Por David Sopas (*)
Desde a passada sexta-feira que não se tem lido/visto outra coisa nos media do que referências aos “ataques informáticos” com o nome de código WannaCry, no qual se pedia um resgate para desbloquear o sistema afetado (ransomware).
No meu ponto de vista, o WannaCry só veio provar uma coisa: a falta de segurança em inúmeras empresas portuguesas e como lidam com a comunicação com os seus clientes em situação de crise.
A falha humana continua a ser uma das maiores preocupações na segurança informática - não só no seu elo mais fraco, que clica em tudo o que aparece no email, mas também nos administradores de redes que não atualizam o sistema operativo - neste caso os sistemas Windows.
Ao que tudo indica, este worm propagava-se utilizando uma falha no desatualizado SMBv1, divulgada pelos ShadowBrokers no leak da NSA - o ETERNALBLUE. No entanto a porta de entrada poderá ter sido diferente dos populares ransomwares. Não seria necessário um clique num email malicioso. Basicamente, se houvesse uma má configuração do serviço de partilha de ficheiros e impressoras - SMB ou um Remote Desktop Connection aberto, o WannaCry tinha a porta aberta para se propagar.
A correção para a falha da Microsoft estava disponível desde Março - MS17-010 (uma das respostas mais rápidas de segurança vinda da empresa).
Até à data não foi encontrado nenhuma evidência da propagação deste ataque por email. Aliás, a IBM - que teve algumas máquinas infetadas, analisou 1.06 mil milhões de mensagens de email da empresa e não encontrou qualquer evidência ao WannaCry.
É claro que muitas empresas têm políticas para atualizar os sistemas que podem atrasar um pouco o processo de segurança, mas podem sempre bloquear determinadas portas para prevenir que males maiores possam vir a acontecer (como efetivamente aconteceu). É
importante salientar que o facto de não expor para a Internet as portas 139, 445 e 3389 podia barrar por si só o Wannacry.
O que as empresas afetadas podem aprender com isto? Acelerar o processo de atualização dos sistemas, principalmente atualizações críticas de segurança; não expor serviços desnecessários na Internet; efetuar backups regulares dos sistemas e aplicar acções de formação para todos os colaboradores da empresa.
O país não pode ficar parado com este tipo de situações. É praticamente impossível prevenir que determinados ataques possam ocorrer, no entanto podemos sempre minimizar os danos causados e ser um pouco mais proativos para lidar com ataques informáticos.
(*) AppSec Research Team Leader na Checkmarx
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários