OPINIÃO As ligações estão vindo de dentro de casa! Ultimamente, os usuários do Outlook têm recebido sua própria versão desse mito clássico do terror urbano. O sistema de e-mail está alertando-os sobre atividades suspeitas em suas contas e fornecendo os endereços IP responsáveis.
Esses, ao que parece, pertencem a uma organização obscura chamada… Microsoft.
O que diabos devemos fazer com essa informação? Isso é um erro no detector de atividade suspeita? Isso é resultado de tentativas de hackers por meio de sistemas comprometidos da Microsoft? A Microsoft está atrapalhando algum tipo de tarefa de gerenciamento? No momento da escrita, ninguém sabe. A Microsoft não ofereceu uma explicação. Isso significa que ninguém pode ter certeza de como reagir. Há claramente algo errado, mas qual é o risco? Se você não sabe, você não faz muito sobre isso. Sábio?
As coisas podem ir para o outro lado. “Por que ninguém está escrevendo sobre isso?” um correspondente perguntou esta semana, continuando a dizer que eles fizeram seu trabalho mais sensível na tecnologia pré-2005 air-gapped da internet.
Por que 2005? Porque essa é aproximadamente a data em que processadores independentes não documentados, como o Management Engine da Intel, começaram a ser amplamente implantados em placas-mãe e CPUs. Essa é uma resposta notável a uma ameaça difícil de enumerar. É possível porque acontece que os fabricantes plantam backdoors secretos em sistemas a mando de agências estatais, mas eles estão vindo atrás de nosso correspondente? Eles estão vindo para você?
Não, eles não são, a menos que você esteja fazendo coisas que interessam às agências estaduais. E se você for, você não pode detê-los por computação vintage. Conversando com amigos ao redor do mundo e com medo do comprometimento da cadeia de suprimentos? Você pode construir uma rede mundial de circuitos de voz criptografados completamente inquebráveis usando ZX Spectrums provenientes do eBay. O Spectrum tem um processador vintage da década de 1970 que garante não ser backdoor, com potência suficiente para fazer a criptografia one-time pad. Não há literalmente nenhum lugar para uma interceptação de hardware ou software se esconder. Mas se suas mensagens forem importantes o suficiente para um invasor, eles roubarão, subornarão ou invadirão os dados antes ou depois de serem criptografados.
Essa equação básica, o custo para o invasor versus o valor do que ele pode obter, é a ajuda de segurança de informação mais barata e eficaz do mercado. Sempre há um custo para um ataque, seja o risco de detecção ou rastreamento, ou o uso de dados exfiltrados que entregam o jogo. Como defensor, você precisa estar na Zona Cachinhos Dourados da paranóia da infosec – nem muito, nem muito pouco, mas na medida certa. Uma visão sóbria de sua atratividade como alvo o levará até lá.
Aplicar isso ao mistério do Outlook ajuda no diagnóstico, mesmo na ausência de qualquer ajuda da Microsoft, os malditos. Finja que você é Evil Haxxor que entrou nos sistemas da Microsoft. Você fez isso para realizar atos aleatórios em usuários aleatórios, arriscando acionar as armadilhas? Os bandidos pagam os custos de oportunidade assim como o resto de nós. O tempo gasto na construção de um compromisso importante não pode ser desperdiçado em resultados de baixo valor, não enquanto o phishing e outras invasões funcionam muito melhor.
Conclusão: cock-up, não criminosos. E assim foi. Quando a Microsoft finalmente respondeu, acenou com a bandeira branca do fiasco. “Estamos trabalhando para resolver um problema de configuração que faz com que alguns clientes recebam essas notificações por engano.”
Veja mais uma das histórias de segurança da semana passada, o velho e cansado conto de plugins WordPress desatualizados que abrem milhões de sites para ataques automatizados. Custo extremamente baixo para le chapeau noir, que pode pegar um roteiro, fazer um café e voltar a uma lista de alvos interessantes que claramente não têm muita noção.
Se você tem uma instância do WordPress, vale a pena a vigilância extra para acompanhar os patches do plug-in? Você pode encontrar uma maneira melhor e mais simples de fazer o que quer que esteja fazendo, ou decidir que não vale a pena fazer. Os engenheiros aeroespaciais sabem que o componente mais seguro e barato para voar é aquele que não existe. Você não precisa entender as vulnerabilidades de plugins para chegar à mesma conclusão, apenas sendo claro sobre o custo das coisas em comparação com o que está em oferta.
Algumas coisas não podem ser ajudadas. Você deve aplicar patches de segurança assim que estiverem disponíveis? Sim claro. Todo mundo diz isso. A menos que eles estejam quebrados, então você deve esperar um pouco para os outros sentirem a dor. Não é uma guerra vencível, e tudo bem.
Se você não é pago para passar todo o seu tempo como profissional de segurança, mas precisa tomar decisões sobre segurança, e isso é a maioria de nós, é um jogo de números.
Pense como um invasor – e seus contadores – e muitas decisões difíceis se tornam mais fáceis. Você não fará todas as escolhas certas, mas se sairá muito melhor do que o average bear. Tudo bem também.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
