Opinião de João Farinha, Head of Audit na S21sec Portugal
A cibersegurança continua a ser um tema que, pelas piores razões, tem vindo a ganhar espaço na discussão diária das sociedades modernas. Já no início deste ano vieram a público notícias sobre enormes coleções de palavras-passe roubadas, que são posteriormente transacionadas em mercados privados e que, ocasionalmente, são divulgadas de forma aberta.
O último desses conjuntos, chamado sugestivamente “Collection #1”, reúne os resultados das pilhagens realizadas a milhares de serviços ao longo da última década e totaliza mais de 1.000 milhões de combinações únicas de credenciais a que qualquer atacante tem acesso e que pode utilizar na preparação e condução de um ataque a um indivíduo ou a uma organização.
Esta breve introdução ao tema da transação de bases de dados de passwords vem a propósito daquilo que tem vindo a ser experienciado pelas nossas equipas responsáveis pela realização de testes de intrusão a organizações para avaliar os controlos de segurança implementados de forma a proteger os seus sistemas e a sua informação. Ao longo dos últimos anos, os fabricantes de software têm vindo a subir a fasquia no que diz respeito à segurança, tornando cada vez mais difícil encontrar vulnerabilidades que possam ser exploradas de forma trivial. Assegurar um caminho de entrada numa organização que mantenha o software que utiliza devidamente configurado e atualizado já não é tarefa fácil. Mas há um elemento que se mantém constante em todos os sistemas expostos: a necessidade de aceder à informação neles armazenada e processada, e o mecanismo de autenticação mais utilizado para assegurar o acesso aos sistemas de informação, a tradicional combinação de nome de utilizador e palavra passe.
É nesse contexto que entram em jogo as bases de dados de credenciais roubadas. Não se tratam apenas de roubos em portais de pequenas dimensões. Os primeiros grandes roubos de credenciais aconteceram na última década e afetaram gigantes tecnológicos como o LinkedIn em 2012 (com 160 milhões de contas comprometidas) ou a Yahoo em 2014 (500 milhões de contas). É nesta ubiquidade que está o desafio para as equipas de segurança. Mesmo que uma determinada organização nunca tenha sido diretamente afetada por um roubo de credenciais, os seus utilizadores invariavelmente utilizam os endereços de correio eletrónico profissionais para se registar em diversos serviços disponíveis na Internet. Para piorar o cenário, reutilizam a sua palavra passe (ou uma derivada simples da mesma, com pequenas variações em relação a um tema central) nesses serviços.
Os atacantes (e as equipas de segurança que legitimamente os imitam com o objetivo ético de testar a segurança dos sistemas) aproveitam-se dessa reutilização de credenciais para comprometer a segurança dos seus alvos, o que infelizmente, acontece com assinalável sucesso.
Inúmeras abordagens têm sido tentadas em campanhas de sensibilização para tentar mitigar os riscos deste tipo de comportamento, mas sem grande sucesso. Se impusermos um aumento da frequência de mudança de palavra-passe, os utilizadores irão torna-las menos complexas para as conseguir memorizar. Ou pior, tomam nota das mesmas noutros meios pouco seguros, como o famoso “post-it” colado por baixo do teclado, ou como mensagem de correio eletrónico para si mesmo. Se, por outro lado, forem aumentados os critérios de complexidade, haverá uma maior incidência de pedidos de recuperação de credenciais, porque naturalmente os utilizadores irão esquece-las.
Aquela que é considerada a melhor solução para este desafio consiste na utilização de mecanismos de geração e armazenamento de palavras passe únicas para cada serviço on-line (os chamados cofres de credenciais). Esta solução torna possível cumprir a máxima de que a melhor palavra-passe que podemos ter é uma que não conseguimos memorizar (porque tem um número elevado de caracteres, com uma combinação de letras, algarismos e símbolos de forma aleatória), mas esta continua a não ser de utilização trivial para todos os perfis de utilizadores. E mesmo nos casos em que esses mecanismos são utilizados, é raro que uma campanha de engenharia social não resulte na obtenção de algumas credenciais que podem depois ser reutilizadas na fase de ataque.
O mecanismo de combinar um nome de utilizador e palavra passe foi desenvolvido muito antes de se conceber a ideia de um sistema poder estar permanentemente exposto ao mundo através da Internet. Nessa altura (os primeiros registos da utilização de palavras-passe em sistemas de informação remonta a 1961), havia outros controlos que, em conjunto com o nome de utilizador e palavra-passe, asseguravam a segurança dos sistemas. O principal era a necessidade de assegurar o acesso físico aos sistemas.
Arriscamo-nos então a dizer que todas as ferramentas que se possam encontrar para gerir um número infindável de palavras-passe (porque obviamente teremos de seguir a recomendação de ter uma combinação única para cada serviço que subscrevemos, para eliminar a possibilidade de reutilização das mesmas) são apenas um remendo para um processo que está fundamentalmente errado e que não foi desenhado para funcionar como o único fator de acesso a um sistema.
O futuro passará então pela utilização de múltiplos fatores de autenticação em todos os serviços e sistemas que o permitem e na monitorização ativa do comportamento dos atacantes. Na impossibilidade da segurança a 100 %, a minimização dos riscos é desta forma garantida.
João Farinha, Head of Audit na S21sec Portugal
