O cenário das ameaças cibernéticas continua a ser marcado pelo aumento de ransomware, um software de extorsão que pode bloquear o computador, sendo exigido um resgate para o desbloquear. Fábio Assolini admite que a introdução das criptomoedas não veio ajudar.
As ameaças na área da cibersegurança têm vindo a sofrer grandes alterações?
Não diria que têm existido grandes mudanças, mas sim que algumas ameaças se tornaram mais comuns e outras menos frequentes. Hoje, se olharmos para o cenário global, os ataques de ransomware continuam em alta – têm vindo a ser uma tendência presente e duradoura, que não deve mudar. Mas temos assistido ao aparecimento de novos grupos de ransomware, como resposta ao desaparecimento de outros, antes estabelecidos. Uma tendência que temos registado com mais força é, igualmente, a do aparecimento de grupos de hacktivismo com uma clara agenda política, aumentando os ciberataques contra instituições governamentais, empresas e corporações. Mas, como já referi, agora com uma agenda política. Ou seja, o cenário que vejo, hoje, a nível global é um em que os ataques de ransomware continuam no volume que já havíamos visto antes. A única mudança é que saíram alguns grupos e apareceram outros novos, com um aumento nos ataques de grupos hacktivistas.
Referiu que alguns tipos de ataques diminuíram, que se tornaram menos interessantes para os autores das ameaças. De que tipo?
Os trojans bancários, por exemplo, que é um tipo de ameaça com uma finalidade financeira directa, estão em queda em todo o mundo. Os ataques de ransomware continuam no seu volume, mas agora direccionados.
A pandemia e tudo o que a envolveu – confinamentos, trabalho remoto… – deu às empresas uma nova consciência na área da cibersegurança?
Sim, a pandemia acabou por servir para melhorar o entendimento das questões de segurança das empresas, porque subitamente foram forçadas a colocar os seus funcionários a trabalhar remotamente. Vimos grandes empresas que, num período de um mês, foram obrigadas a colocar trinta mil funcionários a trabalhar em casa. O resultado directo disso foi muito forte, porque precisavam garantir, de forma segura, o acesso desses funcionários. O problema é que, como resposta, do outro lado, houve uma explosão de ciberataques em todo o mundo. Lembro-me no começo da pandemia do aumento exponencial dos ataques direccionados aos utilizadores remotos. A Interpol chegou a lançar um anúncio em países onde detectou um aumento de mais de 60% de invasões. Os criminosos aproveitaram-se do momento em que muitas pessoas estavam distribuídas geograficamente para as infectar.
O efeito da pandemia já passou?
Sim, posso dizer que o impacto da pandemia nos ataques cibernéticos já passou, porque houve um crescimento exponencial, depois uma queda e, mais tarde, com a reabertura, novamente um aumento. Hoje, já estamos nos volumes normais pré-pandemia. Basicamente, a pandemia serviu para melhorar a visão dos gestores: precisavam de investir mais no estado da segurança e na educação dos seus utilizadores.
A inteligência artificial e a aprendizagem de máquina têm sido cada vez mais utilizadas em ataques cibernéticos. Vê essa tendência a evoluir?
Sim, mas ainda estamos num estado inicial. As ferramentas de inteligência artificial que se tornaram populares recentemente ainda não trouxeram um impacto massivo nas questões de defesa e ciberataques. O que nos tem vindo a mostrar é que há um potencial. Hoje, boa parte dos serviços financeiros usa autenticação biométrica, sendo necessário, com a câmara do telemóvel, fazer uma leitura do rosto para, por exemplo, aceder ao homebanking. Os criminosos perceberam que tendo acesso apenas a uma fotografia de alguém, e usando software de inteligência artificial, conseguiriam manipular e simular os serviços de autenticação biométrica, criando movimentos com a cabeça. Olhar para esquerda, para direita, sorrir… esta tecnologia tem possibilitado, em alguns mercados, que a autenticação biométrica seja burlada. Este é apenas um exemplo, existem outros. É uma tendência que sabemos ter vindo para ficar e será necessária uma resposta das empresas que desenvolvem soluções de segurança para mitigar esses tipos de ataques.
Em termos de Internet das coisas, há novos desafios?
Na minha opinião, a responsabilidade maior ainda é do fabricante e o cenário não mudou. Ainda existem muitas vulnerabilidades presentes nesses dispositivos porque os fabricantes têm priorizado os recursos do dispositivo conectado ao invés da segurança. A comunidade de segurança tem apontado problemas e vulnerabilidades nos produtos, mas os fabricantes não se preocupam. Há uma quantidade gigantesca de dispositivos vulneráveis a ataques. Na verdade, são poucos os fabricantes que se preocupam em mudar esse cenário. O fabricante faz um autopatch, ou seja, ao saber que um determinado dispositivo está vulnerável, actualiza-o remotamente sem precisar da interacção ou decisão do utilizador. Depois, esse fabricante deve abrir um programa de ‘bug bounty’ para que a indústria que trabalha em analisar e encontrar vulnerabilidades possa reportar essas vulnerabilidades para serem corrigidas. São duas coisas simples que a maioria dos fabricantes não adopta.
O uso de criptomoedas em actividades criminosas, como pagamento de resgates de ransomware, tem sido uma questão. Quais os desafios enfrentados pela indústria de segurança ao lidar com esse aspecto das ameaças cibernéticas?
Sim, continuam a ser um grande problema porque o avanço e a popularização das criptomoedas facilitou a expansão dos ataques de ransomware a nível global. Hoje, um grupo de cibercriminosos no leste europeu consegue atacar uma empresa na Austrália e, graças às criptomoedas, consegue facilmente receber o pagamento do resgate. O avanço das criptomoedas permitiu isso. De forma lenta, porém, vimos as agências de aplicação da lei, os órgãos policiais do mundo a conseguirem fazer o tracking desses pagamentos em vários casos, conseguindo inclusive bloquear pagamentos. E, hoje, os órgãos policiais estão mais bem preparados para investigar casos que envolvem criptomoedas. Isto levou a que esses grupos de cibercriminosos que dependem de criptomoedas usassem moedas mais difíceis, ou quase impossíveis, de fazer o rastreio – é o caso, por exemplo, do Ethereum. Os órgãos financeiros mundiais têm sido pressionados para mudar esse cenário, para tentar alguma legislação de criptomoedas. Alguns países, como a China, fizeram um bloqueio. Não acredito que banir as criptomoedas resolva o problema, porque se banirmos uma criptomoeda, existem outras 1400.
A colaboração entre as entidades privadas, os governos e as autoridades de segurança tem sido efectiva?
Sem esta colaboração, acredito que teríamos um cenário muito pior. A própria Kaspersky desenvolve, há muitos anos, um programa de cooperação muito próximo com entidades policiais de todo o mundo. Temos colaborações locais, com autoridades nacionais e também com órgãos internacionais, como a Europol e a Interpol, com os quais partilhamos dados. Inclusive, disponibilizamos uma plataforma gratuita para que as autoridades tenham acesso à informação de threat intelligence, porque, hoje, a investigação de ataques cibernéticos requer ferramentas dedicadas de investigação. Como empresa de cibersegurança, recolhemos muitas evidências de ciberataques e disponibilizamos o acesso a essas ferramentas de forma gratuita a órgãos policiais de todo o mundo, uma iniciativa que apelidamos de ‘Open TIP – Threat Intel Portal’.
A engenharia social continua a ser a grande porta de entrada da actividade criminosa?
Sim, mas não a única. Na minha opinião, hoje são dois os grandes vectores de ataques: a engenharia social e as vulnerabilidades existentes. As vulnerabilidades, de certa forma, são fáceis de mitigar, porque quando há uma vulnerabilidade, os fabricantes responsáveis vão disponibilizar rapidamente a correcção. Ou seja, simplesmente instalar e distribuir essa correcção na rede, nos dispositivos internos e, a partir daí, o problema está resolvido. Porém, quando falamos de ‘ataques de engenharia social’, a solução não é tão rápida, porque envolve a educação dos utilizadores. E, aqui, a curva é longa. Há que garantir que todos os utilizadores e funcionários estejam cientes das técnicas mais recentes usadas em ataques de engenharia social. E isso leva tempo.
Sem comentários