O preço de credenciais de autenticação caiu bastante no mercado negro, numa altura em que o cibercrime cresce em Portugal.
Mais de 1,4 mil milhões de passwords estão desde meados de 2017 disponíveis para utilização gratuita na Internet. E na última quarta-feira, Conselho Superior de Segurança Interna (CSSI) aprovou o Relatório Anual de Segurança Interna (RASI), relativo a 2017 , que revela um aumento do cibercrime em Portugal. Houve 976 casos, mais 175 do que em 2016.
A tendência para as pessoas re-utilizarem as mesmas sequências de autenticação, algumas delas com anos de idade, continua a ser uma séria ameaça. Especialmente para as organizações mais pequenas.
Durante anos, acervos de passwords foram negociados em fóruns de cibercrime, mas nos últimos seis meses o volume total disponível no mercado negro fez diminuir o preço. A ponto de alguém ter descartado um conjunto 1,4 mil milhões de passwords.
Estas permanecem disponíveis gratuitamente para qualquer pessoa que saiba como usar um mecanismo de busca online e software de cliente de torrent. Nem é preciso usar o Tor.
“Isto nunca aconteceu”, garante J. Tate, co-fundador da Bits & Digits. “As pessoas costumavam perguntar, onde se descobre a informação resultante de uma fuga de dados? Na “Darkweb”. Mas neste caso está disponível publicamente; para se usar como se entender”.
Às vezes as PME nem fazem coisas básicas como usar um cliente de torrent para descarregar informação proveniente de fugas de dados e cruzar com uma lista de funcionários actuais.
As autoridades gostam de criticar a existência do Tor e de promover o espectro da “Darkweb”, mas há credenciais disponíveis gratuitamente, em ficheiros de torrent. O referido acervo inclui endereços de e-mail e passwords de pessoas que trabalham em todos os patamares de governo em muitos países, incluindo de polícias, militares e espiões.
Até surgem utilizadores com contas de email “@ nsa.gov”, a National Security Agency (NSA) tenha assegurado que a agência não é afectada pela exposição das credenciais associadas. Por razões óbvias, não apresentamos ligações para o conjunto de informação.
Mas também não é preciso ser mestre em buscas com o Google, para os descobrir. A Google e a Apple asseguram que centenas de milhões de contas de email da Gmail e da iCloud não foram afectadas.
As duas empresas investigam proactivamente esse tipo de violação e fazem com que os seus utilizadores mudem as suas passwords. Mas as PME não têm normalmente acesso ao mesmo tipo de informação sobre ameaças do que os grandes bancos, agências governamentais ou empresas de TI.
Às vezes nem fazem coisas básicas como usar um cliente de torrent para descarregar informação provenientes de fugas de dados e cruzar com uma lista de funcionários actuais. Isso deixa grandes grupos de empresas e administrações locais em risco, face a ofensivas baseadas na re-utilização de passwords, ao alcance de invasores pouco sofisticados.
A defesa contra esses ataques, mais triviais mas devastadores, começa com o reconhecimento da realidades da natureza humana. E admitir que culpar funcionários ou clientes pela reutilização das mesmas passwords se torna pouco útil.
Pode ser mais interessante partir da ideia de que as pessoas são terríveis a escolher e recordarem-se de passwords fortes. Existe uma maneira fácil de descobrir se as credenciais de uma conta de email foram expostas.
A plataforma de Troy Hunt, “Have I Been Pwned?”, tem já indexados quase cinco mil milhões de passwords reveladas. O site No Secrets oferece um serviço gratuito semelhante.
Mas os gestores de segurança de TI também podem descobrir facilmente ficheiros torrent com resultados de fugas de dados. A análise a estes elementos permitirá identificar rapidamente utilizadores ou funcionários afectados.
Contudo importa colocar numa lista negra todas as passwords expostas na organização, por exemplo.
Passwords revelam fórmulas
A autenticação usando um só factor, com base em “algo que se conhece” (por exemplo, uma password) deixou de ser uma prática aceitável. “Estou convencido de que as passwords são um sistema horrível”, diz o professor Douglas W. Jones, da Universidade de Iowa.
“Se uma pessoa conhecer as passwords antigas de alguém, pode conseguir entrar nos sistemas desta última. Se tem o hábito de inventar passwords com de um local onde vive ou já viveu, misturado com o código postal, isso pode-se descobrir com um pesquisa na Facebook”, recorda.
Percorrer os acervos de passwords, reveladas em fugas de dados, permite confimar ainda outras perspectivas interessantes. Que as pessoas usam nomes de cônjuges e filhos, orações e lugares favoritos ou equipas de futebol.
As passwords podem já não ser válidas, mas a janela para a forma como as pensam permanece aberta. Assim os enormes repositórios gratuitas reduzem drasticamente o custo de um ataque.