Pesquisadores de segurança cibernética enfrentam ameaças da vida real

Os pesquisadores de segurança cibernética trabalham duro para manter o mundo digital seguro, mas de vez em quando sua própria segurança física está em risco. Qualquer um que esteja neste campo há tempo suficiente se deparou com histórias de profissionais de segurança da informação que receberam ameaças ou sofreram incidentes.

Um especialista em segurança, que queria permanecer anônimo para proteger sua família, diz que “várias pessoas com foco em crimes cibernéticos receberam ameaças de morte” nos últimos anos, e algumas delas até decidiram voar sob o radar ou se mudar para fazer outras coisas. Eles não querem colocar seus entes queridos em risco “porque o pai é um pesquisador de segurança e atrai bandidos”, diz ele.

Em conferências ou no Twitter da infosec, pesquisadores compartilham incidentes e falam sobre formas de se proteger nessas situações. Dizem que chamar a polícia ou o FBI dificilmente ajuda. “Quero dizer para você entrar em contato com a polícia federal, quero dizer para você entrar em contato com um departamento de polícia local, mas pelo que vi, não se faz nada”, diz Matt Smith, Especialista em Segurança, da Citadel Lock Tools. “Pode levar meses para ser preso por um único incidente, ainda mais se essa pessoa estiver foragida por um longo tempo”.

Enquanto alguns pesquisadores usam essas ameaças como um distintivo de honra, a maioria deles faz tudo ao seu alcance para se manter seguro. Eles minimizam sua pegada digital, verificam os antecedentes de todas as pessoas desconhecidas que os abordam pelas mídias sociais, usam caixas postais em vez de endereços e se abstêm de postar qualquer coisa on-line que possa ligá-los a suas famílias.

Com o recente aumento do ransomware e a escalada das tensões geopolíticas entre Rússia, China, Coreia do Norte e OTAN, o trabalho de pelo menos alguns profissionais de segurança da informação tende a se tornar perigoso. “Não sei se piorou, mas posso dizer que não melhorou nada”, diz Ronnie Tokazowski, Principal Threat Advisor da Cofense.

Ameaça crescente para pesquisadores de grupos de ransomware

Os grupos de cibercriminosos estão tendo um ótimo ano até agora. O número de ataques de ransomware está em alta e o pagamento médio ultrapassou US$ 900.000. Além disso, a tímida cooperação entre os EUA e a Rússia para conter o fenômeno parece ter parado depois que a Rússia invadiu a Ucrânia e o Ocidente respondeu com sanções. Há algumas semanas, o caso contra supostos membros do grupo de hackers REvil “chegou a um beco sem saída”, segundo o jornal russo Kommersant.

“Muitos desses grupos de ransomware vivem com uma sensação de impunidade”, diz Allan Liska, Analista de Inteligência da Recorded Future. “Contanto que eles não saiam da Rússia, literalmente não há consequências para todas as coisas ruins que eles fazem. Então, eles podem ser mais ousados e impetuosos e ter a cobertura do Kremlin para protegê-los”.

Como disse Liska, esse tipo de proteção permitiu que as gangues fizessem “algumas coisas muito cruéis” com especialistas em segurança ao longo dos anos. Embora ele pessoalmente não tenha recebido ameaças diretas, ele ouviu falar sobre esses incidentes, principalmente quando profissionais de segurança da informação se envolveram pessoalmente com criminosos. “Sei que em pelo menos um caso, o grupo de ransomware ameaçou o filho de um pesquisador”, diz ele.

Houve situações em que os cibercriminosos descobriram onde moravam os especialistas em segurança e coletaram informações sobre cada membro da família. Então, eles postaram essas informações em fóruns clandestinos, convidando outras pessoas dentro de sua comunidade a atingi-los.

Liska observa que as gangues tendem a trabalhar juntas e compartilhar informações mais do que há alguns anos. “Eles têm sites de extorsão; eles têm a capacidade não apenas de postar informações sobre as vítimas, mas também de divulgar o que estiver em suas mentes”, acrescenta.

Nos últimos meses, os cibercriminosos também se tornaram mais agressivos, com potenciais efeitos na segurança dos pesquisadores. Um exemplo é o grupo Conti, que teve como alvo dezenas de organizações na Costa Rica e levou o Presidente Rodrigo Chaves a declarar estado de emergência nacional. Os hackers anunciaram que pretendiam derrubar o governo, um objetivo incomum para uma gangue de ransomware.

Esse ataque sem precedentes “marca uma nova escalada nas atividades de ransomware”, diz Lauren Zabierek, Diretora Executiva do Cyber Project do Belfer Center, da Harvard Kennedy School. “Se eles virem que podem manter um país inteiro como refém e extorquir um resgate impunemente, isso tornará o ambiente mais permissível”.

Para Liska, incidentes como esses provam que as linhas entre os grupos de ransomware e os atores de Estado-nação estão se tornando mais embaçadas. Ainda assim, os atores do estado-nação são muito mais engenhosos, inclusive quando visam pesquisadores de segurança, e suas ameaças podem ser mais sutis. Por exemplo, houve casos em que especialistas que viajaram para conferências tiveram seus quartos vasculhados ou receberam pequenos presentes sugerindo que parassem suas investigações.

Indivíduos que trabalham para atores de Estado-nação também visam profissionais de segurança da informação no LinkedIn, Twitter, Telegram, Keybase, Discord, e-mail ou outros canais, às vezes alegando que desejam oferecer empregos de consultoria ou colaborar com eles em pesquisas de vulnerabilidade.

Em janeiro de 2021, o Grupo de Análise de Ameaças do Google descobriu que hackers norte-coreanos fingiam ser blogueiros de segurança cibernética e enviaram um projeto Visual Studio para especialistas em segurança. “Dentro do Visual Studio Project haveria… uma DLL adicional que seria executada por meio do Visual Studio Build Events”, escreveu Adam Weidemann no blog do Google. “A DLL é um malware personalizado que começaria imediatamente a se comunicar com domínios C2 controlados pelo ator [criminoso]” Weidemann e seus colegas também descobriram que alguns pesquisadores foram comprometidos depois de visitar um link enviado por esses hackers norte-coreanos.

“Se você estiver preocupado com o fato de estar sendo alvo, recomendamos que você compartimente suas atividades de pesquisa usando máquinas físicas ou virtuais separadas para navegação geral na Web, interagindo com outras pessoas na comunidade de pesquisa, aceitando arquivos de terceiros e sua própria pesquisa de segurança”, escreveu Weidemann.

A história não terminou aí. Em novembro de 2021, o Google anunciou que hackers norte-coreanos também alegavam ser recrutadores da Samsung, enviando PDFs detalhando oportunidades de trabalho com o objetivo real de instalar um Trojan de backdoor nos computadores dos pesquisadores.

Caçando bugs e recebendo ameaças legais

As ameaças não se limitam a profissionais de segurança da informação que investigam grupos patrocinados pelo Estado ou gangues de ransomware. Caçadores de bugs e especialistas em segurança física também podem ser alvos, às vezes das mesmas organizações que tentam ajudar. Aconteceu com o lockpicker Matt Smith em algumas ocasiões. “A primeira vez eu estava trabalhando em um lock de forma independente e a empresa aprendeu sobre”, diz ele. “Eles fizeram um grande esforço para tentar me encontrar e me processar, inclusive ameaçando uma intimação a um fórum on-line para fornecer meu endereço IP”.

Na segunda vez, porém, foi muito pior. Smith recebeu uma ameaça física. “Eu estava trabalhando no Abloy Protec II, e um de seus revendedores americanos ficou muito bravo porque seu lock mais seguro poderia estar vulnerável”, lembra ele. “Então, ele começou a me enviar e-mails abusivos exigindo que eu lhe dissesse o que estava fazendo. Quando eu não respondi com as respostas que ele queria, ele ameaçou ‘me resolver’ e ‘não importava quanto dinheiro isso lhe custaria”.

Alguns dos e-mails que Smith recebeu foram particularmente brutais. “Ele estava me enviando capturas de tela do meu rosto de conversas on-line e fotos do Google Earth da rua onde ele achava que eu morava. Não estava certo, mas estava perto o suficiente para ser uma preocupação”, diz ele. Smith nunca respondeu a essa pessoa e mudou seu endereço de e-mail.

Os caçadores de bugs também devem aprender a navegar pelas ameaças. “Embora as reações que você receba sejam geralmente desagradáveis, quanto mais tempo você trabalha neste setor, mais você se acostuma com elas”, diz Tom Van de Wiele, Principal Technology & Threat Researcher da WithSecure. Trabalhar neste campo o tornou “mais cauteloso” e também o ensinou “a estar mais preparado para caçar e descobrir questões ainda maiores, qual linguagem usar considerando o grupo-alvo” e como alinhar suas expectativas dependendo da empresa com a qual ele lida.

Muitas vezes, os caçadores de bugs são intimidados por organizações que ameaçam processá-los. Uma maneira de contornar isso é criar relatórios detalhados. Ao escrever sobre o impacto da vulnerabilidade, os pesquisadores devem começar com o risco técnico, depois traduzi-lo em risco comercial e adicionar quem pode ser afetado. Van de Wiele diz que os pesquisadores também devem mostrar que nenhuma lei foi quebrada no processo.

“Acima de tudo: certifique-se de oferecer diferentes caminhos de mitigação e recomendações para corrigir o que você descobriu”, acrescenta Van de Wiele. “É fácil encerrar um whitepaper ou relatório com ‘conserte’ e recorrer à ‘indignação-como-serviço’ nas redes sociais. É melhor pensar junto com a empresa afetada em como eles podem suavizar o golpe agora a curto prazo, enquanto pensam em soluções mais de longo prazo sobre como reduzir o risco para um não-problema”.

Protegendo a equipe de pesquisa de segurança

Trabalhar em segurança cibernética geralmente significa correr alguns riscos. “É a natureza da besta ou a natureza do trabalho”, como coloca Tokazowski, da Cofense. Alguns especialistas em segurança precisam seguir uma linha tênue entre proteger suas famílias e publicar pesquisas em seu nome. É por isso que empresas que realizam trabalhos sensíveis, como rastrear organizações terroristas, podem decidir não incluir os nomes dos pesquisadores nos relatórios que publicam.

Os pesquisadores de segurança tentam aprender uns com os outros e constantemente atualizam sua defesa. Realisticamente, porém, não há muito que eles possam fazer. “É difícil porque, para os indivíduos, não parece haver muito recurso, além de ir à polícia ou ao FBI para denunciar o crime”, diz Zabierek, da Harvard Kennedy School. “Existem grupos como o Cybercrime Support Network voltados para ajudar vítimas individuais de cibercrime, e seria ótimo se eles pudessem receber apoio institucional para escalar suas atividades para ajudar as pessoas nos EUA”.

As empresas que desejam fazer isso para proteger seus funcionários devem certificar-se constantemente de que suas práticas de segurança interna estejam atualizadas. Eles também devem planejar os piores cenários, tendo procedimentos implementados para situações em que um de seus funcionários é o alvo.

Eles devem ser baseados em vários modelos de ameaças, levando em consideração o trabalho de cada equipe interna. As equipes podem receber listas de verificação para esses tipos de situações, que listam coisas para fazer e não fazer e pessoas para ligar. Obviamente, esses procedimentos devem ser revisados de tempos em tempos e testados sempre que possível.

Protegendo residências e escritórios

Os profissionais de segurança são bem versados quando se trata de segurança digital e seus equipamentos. Alguns caminham quilômetros extras e evitam compartilhar qualquer informação pessoal on-line. Outros, como Smith, apenas postam informações falsas em seus perfis de mídia social. “Você precisa ter certeza de que está tomando as precauções adequadas para proteger sua casa, sua família”, diz Liska.

Além da segurança on-line, os profissionais de infosec também devem prestar atenção à segurança física. Smith sugere ter vários anéis de segurança: cercas, paredes, portas fortes e até portas com fechadura interna. “Uso fechaduras que não posso forçar/arrombar, portas que não posso contornar e chaves difíceis de copiar”, diz ele. “Mesmo que alguém possa acessar minhas chaves, os espaços em branco são restritos, por isso são mais difíceis de copiar”. Entre as fechaduras que ele recomenda estão ASSA Twin, EVVA MCS e Abloy Protec II, que ele considera as mais seguras. Ainda assim, mesmo estes podem ser derrotados. “Mas se o seu adversário for capaz de abri-los sem a chave, então você terá muitos problemas”, diz ele.

A porta em si também precisa ser sólida. Tem que ter uma estrutura resistente sem aberturas na parte inferior ou bordas arredondadas para evitar que as coisas entrem dentro de casa. “As dobradiças de uma porta são um ponto fraco, por isso é melhor tê-las por dentro”, acrescenta Smith. O pesquisador também recomenda o uso de uma caixa de correio externa em vez de uma abertura para correspondência embutida na porta, pois pode dar a um invasor acesso à parte traseira da porta.

Além de uma porta de travamento multiponto sólida, residências e escritórios também devem usar CCTV. “Certifique-se de que esteja com fio, não sem fio, porque bloquear ou apenas lançar pacotes de autenticação nos dispositivos pode impedi-los de funcionar”, diz Smith. “O mesmo com os sistemas de alarme. Com fio, sempre. Os sensores de alarme precisam ser instalados corretamente porque muitas empresas de alarme deixam pontos cegos”.

Segundo o pesquisador, a fiação para CFTV e alarmes precisa ser inacessível do lado de fora, e a caixa de gravação do CFTV deve fazer backup de tudo na nuvem. “Se possível, dê acesso ao CCTV a mais de uma pessoa, para que haja redundância em caso de incidente”, diz Smith. Os melhores sistemas verificam as comunicações periodicamente e emitem um alarme se as comunicações caírem.

Algumas outras coisas a serem consideradas: Preste atenção à iluminação de segurança, que deve ser acionada por sensores. Use uma caixa postal para que seu endereço seja mais difícil de rastrear, varie ao sair de casa para tornar seus movimentos menos previsíveis e seja gentil com seus vizinhos para que eles o avisem se alguém estiver entrando em sua casa.

Até que ponto um pesquisador deve ir para proteger sua casa depende de seu trabalho e dos níveis de risco com os quais se sente confortável. “Todo mundo tem que medir seu próprio risco e tomar as devidas precauções”, diz Liska.

Ainda assim, mais deve ser feito para apoiar os profissionais de segurança da informação e permitir que eles continuem com seu trabalho. Eles “precisam ter confiança de que o governo pode ajudar a protegê-los ou ajudá-los a se recuperar dessas ameaças”, diz Zabierek.