“Podes comprar toda a tecnologia do mundo que se não souberes como a implementar não vai ajudar”

No início de junho, a Fortinet realizou o Fast & Secure 2023 em Madrid e a IT Security marcou presença a convite da fabricante de cibersegurança. Um dos oradores presentes no evento foi Jonas Walker, Director of Threat Intelligence da Fortinet.

Na sua apresentação, Walker abordou o ambiente de ciberameaças que as organizações enfrentam, como evolui e mostrou o quão simples é lançar um ataque contra as empresas. Um dos temas abordados foi o malvertisement, que tem subido nos últimos tempos, e onde os cibercriminosos compram anúncios em motores de busca e procuram levar uma pessoa a carregar num resultado para uma pesquisa legítima.

Em entrevista à IT Security durante o evento, Jonas Walker abordou não só a crescente ameaça do malvertisement, como a forma como estão a evoluir as ciberameaças contra as organizações mundiais. Ao mesmo tempo, partilhou alguns conselhos do que os CISO e CSO devem fazer para estarem mais protegidos.

“A grande alteração com o phishing está definitivamente ligada à utilização de tecnologias de machine learning. (…) Os algoritmos de machine learning estão tão sofisticados que é possível ir ao YouTube, escolher um vídeo, descarregar, colocar no sistema, escrever um texto e o sistema fala exatamente como a pessoa do vídeo”

Quais são as principais tendências que vê no cibercrime?

Está a tornar-se mais agressivo, mais sofisticado e o volume está a subir. Uma grande razão é, definitivamente, porque há muito dinheiro que pode ser feito no cibercrime, para além do cibercrime não ter fronteiras. Se quiser roubar um banco em Madrid, por exemplo, tenho de estar fisicamente aqui; se o quiser roubar online, não tenho, posso estar nas Filipinas.

Quanto mais dispositivos e sistemas são conectados à Internet, maior se torna a superfície de ataque. Para um atacante, mais conectividade significa mais opções e é, definitivamente, algo que leva muitas pessoas para este ambiente.

Durante a apresentação falou de malvertisement. Como está a evoluir?

Para mim, o malvertisement vai e vem. Não é a primeira vez que o vejo; vi há muitos, muitos anos, mas, entretanto, ficou um bocadinho mais calado e, agora, está a voltar.

O problema aqui é que, enquanto os motores de busca permitirem que isto aconteça, então vai ser eficaz porque as pessoas que têm consciência da cibersegurança ou que estão habituadas a utilizar computadores, ao procurar algo no Google, veem os anúncios e nunca clicam neles; no entanto, muitas pessoas carregam no primeiro link que aparece. É por isto que se torna tão fácil de fazer.

No passado, não era este tipo de malvertising, mas era muito popular comprar anúncios em sites para adultos, as pessoas viam e, por acidente, carregavam algures. Escolhiam-se estes sites porque a publicidade era barata para comprar, mas agora é muito mais fácil com os principais motores de busca.

Estes malvertisements tentam replicar sites legítimos?

Sim, normalmente tenta parecer um site legítimo. Às vezes, até o software trabalha legitimamente. Um grande exemplo que aconteceu recentemente foi com o OBS, um software muito utilizado pelos criadores online, como streamers, ou para fazer vídeos no YouTube. Os atacantes compram um site que parece o original e têm o software alojado lá, mas normalmente colocam um código adicional; isso chama-se de weaponization. O software trabalha, mas conta com um código malicioso, o que significa que o ator tem, depois, um backdoor que pode ser utilizado para aceder ao computador.

Também se tornou muito popular novamente por causa do boom das criptomoedas porque muitas pessoas têm as suas wallets instaladas nos browsers ou as criptomoedas no seu computador e instalam o software. Os computadores pessoais estão a tornar-se num grande alvo.

Numa altura em que o shadow IT continua a crescer, como é que as organizações se podem proteger desta ameaça?

Na Fortinet fazemos várias coisas. Primeiro, a maioria destes websites de phishing não estão online durante muito tempo; creio que a idade média de um site de phishing são apenas alguns minutos porque as pessoas visitam e reportam e depois de ser reportado a mensagem espalha-se rapidamente. Depois lançam outro e outro e outro.

O que recomendamos é a utilização de tecnologias como web filter, por exemplo, e não é algo que seja necessário instalar em todos os computadores. Estando instalado numa firewall, se o utilizador estiver na rede corporativa, ao carregar no link vai ver que é um link novo, o que significa que não sabemos se é bom ou mau; se o site tiver menos de um dia, é bloqueado, por exemplo. Essa é uma maneira, mas traz alguns desafios se as pessoas estiverem a trabalhar a partir de casa porque a firewall do escritório não está lá. Outra solução é zero trust, soluções que se complementam. Isto no segmento corporate.

É difícil, mas também os indivíduos estão a ser alvo destes ataques. À minha mãe, por exemplo, sugeri instalar um ad blocker no computador dela, o que faz com que os links de malvertisement não apareçam.

O phishing continua a ser o principal método de entrada para muitos ataques. Como é que está a evoluir?

A grande alteração com o phishing está definitivamente ligada à utilização de tecnologias de machine learning. Tenho muitos emails de phishing numa base de dados e no passado o que acontecia era tentar imitar, por exemplo, uma encomenda da DHL ou da FedEx, por favor pague para receber a encomenda. Especialmente se for numa língua local, como o português, é fácil perceber os erros. Mas agora, se for um template em inglês, é possível copiar, por exemplo, para o ChatGPT e traduzir para português e creio que mesmo um nativo tem algumas dificuldades em detetar. Essa é uma forma, como estas tecnologias podem tornar as coisas mais profissionais, o que torna mais difícil a que as pessoas detetem, pelo menos do lado visual.

Mas agora também temos deep fakes, que também não são novos. Com a OpenAI, foi introduzido o Dall-E, imagens geradas por inteligência artificial. Com coisas geradas por IA torna-se muito mais difícil para as pessoas descobrirem o que é um vídeo verdadeiro de um vídeo falso. Os algoritmos de machine learning estão tão sofisticados que é possível ir ao YouTube, escolher um vídeo, descarregar, colocar no sistema, escrever um texto e o sistema fala exatamente como a pessoa do vídeo. Isto vai ser mais adaptado e as pessoas podem utilizá-lo praticamente de forma gratuita.

Referiu que a inteligência artificial não é propriamente nova, mas o ChatGPT trouxe o tema de volta à ribalta; todos podem usar. No cibercrime também. Como é que vê as ciberameaças a evoluir com inteligência artificial e o que é que se pode esperar na segunda metade de 2023 e durante 2024?

Quando falamos de ameaças com algoritmos de machine learning, quero diferenciar duas grandes categorias. A primeira é a que acabámos de falar; é a IA generativa, onde se criam vídeos, emails, coisas que estão mais relacionadas com phishing.

Mas há algo que se está a tornar bastante popular que é a utilização destes algoritmos de machine learning para descobrir vulnerabilidades. Por exemplo: nós temos muitos investigadores na nossa empresa que utilizam estes algoritmos para encontrar e testar os sistemas quando, por exemplo, novos softwares são instalados nos nossos telemóveis e depois tentamos alavancar o que encontramos com essas vulnerabilidades. É algo que tem sido utilizado dos dois lados: os atacantes e os defensores a descobrirem vulnerabilidades. É quase uma corrida.

Há, no entanto, uma vantagem para quem defende, na minha opinião, porque habitualmente são precisos muitos recursos, muitos dados de treino e muito tempo. Habitualmente, só os agentes de ameaça bem financiados e que têm muitos ataques com sucesso ou que são capazes de construir essa infraestrutura.

Vejo as maiores ameaças no lado da engenharia social. O Verizon Data Breach Report mostra claramente que 74% de todos os ataques envolvem engenharia social e 50% deles não são apenas um ataque de phishing aleatório; envolve algum pretexto, o que significa que já estavam a olhar para a pessoa em avanço. Sabem o que a empresa faz, olham para o LinkedIn para descobrirem os empregados, sabem qual é a posição na empresa; é muito mais à medida e direcionado.

Acho que é o maior desafio porque é muito mais difícil de colocar uma solução para parar o ataque. Se olharmos para o ChatGPT, é ótimo. Alguns professores reclamavam de que não conseguiam distinguir se um trabalho era do seu aluno ou feito por um computador e a única maneira de verificar é através de uma outra ferramenta onde se pode colocar o trabalho e ver se já foi feito por outra pessoa. No cibercrime isto não vai acontecer; não vão ser fornecidas ferramentas pelo cibercriminoso para ver se o ataque é dele ou não. Isto é algo que, definitivamente, na minha opinião, vai causar muitos problemas e que se vai tornar cada vez pior. Não creio que exista uma solução universal para isto.

Muitos cibercriminosos estão constantemente à procura de novas vulnerabilidades. Qual é que é a vulnerabilidade mais comum a ser explorada?

É algo que andamos a falar há muitos anos. O maior problema é a gestão de patches, a ciberhigiene e os problemas com credenciais fracas. Quando falo de ciberhigiene, significa que, por vezes, os computadores são infetados porque alguém descarregou alguma coisa e depois este vírus fica lá durante 567 anos; talvez até não cause nenhum problema, está desatualizado e nem trabalha como deve ser, mas ninguém limpou o sistema.

O problema com as credenciais… muitas pessoas utilizam os mesmos usernames e passwords para várias aplicações. Se nos lembrarmos, em 2011 – há muito tempo – houve um grande incidente com o LinkedIn onde alguém conseguiu corromper a base de dados do LinkedIn e as passwords estavam todas encriptadas com algo que, na altura, era um standard muito seguro. Mas dez anos depois os computadores estão mais sofisticados e podem descobrir estas passwords. É o mesmo problema com os sites modernos, onde utilizam a mesma palavra-passe, entram numa nova aplicação no seu telefone e utilizam os mesmos usernames e passwords básicos que utilizam para outras aplicações. E depois uma aplicação específica é corrompida e começam a atacar outros sites.

Acredita que a política de trocar de palavra-passe a cada três meses, por exemplo, é suficiente para mitigar este tema?

Não. É uma componente-chave, mas, na minha opinião, se só pudesse fazer um investimento em cibersegurança de uma forma geral, recomendaria sempre multifactor authentication em primeiro lugar. O username e a password são importantes, mas se tiver um token, por exemplo, que se altera automaticamente, já estou a adicionar uma nova camada e torna as coisas muito mais difíceis.

Mesmo quando olhamos para cibercriminosos, há um caso muito conhecido da Uber, no ano passado, onde um computador foi infetado com um infromation stealers e onde foram capturados usernames e passwords que estavam a ser utilizados e foram vendidos na dark net, tendo acabado por ser comprados. Iam à Uber e tentavam entrar no site, mas não conseguiam entrar porque utilizam multifactor authentication.

Tanto quanto sei, 99,9% dos autenticadores multifatoriais não estão a ser corrompidos; estão a ser ultrapassados porque tentam enganar o utilizador. Dizem ‘olá, sou do teu departamento de IT e estou a enviar esta mensagem no WhatsApp para pedir o código’. Tentam enganar o utilizador. Mas multifactor authentication é uma grande, grande ferramenta que é subvalorizada e subestimada em muitos locais.

Quais são os conselhos que dá aos CISO ou CSO e, também, às PME para melhor se protegerem?

Há claramente a componente da tecnologia, mas podes comprar toda a tecnologia do mundo que se não souberes como a implementar não vai ajudar.

Há três componentes importantes. A tecnologia, claro, mas também o investimento nas pessoas e nos procedimentos. Mesmo que se coloque um snapshot hoje, se tivermos as melhores pessoas e tecnologias do mundo e colocam tudo a funcionar, daqui a dois meses, se o ambiente não for bem gerido, terá problemas. É preciso ter bons procedimentos.

Infelizmente, não há uma bala de prata onde se instala algo uma vez ou se compra uma solução e tudo fica bem. Na minha opinião, é importante ter tecnologia de um vendor que sabe o que está a fazer. Acredito que é importante escolher alguém que tenha o seu próprio hardware, o seu próprio software e a sua própria inteligência por questões de rapidez, mas também pessoas que a saibam operar, o que significa que é preciso um grande investimento também nas pessoas.

A IT Security viajou até Madrid para participar no Fast & Secure 2023 a convite da Fortinet.