem ser aplicadas para impedir a exploração do ambiente de TI por hackers. 
• Para que o usuário final não se torne um vetor de ataque, é de extrema importância gerenciar e limitar os clientes RDP permitidos em seu ambiente. Isso porque caso o cliente apresente uma vulnerabilidade, o risco pode ser estendido ao servidor host RPD.
• É de extrema importância garantir que as soluções de terceiros utilizando RDP apresentem a licença exigida pela Microsoft para o uso desse protocolo em um ambiente. Essa é maneira de evitar a violação de seu contrato de licenciamento, comprometendo sua tecnologia. 

• Vulnerabilidades do RPD e SSH

O aumento do trabalho remoto durante a pandemia de covid-19 criou uma série de vulnerabilidades quando o assunto é RPD e SSH. É o que indica um relatório produzido pela Edgescan, que compila os dados de milhares de avaliações de segurança e analisa métricas de vulnerabilidade e exposições comuns conhecidas (CVEs), malware, ransomware e serviços expostos em sistemas internos e voltados para o público.

De acordo com o CEO e fundador da Edgescan, Eoin Keary, a sexta edição do relatório permite investigar dados subjacentes e identificar vulnerabilidades utilizadas por países e criminosos cibernéticos, apontando que a correção e a manutenção ainda são um desafio.

O relatório mostrou ainda que mais de 65% das vulnerabilidades encontradas pelos sistemas da Edgescan em 2020 têm mais de três anos, sendo 32% de 2015 ou antes, o que aponta para a falta de atenção na hora de corrigi-las.

O CVE de risco crítico mais difundido encontrado foi o CVE-2018-0598, que permite ao invasor obter privilégios por meio de uma DLL de cavalo de Tróia em um diretório não especificado.

Conforme a Edgescan, ao analisar CVEs relacionados a malware foi possível notar que muitos estão localizados em sistemas que não são voltados para a internet, o que resulta na tendência de não focar em vulnerabilidades internas. 

Esse comportamento aumenta o risco de ataques direcionados de spear phishing ou engenharia social, com risco de ransomware e roubo de dados.

Apesar dos problemas associados à vulnerabilidade, o relatório também apresentou tendências positivas. 

Uma delas está relacionada ao número de sistemas analisados com mais de 10 CVEs, que caiu de 15% em 2019 para 4% em 2020, como resultado de atualizações do sistema e melhorias na manutenção de patches devido ao crescimento em serviços de perfilagem de ativos.

• Protegendo RDP e SSH da nuvem

Seja escolhendo o RDP ou o SSH, você pode utilizar um serviço de diretório em nuvem para garantir mais segurança, gerenciando pares de chaves SSH ou protegendo as portas RDP.

Desse modo, é possível implementar o múltiplo fator de autenticação nos sistemas VMs e Windows e nas VPNs por meio do RADIUS.

Uma funcionalidade do serviço de diretório em nuvem é gerenciar pares de chaves SSH públicas para que os usuários finais administrem seus pares de chaves privadas sem depender dos administradores. 

• História do SSH

Os primeiros computadores eram do tamanho de uma sala de conferências e precisavam de milhares de peças mecânicas para executar comandos simples. Com o tempo, foram se tornando menores, com terminais interativos fáceis de utilizar. 

Nos anos 1960, surgiram os mainframes e nas décadas de 1970 e 1980 a computação em rede se popularizou e o acesso remoto passou a ser utilizado para possibilitar a conexão com os computadores centrais.

Nesse período, essa conexão era segura, já que as redes centralizadas estavam isoladas umas das outras apenas fisicamente.

Na década de 1960, o protocolo Telnet passou a ser utilizado para controle privado de redes privadas maiores e até mesmo para a internet pública. Porém, a Telnet não proporcionava total segurança e perderia espaço para o SSH, deixando de ser instalada como padrão no sistema Linux.

Anteriormente, as redes costumavam ser isoladas para uma organização e os dispositivos ficavam dentro de um espaço físico protegido. Sendo assim, não era tão arriscado compartilhar, por mensagens, dados sensíveis, como senhas, diferentemente do que ocorre hoje com a internet pública.

Os pacotes TCP podem ser interceptados e facilmente lidos se não forem criptografados, o que os torna inseguros.

Na década de 1980, o rlogin passou a ser utilizado para acessar sistemas remotos com ou sem senhas e teve um desempenho melhor que a Telnet, funcionando adequadamente com comandos e caracteres que, na Telnet, precisavam ser traduzidos.

Apesar disso, o rlogin também apresentou vulnerabilidades, com falhas que foram citadas em um relatório de 1998 de Carnegie Mellon, rlogin: The Untold Story. Essa solução usava comunicações de texto simples e permitia a falsificação de identidades.

Projetada pelo pesquisador da Universidade de Tecnologia de Helsinki, Tatu Ylönen, que posteriormente lançaria a empresa de cibersegurança SSH Communications Security, a primeira versão do SSH foi lançada em 1995. 

Essa versão, que hoje é considerada ultrapassada, apresentou várias falhas ao longo do tempo, e foi substituída pelo SSH-2, que apresenta uma especificação Standards Track pela Internet Engineering Task Force (IETF), em 2006.

Diferente do SSH-1, o SSH-2 utiliza uma troca de chaves Diffie-Hellman e uma verificação de integridade baseada em códigos de autenticação de mensagem, usados para proporcionar mais segurança. 

Entre os métodos de criptografia mais utilizados pelos clientes e servidores SSH, destacam-se o o Advanced Encryption Standard (AES) e o Blowfish.

Apesar de sua primeira versão ter sido desenvolvida como freeware com licenciamento liberal, a SH Communications Security Corporation passou a comercializar essa solução, utilizando garfos alternativos.

O garfo mais conhecido é o OSSH, desenvolvido pelo programador Bjoern Groenvall e utilizado para o projeto OpenBSD.

Este consiste em uma versão segura e gratuita do BSD UNIX e os desenvolvedores melhoraram o OSSH para incluí-lo na versão 2.6 do OpenBSD em 1999. Depois disso, foi adotado para todas as principais versões do Linux, e, atualmente, é utilizado no mundo inteiro em sistemas operacionais compatíveis com POSIX.

A SSH-2 não apresenta vulnerabilidade conhecida, porém, informações vazadas em 2013 pelo analista de sistemas Edward Snowden, sugerem que a Agência de Segurança Nacional (NSA) possa descriptografar algum tráfego SSH.

Algumas configurações extras podem proporcionar mais segurança ao SSH, porém todas elas exigem uma reinicialização do serviço para funcionar. Confira:

• Desativar a autenticação SSH baseada em senha para impedir tentativas de ataque de senha com força bruta;
• Desativar o login remoto da conta raiz ou utilizá-lo apenas quando for necessário trabalhar como raiz, fazendo o login com uma conta normal e, em seguida, direcionando para a conta raiz;
• Autorizar SSH apenas para usuários, ativando e desativando o acesso, quando for preciso;
• Alterar a porta SSH padrão de 22 para outra numeração, evitando ataques de hackers que procuram servidores respondendo na porta 22.

Há mais de dez anos, o SSH se tornou padrão entre os protocolos de acesso remoto, e, de lá para cá, a conexão com a internet passou por muitas mudanças. Para conexões de baixa latência e seguras, o SSH ainda é extremamente útil devido à sua velocidade e facilidade de uso.

Porém, quando falamos em ambientes de alta latência, como conexões de rede móvel, essa não é a solução mais recomendada por gerar atrasos na conexão. Para isso, temos outra alternativa: o Mosh, ou Mobile Shell.

Esse mecanismo estabelece uma conexão inicial para, depois, sincronizar a sessão local com uma sessão remota por meio do UDP.

O Mosh ainda otimiza o suporte ao UTF-8 e pode ser utilizado em sistemas operacionais similares ao Posix, além de funcionar no Google Chrome.

Sobre o senhasegura

Nós, do senhasegura integramos o grupo MT4 Tecnologia, e temos a proposta de proporcionar cibersegurança e soberania digital aos nossos clientes.

Hoje, atendemos instituições de 54 países, atuando contra roubo de dados e rastreando ações em servidores, banco de dados, administradores em redes e dispositivos em geral. 

Com isso, conseguimos proporcionar eficiência e produtividade às organizações, na medida em que evitamos interrupções de suas atividades por expiração, além de garantir conformidade com critérios de auditoria e com padrões como PCI DSS, Sarbanes-Oxley, ISO 27001 e HIPAA.

A plataforma de segurança senhasegura PAM oferece gestão de acesso centralizado, com o objetivo de proteger e controlar o uso de credenciais privilegiadas de usuário e contas de serviço, proporcionando armazenamento seguro, segregação de acesso e total rastreabilidade de uso.

Além disto, o senhasegura permite que as empresas implementem os mais rigorosos e complexos controles de acesso a credenciais com privilégios de maneira automatizada e centralizada, protegendo a infraestrutura de TI de violações de dados e potenciais violações de conformidade.

A função Scan Discovery do senhasegura realiza o levantamento do ambiente e permite o cadastramento automatizado dos dispositivos e suas respectivas credenciais na solução. A varredura pode ser executada em todo ambiente, ou aplicada a um segmento de rede específico. Também é possível definir os plugins de buscas que serão utilizados, bem como os tipos de dispositivos, credenciais, chaves SSH e authorized keys que serão identificados. Finalmente, é possível também configurar períodos específicos e traffic shape para os scans, com o objetivo de evitar DoS na rede.

A solução pode também se conectar ao dispositivo de rede por meio do seu protocolo padrão e de um pool de portas de conectividade, sem a necessidade de instalação de um agente local, e com a possibilidade de adicionar um pool de credenciais para a varredura. 

Os casos de sessão remota ou visualização de senha podem respeitar fluxos de aprovação multinível e validação das justificativas fornecidas pelo usuário solicitante, e alertadas via e-mail ou SMS. As respostas de solicitações pelo usuário aprovador podem ser realizadas por resposta ao e-mail ou SMS, além do link incluído na mensagem.

Uma das principais funcionalidades do senhasegura é o recurso de gravação e armazenamento de todas as sessões remotas realizadas por meio de proxies transparentes. Os arquivos de vídeo de sessões possuem alta taxa de compressão, permitindo reduzir custos de armazenamento e aumentar o desempenho na geração dos arquivos de vídeos.

A função Livestream permite à área de Segurança da Informação acompanhar as atividades do usuário e detectar eventos suspeitos em tempo real, inclusive com a possibilidade de pausar ou encerrar a sessão do usuário de forma simples e rápida.

 Além disso, um administrador pode retomar o controle ou até bloquear uma sessão remota de usuário em uma série de ambientes ou sistemas operacionais. Interações no Windows podem ser bloqueadas pelo Reconhecimento Ótico de Caracteres (OCR).

Todas as entradas de texto, além das ações registradas em log, são indexadas juntamente com o tempo de sessão do vídeo, permitindo pesquisar qualquer comando. Dessa maneira, é possível encontrar de forma rápida qualquer comando executado durante uma sessão remota.

• Conclusão

Lendo este artigo, você viu que:

• RDP e SSH são protocolos utilizados para proteger instituições de riscos associados ao trabalho remoto;
• O SSH foi desenvolvido para acessar o servidor Linux, mas pode ser utilizado em outros servidores de sistema operacional;
• Essa ferramenta conta com o modelo de autenticação cliente/servidor e substitui as credenciais tradicionais por chaves públicas e privadas;
• SSH é utilizado para acessar remotamente uma conta de hospedagem e executar comandos;
• O SSH pode proteger uma organização de: roteamento de origem de IP por agentes mal-intencionados, ataques com falsificação de DNS, manipulação de dados em roteadores, espionagem e falsificação de IP; 
• Entre as melhores práticas para segurança SSH, destaca-se o uso da versão 2 do protocolo;
• O RDP é um protocolo muito difundido, por esse motivo, é alvo de ataques com frequência;
• Assim como o SSH, é uma ferramenta utilizada para acessar as máquinas fora do ambiente físico da organização;
• Suas vantagens incluem: segurança na conexão, mobilidade e excelente relação custo-benefício;
• O SSH é mais seguro que o RPD, porém também é mais complexo tecnicamente;
• Para evitar ameaças, os padrões do RDP devem ser configurados nas Opções de Diretiva de Grupo e aplicados por meio do Active Directory. Também é importante se atentar a fatores como vulnerabilidades, aos clientes e ao licenciamento;
• É possível contratar um serviço de diretório em nuvem para proporcionar mais segurança ao RDP e SSH.

Agora que você conferiu nossas informações sobre RDP e SSH, compartilhe este texto com outra pessoa interessada no tema.

O assunto guerra cibernética veio à tona recentemente devido aos ataques que antecederam o conflito entre a Rússia e a Ucrânia. Porém, esse conceito não é novo e a Ucrânia não é o primeiro país a sofrer com ataques cibernéticos motivados por razões políticas.

Apesar disso, a definição das ações que envolvem uma guerra cibernética ainda gera polêmica entre os especialistas, e muitas pessoas podem confundir com ciberterrorismo, conforme explicaremos nos próximos tópicos.

Em contrapartida, sabemos que seus danos ultrapassam uma ação de ataque cibernético e que envolve motivações específicas. 

Neste artigo, vamos abordar o conceito de guerra cibernética, apontar seus objetivos e de que maneira ela pode impactar na vida da população. Também trazemos inúmeras estatísticas importantes sobre o tema. Para facilitar sua compreensão, dividimos nosso texto por itens: 

• O que é a guerra cibernética?

• Quais os principais objetivos de uma guerra cibernética?

• Como ela surgiu?

• Como acontece uma guerra cibernética?

• Tipos de ataques mais comuns em uma guerra cibernética

• Gangues hackers associadas a governos

• Setores atacados em uma guerra cibernética 

• Fatos e dados sobre guerras cibernéticas

• Stuxnet: o mais famoso evento ligado a guerras cibernéticas

• Ciberterrorismo é sinônimo de guerra cibernética?

• Cibercrime, ciberespionagem ou ciberguerra?

• Ciberataque e ciberdefesa

• Cibersegurança como prioridade da Anatel (Brasil)

• Ordem Executiva de Biden

• Rússia e Ucrânia: perspectivas sobre novos ataques cibernéticos

• Sobre o senhasegura

• Conclusão

Boa leitura!

O que é a guerra cibernética?

Uma guerra cibernética consiste em um ou vários ataques cibernéticos que tenham determinado país como alvo, podendo impactar em sua infraestrutura governamental e civil e prejudicar o Estado, chegando a colocar vidas em risco.

Especialistas ainda não entraram em um consenso sobre como definir quais procedimentos se relacionam com esse conceito. 

O Departamento de Defesa dos EUA (DoD) entende como guerra cibernética atividades maliciosas na internet que podem ameaçar a segurança nacional, sem entrar em detalhes esclarecedores acerca dessa definição. Porém, há quem interprete a guerra cibernética como uma ação que pode ocasionar morte. 

Na guerra cibernética, um país ataca o outro, promovendo a hostilidade, e muitas vezes essa iniciativa parte de uma organização terrorista ou agentes não estatais. 

Recentemente, diversos casos de guerra cibernética foram noticiados. Contudo, ainda não há unanimidade na hora de definir quando um ataque cibernético se trata, na verdade, de uma guerra cibernética. 

Quais os principais objetivos de uma guerra cibernética?

Existem vários motivos para uma guerra cibernética. Muitas vezes, os agentes maliciosos podem estar determinados a buscar vantagens em confrontos reais. É o que ocorre quando os centros militares dos países são alvos dos ataques, que têm como finalidade impactar em sua estratégia e operações.

Outro objetivo da guerra cibernética é impressionar as pessoas que vivem na nação-alvo, causando problemas para os civis, que podem sofrer com falta de internet e energia, por exemplo. Nesses casos, quem ataca espera que o governo seja pressionado pelos populares e faça o que for necessário para colocar fim ao conflito.

Outra motivação relacionada com uma guerra cibernética é a sabotagem de indústrias adversárias com o intuito de inviabilizar a realização de seus projetos. 

Um exemplo ocorreu no Irã, em 2010, quando foi implantado o vírus Stuxnet nos sistemas de controle das centrífugas de enriquecimento de urânio. A ideia era interferir nos seus motores e promover estragos no interior da usina.

Como não havia acesso à internet, acredita-se que o vírus tenha sido implantado por uma pessoa infiltrada. E mais: estamos falando de uma ameaça altamente complexa, que provavelmente foi encomendada por uma nação interessada em impactar nas ações nucleares do Irã. 

Uma guerra cibernética sempre resulta de uma tensão entre os países envolvidos. A atual guerra da Ucrânia é um exemplo típico: antes da invasão russa, esse país já era alvo de ataques aos seus sistemas digitais, o que deve continuar ocorrendo. 

Como ela surgiu?

A preocupação com a guerra cibernética é algo recente. Não faz muito tempo que as pessoas começaram a se questionar se seria possível ataques de agentes mal-intencionados que deixassem uma cidade inteira sem energia elétrica ou impossibilitassem o funcionamento dos caixas eletrônicos de uma nação.

Nos dias atuais, essas não são apenas hipóteses remotas, mas fatos concretizados. Apesar de parecer elemento de uma narrativa distópica, a guerra cibernética é real e suas consequências ultrapassam o que costuma ser noticiado como uma invasão hacker.  

Embora não tenhamos casos comprovados de mortes relacionadas à ataques cibernéticos, uma única ação maliciosa já provocou a perda de 10 bilhões de dólares. 

Na prática, empresas de todos os portes podem ter suas estruturas comprometidas com o objetivo de prejudicar um governo.

Além disso, a guerra cibernética está se tornando cada vez mais ameaçadora, especialmente com sua frequente evolução em países como Estados Unidos, Rússia, China, Coreia do Norte e Irã. 

Como acontece uma guerra cibernética?

Para promover uma guerra cibernética, os hackers podem prejudicar um país atacando alvos estratégicos e afetando a rotina de toda a população ou reduzindo os recursos das forças armadas com a finalidade de pressionar seus governantes a acabarem com o conflito.

Isso significa que podem agir sob o sistema de comunicações da nação-alvo, interferindo inclusive nos seus meios de informação e comunicação. Também são comuns ataques que afetam o fornecimento de energia elétrica, causando grandes transtornos paras as pessoas. 

Outro objetivo de uma guerra cibernética é invadir sistemas das nações rivais, tendo acesso a segredos estratégicos e influenciando suas operações. 

Devido ao potencial de uma guerra cibernética, muitos países contam com serviços de inteligência que têm a missão de prevenir ameaças.  Confira a seguir como ocorre um ciberataque:

• Em primeiro lugar, os hackers avaliam informações existentes sobre seu alvo, a fim de definir sua frente de ataque. 

• Em seguida, é encontrado o ponto fraco da rede, o que pode ser feito por diferentes métodos, como replicar um site usado pela vítima, ou enviar um anexo com vírus em um e-mail.

• Depois, o agente malicioso tenta explorar essa vulnerabilidade a fim de conseguir um acesso não autorizado.

• Por fim, realiza a atividade que deseja dentro do sistema.

Tipos de ataques mais comuns em uma guerra cibernética

Assim como os demais ataques hacker, uma guerra cibernética pode incluir uma série de ações. Uma delas é sobrecarregar um endereço de web, utilizando diversas máquinas para acessá-lo.

Com milhões de tentativas de acesso por segundo, é possível paralisar o servidor que opera o recurso e ocasionar a interrupção do serviço. 

 Esse tipo de ação, em uma guerra cibernética, pode ter a finalidade de tirar sites do governo do ar para comprometer os serviços e informações direcionados à população e causar confusão.

Outro tipo comum de ataque são as fake news, boatos levados a público com o interesse de causar desinformação, gerar tensão e propiciar um clima de desconfiança nas pessoas em relação aos seus governantes, para que estes não obtenham apoio popular. 

Em uma guerra cibernética, os hackers ainda podem atuar no sentido de conseguirem obter informações sensíveis do seu alvo, como dados estratégicos sobre a guerra. 

Outra ação hacker bastante grave quando o assunto é guerra cibernética, é a interferência na infraestrutura da população, que paralisa serviços como a distribuição de energia elétrica ou de internet, com o objetivo de colocar a população contra seu governo.

Além desses dois exemplos, os hackers podem interferir nos serviços de distribuição de água potável, serviços de segurança e mercado financeiro. 

Gangues hackers associadas a governos

O governo russo não tomou nenhuma medida contra gangues de ransomware e cibercrime instalados no país, e o favor aparentemente vem sendo retribuído pela gangue Conti, no atual contexto da invasão da Ucrânia.

Esse grupo ficou conhecido por atacar instalações médicas e agências policiais em 2020, explorar a vulnerabilidade Log4J para efetuar ataques de ransomware e vitimar o Executivo de Serviços de Saúde da Irlanda, entre outros alvos.

Recentemente, a gangue veio a público por meio de seu dark website, utilizado para receber pagamentos de suas vítimas e postar documentos privados dos que não pagam resgate, e anunciou apoio ao governo russo e o objetivo de promover uma retaliação.

Por sua vez, o governo dos Estados Unidos avisou às organizações do país para se prepararem para uma possível resposta.

Conforme sugerimos, o governo russo opta por ignorar as ações da gangue Conti, contudo, tem-se questionado se esse vínculo não é mais forte do que se pensava, devido ao atual posicionamento patriota do grupo.

Em contrapartida, a gangue Conti reforça sua independência do governo russo ao mesmo tempo em que se declara protetora dos cidadãos pacíficos da Rússia e promete responder a ataques ocidentais a regiões de idioma russo.

Do lado dos EUA, o grupo Anonymous exigiu a remoção de ISPs russos e do site de notícias Rússia Today, sob a ameaça de invadir o site do Ministério de Defesa da Rússia.

Um relatório recente apontou que grupos de hackers associados ao governo da Coreia do Norte estão alugando ferramentas de hackers de elite e acesso a redes hackeadas dos operadores do botnet TrickBot.

O Anchor aparentemente foi desenvolvido para gangues de hackers interessadas em espionagem econômica e operadores de linhagens de malware POS, mas teria sido aproveitado por grupos de hackers de estados-nação. 

De acordo com um relatório publicado pela startup de segurança cibernética SentinelOne, o Lazarus Group, gangue de cibercrime ligada à Coreia do Norte, teria alugado acesso a um sistema infectado por meio do botnet TrickBot e usado a estrutura de ataque Anchor com o objetivo de instalar o PowerRatankba, um backdoor do PowerShell na rede de uma organização.

Outra gangue de cibercrime liderada pela Rússia é o REvil, que utilizava o site “Happy Blog” para extorquir empresas e vazar seus dados.

Um dos seus ataques, que teve como alvo o Oleoduto Colonial, levou à falta de gás na costa leste dos Estados Unidos. De acordo com autoridades, esse ataque usou um software de criptografia chamado DarkSide, criado por membros do REvil.

Na ocasião, autoridades policiais e de inteligência impediram a gangue de agir contra outras empresas e, depois que o grupo comprometeu a empresa de gerenciamento de software dos Kaseya, o governo dos EUA tenta impedir que ele paralise organizações no mundo todo.

Setores atacados em uma guerra cibernética

Em uma guerra cibernética, existem setores de infraestrutura crítica, que são aqueles geralmente atacados por hackers com o objetivo de causar instabilidade no governo adversário.

Esses setores consistem em serviços vitais para a população de um país, cuja interrupção poderia impactar na segurança, saúde pública, economia ou outras áreas essenciais na rotina das pessoas. 

Entre as infraestruturas críticas, destacam-se sistemas hidrelétricos e energéticos, rede de água, serviços de transporte e comunicação, sistemas governamentais e militares e serviços de emergência, que podem ser paralisados, impactando toda a população. 

De acordo com a Agência de Segurança Cibernética e Infraestrutura (Cisa) dos EUA, existem 16 setores de infraestrutura crítica vitais para esse país e protegidos pela Cisa. São eles:

• Setor Químico;

• Setor de Instalações Comerciais;

• Setor de Comunicações;

• Setor de Manufatura Crítico;

• Setor de Barragens;

• Setor de Base Industrial de Defesa;

• Setor de Serviços de Emergência;

• Setor de Energia;

• Setor de Serviços Financeiros;

• Setor de Alimentos e Agricultura;

• Setor de Instalações Governamentais;

• Setor de Saúde e Saúde Pública;

• Setor de Tecnologia da Informação;

• Reatores Nucleares, Materiais e Setor de Resíduos;

• Setor de Sistemas de Transporte; e

• Setor de Sistemas de Água e Esgoto.

Além disso, em 2010, a empresa de segurança norte-americana McAffee emitiu um relatório chamado “Sob Fogo Cruzado. Infraestrutura Crítica na Era da Guerra Cibernética”. 

Para isso, avaliou-se as ameaças que existem sobre as estruturas críticas, com base em informações concedidas por 600 executivos de TI sobre ataques cibernéticos e práticas de segurança.

Essa análise permitiu concluir que as estruturas críticas são alvos constantes de ciberataques com envolvimento de outras nações, ainda que isso não seja declarado.

Acrescentamos ainda que os cibercriminosos podem apresentar diversos perfis e modos de atuação, confira:

• Soldados cibernéticos: esses hackers comumente são patrocinados por governos e direcionam seus ataques com ações que incluem espionagem, exposição de dados sigilosos, extorsões e destruição de infraestruturas críticas. 

• Crimes cibernéticos organizados: esses agentes maliciosos efetuam ataques em grande escala, tendo acesso a dados de suas vítimas e realizando extorsões, entre outras ações com o intuito de obter lucros.

• Hacktivistas: aqui nos referimos a grupos de hackers que agem em função de uma ideologia política e costumam utilizar meios digitais não-violentos, porém ilegais, em seus ataques. Uma de suas atuações mais comuns consiste em usar recursos que permitam controlar milhões de dispositivos.

• Ciberterroristas: os ciberterroristas agem espalhando o terror entre suas vítimas. Sua atuação inclui a interrupção de serviços de internet, como sites, roubo e exposição de dados confidenciais, ataques a instituições financeiras e outros setores de infraestrutura crítica. 

Fatos e dados sobre guerras cibernéticas

Existem muitos dados relevantes acerca das guerras cibernéticas. Confira a seguir alguns deles:

• 26,3% dos ataques de guerra cibernética têm os Estados Unidos como alvo.

• 20% das organizações globais acreditam que a espionagem cibernética é sua maior ameaça.

• Até 64% das organizações do mundo já foram alvo de algum tipo de ataque cibernético.

• Acredita-se que a China e a Rússia estejam ligadas a até 35% de todos os ataques cibernéticos com razões políticas.

• Os ataques relacionados a espionagem totalizam 11% das ações promovidas em uma guerra cibernética e têm o objetivo de coletar informações de pessoas, empresas e governos.

• O Irã é um dos países que mais crescem quando o assunto é guerra cibernética, desde 2009. Em 2018, 144 universidades e 33 empresas dos EUA foram alvo de hackers iranianos, que roubaram US$ 3,4 bilhões em dados.

• Em 2018, dois chineses foram acusados de hackear organizações norte-americanas, japonesas, alemãs e canadenses, entre outras. Entre seus alvos, destaca-se a NASA.

• Acredita-se que 69% dos ataques cibernéticos e violações sofridas pelos Estados Unidos em 2019 tenham sido causados por hackers que estavam no exterior, o que torna mais difícil rastreá-los.

• Em 2015, foi realizado o acordo cibernético Obama-Xi entre a China e os Estados Unidos, que contribuiu para reduzir os ataques direcionados a alvos norte-americanos. Porém, o trato representou apenas uma trégua entre os dois países. Em 2018, hackers chineses tiveram como alvo cadeias de hotéis voltadas a hóspedes VIPs e empresas de telecomunicações dos Estados Unidos.

• Entre os anos de 2009 e 2018, o número de ataques relacionados à guerra cibernética aumentou em até 440%, envolvendo no mínimo 56 países.

• De acordo com informações do New York Times, acredita-se que desde 2015, a Rússia tenha apoiado um grupo de 400 hackers que se dedicaram integralmente a ciberataques.

• Conforme informações da Universidade de Maryland, a cada 39 segundos, alguém é vítima de um ataque cibernético.

• 62% dos hacks consistem em ataques de engenharia social, como phishing. Além disso, ransomware e ataques DDoS também são muito comuns. 

Stuxnet: uma das mais emblemáticas guerras cibernéticas

Em 2010, foi identificada uma praga que tem o potencial de impactar indústrias. O Stuxnet não é utilizado para atacar computadores domésticos, mas sim sistemas de controle industrial da Siemens (SCADA).

Na prática, esse programa malicioso é espelhado por meio de pendrives e conecta os computadores invadidos a um sistema remoto, para onde são enviadas informações roubadas, como relatórios. Com ele, os hackers também conseguem acessar as configurações do sistema SCADA remotamente.

Esse sistema é utilizado por indústrias de todos os portes com a finalidade de controlar processos automatizados na linha de produção, sem a presença humana. Em 2010, o Stuxnet foi identificado nas instalações nucleares iranianas de Natanz, além de computadores localizados na China, Índia, Indonésia, Austrália, Paquistão, Inglaterra e Estados Unidos.

Conforme mencionamos anteriormente, acredita-se que o vírus tenha sido inserido por meio de um dispositivo instalado nos computadores da usina, uma vez que não havia internet no local. Especula-se que a ação tenha sido encomendada por um país interessado nas centrífugas de enriquecimento de urânio iranianas.

Confira a seguir outros casos de ataques ligados à guerra cibernética:

• Ataque à Sony

Depois do lançamento do filme The Interview, que retratou Kim Jong Un de maneira negativa, foi realizado um ataque contra a Sony Pictures supostamente por hackers do governo norte-coreano.

De acordo com o FBI, há semelhanças entre essa ação e ataques de malware executados anteriormente por norte-coreanos, incluindo mecanismos de exclusão de dados, código e algoritmos de criptografia.

• Governo estoniano

No ano de 2007, a Estônia transferiu o Soldado de Bronze, uma estátua que representa um soldado soviético usando uniforme, do centro de Tallinn para um cemitério militar. Posteriormente, o país sofreu uma série de ataques cibernéticos, que sobrecarregaram os sites do governo, dos bancos e dos meios de comunicação com tráfego em ataques de negação de serviço, deixando-os fora do ar.

• Forças de foguetes a artilharias ucranianas

De acordo com a CrowdStrike, um grupo organizado de hackers russos denominado Fancy Bear teria atacado forças de foguetes e artilharia ucranianas entre os anos de 2014 e 2016.

Acredita-se que um aplicativo Android usado pela unidade de artilharia D-30 tenha sido utilizado para espalhar o malware X-Agent.

Esse ataque foi bem-sucedido uma vez que destruiu mais de 80% dos obuses D-30 da Ucrânia.

• Governo do Catar

Em 2018, o empresário americano Elliott Broidy moveu um processo contra o governo do Catar, alegando que este havia roubado e vazado seus e-mails com o objetivo de desacreditá-lo.

A acusação envolvia o irmão do emir do Catar, que supostamente teria organizado uma campanha de guerra cibernética, junto a outras lideranças do país, e feito 1.200 vítimas, conhecidas como “Inimigos do Catar”.

• Google

Ativistas de direitos humanos residentes na China tiveram seus dados violados em um ciberataque direcionado à divisão chinesa do Google em 2009. Essa invasão deu acesso a códigos internos dos serviços da organização e e-mails dos usuários.

Não foram identificados os responsáveis, mas acredita-se que a iniciativa tenha partido de agentes chineses interessados em registrar ações de adversários do regime.

• Spyware Pegasus

Em setembro de 2018, pesquisadores afirmaram que 36 governos atacaram alvos em pelo menos 45 países com o spyware Pegasus.

De acordo com autoridades suíças, dois espiões russos foram localizados na Holanda, preparando-se para atacarem o laboratório de defesa suíço.

• Chamadas telefônicas

Em outubro de 2018, o ex-presidente norte-americano Donald Trump foi alertado que a Rússia e a China tinham acesso à chamadas realizadas de um telefone não seguro.

Na mesma época, a Força de Defesa de Israel solicitou o desenvolvimento de projetos que permitissem monitorar a correspondência de usuários de redes sociais.

• Cartéis de drogas

Após a morte de um jornalista que investigava cartéis de drogas em 2018, um grupo ligado ao governo mexicano teria usado spyware para atacar seus colegas. 

• Rede interbancária chilena

Depois de manipular um funcionário para instalar malware durante uma entrevista de emprego falsa, hackers norte-coreanos invadiram a rede interbancária chilena em dezembro de 2018.

No mesmo período, os Estados Unidos juntamente com Canadá, Reino Unido, Austrália e Nova Zelândia acusaram a China de promover espionagem cibernética por 12 anos com o objetivo de descobrir o IP e informações comerciais sigilosas de organizações de 12 países.

• Políticos alemães

Centenas de políticos alemães tiveram suas comunicações privadas, dados financeiros e outras informações pessoais roubados em janeiro de 2019. Esse ataque teve como alvos políticos filiados em todos os partidos, com exceção do AfD, de extrema direita.

• Aviação Civil da ONU

No fim de 2016, Organizações de Aviação Civil da ONU foram atacadas por hackers ligados ao governo chinês com o objetivo de usarem seu acesso para espalhar malware para sites de diversos governos.

• Criptomoedas

Em março de 2019, o Conselho de Segurança da ONU revelou que a Coréia do Norte havia utilizado hackers para impedir sanções e roubado USD 670 milhões em moeda e criptomoeda em um período de três anos, entre 2015 e 2018.

• Anistia internacional de Hong Kong

Em abril de 2019, o escritório da Anistia Internacional em Hong Kong revelou que foi alvo de cibercriminosos chineses que tiveram acesso a dados pessoais de seus apoiadores.

No mesmo período, o Ministério da Defesa da Lituânia foi alvo de uma campanha de desinformação, que espalhou rumores de corrupção utilizando endereços de e-mails falsificados.

• Mais informações falsas

Em maio de 2019, o Irã espalhou notícias falsas sobre os EUA, Israel e Arábia Saudita utilizando uma rede de sites e contas desenvolvidas com essa finalidade específica.

• Microsoft

Em julho de 2019, a Microsoft afirmou que havia identificado cerca de 800 ataques cibernéticos realizados no ano anterior, que tinham como alvos ONGs, grupos de discussão e outros tipos de organização política. 

Acredita-se que a origem da maior parte desses ataques tenha sido na Rússia, Coréia do Norte e Irã.

• ProtonMail

Também em julho de 2019, o provedor de e-mail ProntonMail foi alvo de um grupo patrocinado por um governo que buscava acessar contas de ex-oficiais de inteligência e repórteres para obter informações sobre ações da inteligência russa.

• Internet das coisas

Em agosto de 2019, hackers russos utilizaram dispositivos IOT vulneráveis para acessarem redes corporativas. Nesse mesmo período, hackers associados ao governo da China atacaram institutos do câncer norte-americanos para obter informações relacionadas à pesquisa contra a doença.

• Interrupção de operações comerciais da Huawei

Em setembro de 2019, o governo dos EUA foi acusado pela Huawei de invadir a sua intranet e sistemas internos com o objetivo de impossibilitar suas operações comerciais.

Ciberterrorismo é sinônimo de guerra cibernética?

Guerra cibernética e ciberterrorismo são conceitos normalmente associados, mas não são sinônimos. Quando falamos em guerra cibernética, nos referimos a ataques motivados por conflitos entre países, possivelmente encomendados por governos com intenções motivadas por fatores políticos.

Uma guerra cibernética envolve ataques cibernéticos, mas nem todos os ataques cibernéticos se resumem a uma disputa entre países rivais. Ou seja, um dos fatores que diferenciam um ataque cibernético de uma guerra cibernética é a intenção.

Já o ciberterrorismo ou terrorismo cibernético consiste em uma ação pontual com consequências que podem ser devastadoras, como é o caso de ataques terroristas convencionais.

O conceito de ciberterrorismo deu origem ao ciberterror, que define a maneira como as pessoas vivenciam o medo de um ataque, especialmente quando vivem em um país que está no meio de um conflito internacional.

Os alvos dos ciberterroristas incluem sistemas de segurança pública, governos e hospitais, e seu objetivo pode ser comprometer a imagem dos governantes de um país diante de sua população. Assim como ocorre nas guerras cibernéticas, os atos de terrorismo cibernético podem estar relacionados a motivações políticas. Porém, também podem ser desencadeados por razões ideológicas.

Cibercrime, ciberespionagem ou ciberguerra?

Guerra cibernética é uma expressão polêmica e frequentemente questionada por especialistas em cibersegurança. Muitos acreditam que os atos assim definidos caberiam em classificações como crime, terrorismo e espionagem, mas não guerra. Isso porque uma guerra envolve questões legais, políticas e militares mais complexas. 

Uma justificativa é que um ato de espionagem por si só, seja ele por meio do ciberespaço ou com métodos tradicionais, seriam insuficientes para levar a uma guerra. Exemplo disso são as acusações de ciberespionagem chinesa, contra países como Estados Unidos, Alemanha e Índia, que não tiveram o poder de prejudicar as relações diplomáticas com essas nações. 

Do mesmo modo, cibercrimes são vistos como uma questão relacionada à lei e não aos militares. Em contrapartida, se há um ataque cibernético de uma nação contra a outra, tendo como alvo estruturas críticas como as que mencionamos neste artigo, e a atribuição for comprovada, a ação equivale a um ataque armado. 

Especialistas em conflitos armados no âmbito da legislação questionam se atividades cibernéticas poderiam ocasionar uma guerra, argumentando que os recursos utilizados não dão origem a um novo tipo de guerra. 

As guerras cibernéticas geralmente antecedem os conflitos armados e continuam depois que eles se encerram, como é o caso do conflito entre Israel e o Hezbollah no Líbano em 2006, e da invasão russa da Geórgia em 2008, mas não é possível afirmar que sejam as causadoras desses conflitos. 

Essa reflexão, contudo, nos leva a crer que a guerra cibernética integrará as fases iniciais dos conflitos futuros. 

Ciberataque e ciberdefesa

A guerra cibernética cresce dia após dia, impondo uma série de desafios para quem ataca e para quem assume a função de defesa. Isso porque os ciberatacantes precisam superar as ações de ciberdefesa, e estas devem enfrentá-los, protegendo redes vulneráveis que ainda são administradas por usuários humanos.

Um ciberataque, para ser eficaz, precisa ser bem-sucedido uma única vez, enquanto a ciberdefesa deve ter sucessos repetidos. 

Outra característica de uma guerra cibernética é a necessidade de diferenciar combatentes de usuários comuns, afinal, o ciberespaço está cada vez mais acessível para qualquer pessoa que deseja utilizá-lo. Isso possibilita que os civis participem de ciberataques contra organizações governamentais e não governamentais, entre outros alvos. 

Cibersegurança como prioridade da Anatel (Brasil)

A cibersegurança é uma das prioridades da Agência Nacional de Telecomunicações (Anatel) e tornou-se tema do Ato de Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações e do Regulamento de Segurança Cibernética Aplicada ao Setor de Comunicações. 

Confira, a seguir, as políticas públicas adotadas pela Agência Nacional de Telecomunicações: 

• Estratégia brasileira para transformação digital

A Estratégia brasileira para transformação digital foi aprovada pela Portaria do então Ministério das Ciência, Tecnologia, Inovações e Comunicações (MCTIC) nº 1.556/2018, e tem o intuito de mapear os desafios da transformação digital no Brasil.

Sua visão de futuro envolve oito estratégias relacionadas à confiança no ambiente digital, com base na proteção de direitos e privacidade e defesa e segurança no ambiente digital. São elas:

• Criar uma política nacional de segurança cibernética, com um órgão responsável por uma articulação nacional que envolva os setores privado e público;
• Estabelecer um marco legal para a segurança cibernética no país, que possibilite o avanço de novos meios de investigação para o mundo digital em harmonia com as diretrizes do direito existentes;
• Criar plano nacional que permita prevenir e recuperar incidentes, inclusive os que possam envolver infraestruturas críticas;
• Criar um elo de colaboração entre entidades governamentais, entes federados e setor privado que possibilite a adoção e o compartilhamento das melhores práticas de segurança cibernética, incluindo padrões de segurança, proteção da infraestrutura crítica e resposta a incidentes;
• Capacitar agentes públicos para prevenir ameaças e responder a ataques cibernéticos e fomentar parcerias para a capacitação de profissionais do setor privado;
• Conscientizar a população brasileira sobre a segurança da informação por meio de campanhas educativas;
• Investir em pesquisas na área de segurança cibernética, capacitando recursos humanos e promovendo a autonomia tecnológica nacional;
• Fortalecer a cooperação internacional entre provedores de acesso e conteúdo e autoridades de países distintos, a fim de assegurar a aplicação da lei e resolver crimes e ataques cibernéticos de caráter transnacional.

• Política nacional de segurança da informação (PNSI)

A política nacional de segurança da informação foi promulgada em 2018 por meio do Decreto nº9.637/2018 com o objetivo de concretizar uma das ações indicadas na E-Digital. Deve incluir toda a administração pública e envolve:

• Segurança cibernética;
• Defesa cibernética;
• Segurança física e proteção de dados organizacionais; e
• Ações desenvolvidas para garantir a disponibilidade, a confidencialidade, a autenticidade e a integridade da informação.

A Política Nacional de Segurança da Informação é equipada por planos nacionais e pela Estratégia Nacional de Segurança da Informação, que, conforme sugerimos, será constituída em módulos.

Esses módulos devem conter iniciativas estratégicas e metas associadas à segurança da informação, conciliadas com os programas do governo federal e políticas públicas e abordarão:

• Segurança cibernética;
• Defesa cibernética;
• Segurança de infraestruturas críticas;
• Segurança da informação sigilosa; e
• Proteção contra vazamento de dados.

• Estratégia Nacional de Segurança Cibernética

A Estratégia Nacional de Segurança Cibernética — E-Ciber — envolve iniciativas estratégicas do governo brasileiro associadas à área de segurança da informação, que devem ser implantadas até 2023.

Esse é o primeiro módulo da Estratégia Nacional de Segurança da Informação, que deve modificar o posicionamento de pessoas e entidades acerca desse tema.

Tem como objetivo orientar a população sobre as iniciativas do Governo Federal relacionadas à segurança cibernética. 

Os objetivos da Estratégia Nacional de Segurança Cibernética são:

• Garantir mais confiabilidade e prosperidade para o Brasil no ambiente digital;
• Tornar o país mais resiliente a riscos cibernéticos;
• Fortalecer sua atuação no cenário internacional quando o assunto é segurança cibernética.

Para isso, foram desenvolvidas dez estratégias:

1. Fortalecer as iniciativas que promovam a segurança cibernética;
2. Centralizar o modelo de governança no país;
3. Reunir o setor público, o privado e a sociedade em um ambiente seguro, confiável, colaborativo e participativo;
4. Aumentar o nível de segurança do governo;
5. Proporcionar mais proteção às infraestruturas críticas do país;
6. Aperfeiçoar os termos legais acerca de segurança cibernética;
7. Estimular a criação de soluções inovadoras relacionadas a cibersegurança;
8. Aumentar a cooperação internacional do país quando o assunto é cibersegurança;
9. Aumentar a parceria entre os setores público e privado, a sociedade e a academia para promover a cibersegurança;
10. Aumentar a maturidade da população em termos de cibersegurança.

Já o papel das agências reguladoras sobre o setor e a segurança de infraestruturas críticas envolve, entre outros aspectos:

• Criar uma estrutura de governança de segurança cibernética nas organizações de infraestruturas críticas, com regras de segurança a serem respeitadas por colaboradores, terceirizados e fornecedores;
• Realizar anualmente auditorias externas em cibersegurança;
• Adotar padrões de cibersegurança na hora de desenvolver novos projetos, programas, ações e produtos;
• Cada empresa e setor deve contar com Grupos de Resposta a Incidentes de Segurança em Computadores, que se comunicam e colaboram entre si;
• Promover o treinamento dos funcionários;
• Sempre que houver um incidente cibernético, é necessário comunicar o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo;
• Caso haja um vazamento que comprometa os dados dos consumidores, eles também devem ser notificados;
• É fundamental que se promovam campanhas de conscientização voltadas aos usuários sobre os cuidados com a segurança cibernética;
• Fornecedores de equipamentos, programas e serviços computacionais devem tomar todas as medidas recomendadas pelos órgãos nacionais e internacionais para garantir a segurança da informação;
• Também é fundamental elaborar planos de recuperação de ambientes críticos e resposta a incidentes.

Ordem Executiva de Biden

O presidente dos Estados Unidos, Joe Biden, lançou uma Ordem Executiva (OE) com o objetivo de ajudar a detectar, prevenir e responder a ataques cibernéticos recorrentes no país.

Nesse sentido, serão aplicadas lições aprendidas em campanhas de espionagem cibernética recentes para tornarem os sistemas do governo norte-americano mais difíceis de invadir.

Para isso, foi necessário modernizar sua segurança cibernética utilizando conceitos como a arquitetura de confiança zero e investir US$ 70 bilhões em tecnologia da informação, estimulando o desenvolvimento de softwares com foco em segurança desde o início.

Com essa Ordem Executiva, o governo dos Estados Unidos criou metas para responder a ataques cibernéticos de modo efetivo e ágil e todos os provedores de TI devem relatar incidentes com as entidades governamentais. 

Além disso, diferentes entidades devem responder a incidentes cibernéticos em conjunto, seguindo um manual que padroniza os procedimentos a serem adotados.

De acordo com a Ordem Executiva, é importante que a confiança depositada na infraestrutura digital do governo seja proporcional à sua confiabilidade e transparência e as possíveis consequências de ter essa confiança mal colocada.

Essa medida é apenas a primeira ação para prevenir e enfrentar ataques à cadeia de suprimentos dos países e deve impactar nos seguintes setores:

Agências executivas federais, que devem modernizar seus métodos de cibersegurança e ambientes de TI;

Fornecedores do governo, que terão novos padrões de segurança cibernética inseridos nos termos dos contratos, sendo obrigados a compartilharem mais informações sobre incidentes cibernéticos; e

Empresas de software e dispositivos IoT, que irão lidar com novos padrões de avaliação e critérios de segurança, garantindo transparência e segurança ao usuário.

A Ordem Executiva do governo dos EUA determina metas de segurança que devem ser viabilizadas em curto prazo, impactando em primeiro lugar os empreiteiros federais e posteriormente outros setores.

Rússia e Ucrânia: perspectivas sobre novos ataques cibernéticos

Durante uma conferência realizada no início de março de 2022, o diretor de pesquisas da Kaspersky, Constin Raiu, afirmou que a Ucrânia deve sofrer ataques cibernéticos ainda mais sofisticados do que os sofridos até o momento. 

Os pesquisadores que participaram do evento revelaram detalhes sobre os ataques e afirmaram que algumas estratégias utilizadas contra a Ucrânia são inéditas.

Conforme explicaram, para o principal ataque, foi utilizado um wiper similar ao NotPetya usado em 2017. O que também chamou a atenção no atual contexto é a ausência de tendências.

Os ataques estão sendo monitorados, o que permite saber que a maioria vêm da Rússia, Estados Unidos e China.

Sobre o senhasegura

Integramos o MT4 Tecnologia, grupo de empresas de segurança da informação fundado em 2001 e atualmente presente em mais de 50 países. 

Nosso compromisso é proporcionar soberania digital e segurança às organizações que nos contratam, concedendo o controle de ações e dados privilegiados. Desse modo, contribuímos para evitar vazamento e roubo de informações. 

Atuamos acompanhando o ciclo de vida do gerenciamento do acesso privilegiado por meio da automação de máquinas, antes, durante e após os acessos. Com isso, é possível:

• Evitar interrupções das atividades das empresas e aumentar sua produtividade;

• Auditar automaticamente o uso de privilégios;

• Auditar automaticamente alterações privilegiadas para detectar abusos de privilégio;

• Oferecer soluções avançadas de PAM;

• Reduzir riscos;

• Colocar as organizações em conformidade com critérios de auditoria e com padrões como PCI DSS, Sarbanes-Oxley, ISO 27001 e HIPAA.

Conclusão

Lendo esse artigo, você aprendeu que:

• Em uma guerra cibernética há um ou vários ataques cibernéticos tendo nações como alvo;

• Especialistas ainda não chegaram a um consenso sobre esse conceito;

• Acredita-se que uma guerra cibernética tenha o potencial de causar mortes;

• Uma das motivações de quem ataca em uma guerra cibernética é buscar vantagem em confrontos reais;

• Impactar a população de um país para desestabilizar seus governantes é outra causa comum;

• Outra motivação recorrente é a sabotagem de indústrias de países rivais, a fim de inviabilizar seus projetos;

• Um exemplo emblemático de guerra cibernética ocorreu no Irã, em 2010, com a implantação do vírus Stuxnet nos sistemas de controle das centrífugas de enriquecimento de urânio;

• O atual confronto entre a Rússia e a Ucrânia também foi precedido de uma guerra cibernética;

• Guerra cibernética não é um conceito recente;

• Devido ao potencial destrutivo de uma guerra cibernética, muitos países contam com serviços de inteligência que têm a missão de preveni-las;

• Os ataques em uma guerra cibernética podem ser de diversos tipos. Um deles é espalhando fake news sobre um governo;

• Os hackers também podem roubar dados sigilosos e informações estratégicas das nações rivais;

• Em uma guerra cibernética, existem diversos setores de infraestrutura crítica, que são serviços vitais para a população e utilizados por cibercriminosos para gerar vulnerabilidade em seu alvo;

• Os Estados Unidos são alvo de 26,3% dos ataques de guerra cibernética;

• Ataques relacionados à espionagem representam 11% das ações promovidas em uma guerra cibernética;

• Entre 2009 e 2018, o número de ataques relacionados à guerra cibernética aumentaram em até 440%, envolvendo mais de 50 países;

• Ciberterrorismo e guerra cibernética são conceitos próximos, mas não são sinônimos;

• Um dos fatores que diferencia um ataque cibernético de uma guerra cibernética é a intenção;

• As guerras cibernéticas costumam anteceder os conflitos armados e continuar após eles se encerrarem;

• A guerra cibernética representa um grande desafio aos responsáveis pela ciberdefesa e também aos ciberatacantes;

• Acredita-se que os futuros ataques cibernéticos à Ucrânia serão ainda piores do que os sofridos até agora.

Nosso artigo sobre guerra cibernética foi útil para você? Então, compartilhe com outra pessoa que também possa se interessar pelo tema. 

LEIA TAMBÉM NO BLOG DO SENHASEGURA

Alcançando o DevSecOps por meio do PAM

Como gerenciar secrets adequadamente em projetos de desenvolvimento

Dúvidas comuns sobre solução de Gerenciamento de Acessos Privilegiados (PAM)