Má gestão em TI pode ter ampliado as consequências no STJ

As hipóteses dos especialistas apontam para má administração dos usuários, da rede e dos ativos conectados a ela
Paulo Brito
06/11/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

As origens do incidente que arrasou mais de 1.200 servidores do Superior Tribunal de Justiça, em Brasília, podem estar em uma série de problemas de gestão de TI, especialmente em itens que incluem rede, usuários, dispositivos e políticas. O pesquisador Fernando Amatte, da empresa de segurança Cipher,  acha que esses problemas podem  incluir a gestão de privilégios concedidos usuários.

Fernando Ceolin, diretor de vendas e engenharia da Guardicore para a América Latina, supõe que “pelas características e abrangência do ataque, pode-se presumir que o invasor penetrou há algum tempo na rede do STJ – provavelmente meses – e, aproveitando a falta do controle de acesso e visibilidade de trafego entre os servidores, conseguiu atingir mais de 1.200 deles. É uma característica desse tipo de ataque agir passo a passo, inicialmente se apropriando de ativos não tão críticos do ambiente e se propagando de forma lenta e gradual, até que a invasão seja percebida. Dessa forma, o estrago pode ser enorme, independente da motivação do invasor”.

Outro executivo de segurança da informação ouvido pelo CISO Advisor que pediu para não ser identificado diz: “A hipótese que eu vejo é erro humano, seja alguém clicar em algo malicioso ou alguém que deixou de fazer a lição de casa. Se em empresas privadas com orçamentos de TI de milhões acontece isso, imagine em uma repartição pública, onde uma licitação de um firewall pode demorar anos”. 

Veja isso
Grupo hacker invade servidor do CNJ e alega ter consertado falha
STJ: mais de 1.200 servidores congelados, backups destruídos

Neste momento, embora todas as máquinas do STJ devessem estar desconectadas da internet, muitas VMs continuam conectadas e apresentam vulnerabilidades conhecidas. Os pesquisadores de segurança Mateus Veras e Rondinelli Castilho, de São Paulo, informaram ao CISO Advisor que entre a noite de ontem e a manhã de hoje encontraram pelo menos 20 delas. Uma varredura, segundo eles, indica que essas máquinas virtuais podem ser exploradas pelo EternalBlue, o exploit usado pelo WannaCry em maio de 2017. 

Fernando Amatte acha que os administradores de TI nos governos em geral enfrentam dificuldades para administrar ativos e usuários, entre outras razões porque conseguem os recursos para executar as ações no tempo apropriado – como as de atualizações por exemplo. Sua experiência, segundo ele, indica que pode haver usuários com privilégios desnecessários para o trabalho que executam, o que pode colocar em risco ativos estratégicos.

Backup em fita

A pedido do CISO Advisor, Elder Jascolka, country manager da Veeam no Brasil, comentou a informação de que os técnicos do STJ iriam restaurar os sistemas a partir de backup feito em fitas, publicada pelo portal G1. O comentário dele é o seguinte:

“Caso seja verdade que a restauração dos dados precisará ser feita a partir dos backups armazenados em fita, isso implica que os backups armazenados nos appliances de disco utilizados pela instituição possivelmente foram comprometidos.

Já existem hoje no mercado tecnologias capazes de detectar a atividade de criptografia de um ransomware no ambiente virtual e desligar ou desconectar as VMs da rede para reduzir o impacto e atrasar a propagação. Além disso, para um usuário desse porte, com a massa de dados a ser gerenciada, talvez o uso de fitas não seja a opção mais adequada, devido às suas limitações, em especial em relação à performance da restauração.

Tecnologias de armazenamento de objetos (Object Storage) hoje oferecem recursos para travar a retenção dos dados armazenados, garantindo sua imutabilidade, o que mantém os dados protegidos e pode oferecer uma melhor performance de recuperação, especialmente em situações como essa.

Além disso, para minimizar as chances de um ransomware paralisar as operações, a Veeam sempre recomenda utilizar o método 3, 2, 1, que significa ter pelo menos três cópias dos seus dados, armazenar estas cópias em duas mídias diferentes e manter uma cópia de backup fora do site produtivo”.

O que é o EternalBlue

EternalBlue é uma exploração de ataque cibernético desenvolvida pela Agência de Segurança Nacional dos EUA. Ela foi divulgada pelo grupo de hackers Shadow Brokers em 14 de abril de 2017, um mês depois que a Microsoft lançou patches para a vulnerabilidade. Em 12 de maio de 2017, o ransomware mundial WannaCry usou esse exploit para atacar computadores não atualizados.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest