Asher de Metz atravessou as portas da frente de um supermercado. Pendurada ao seu lado, no lugar de uma sacola de compras reutilizável, estava uma discreta bolsa para laptop. De Metz não estava comprando mantimentos - isso foi um arrombamento. Mas nem os compradores que inspecionam os abacates nem os caixas que roubam cartões de crédito perceberam que estavam sob ataque.
De Metz andou pela loja e encontrou uma sala cheia de pessoas em computadores. Foi uma sessão de treino. Lugar perfeito para se misturar. Então, ele se sentou e sequestrou uma máquina .
"Eu apenas entrei e desconectei o cabo da parte traseira de uma das máquinas e conectei-o ao meu laptop", diz de Metz. "Eu estava hackeando por um tempo e ganhei acesso a sistemas e bancos de dados rapidamente daquela sala."
Em Hot Pursuit de um 'Hacker'
Logo depois, o treinador se aproximou de Metz. Ela foi educada, mas insegura sobre ele. "Sou da sede", explicou de Metz, para instalar algumas atualizações, ele disse a ela. A história a acalmou por alguns minutos, mas ela decidiu ligar para seu supervisor.
Foi quando de Metz percebeu que era hora de sair. "Fechei tudo e comecei a sair", lembra de Metz, mas o treinador estava no seu encalço. "Eu peguei a escada e, infelizmente, quando abri a porta, o alarme disparou."
A perseguição continuou com a trilha sonora de alarmes de segurança estridentes e um crescendo estridente final enquanto o treinador gritava do outro lado da loja: "É ele! Esse é o cara!" Outro funcionário do supermercado se aproximou de Metz, mas de Metz estava preparado. Ele tinha uma pasta de papel manilha com uma ordem de serviço fabricada.
Ele disse a eles que era da corporação e que havia um grave hack no sistema da loja. "Você sabia que houve uma violação em sua rede na noite passada? Milhões foram roubados." "Não", disse o supervisor. "Eu não fazia ideia." A dupla concordou em fazer uma ligação no final da tarde, para evitar que cabeças rolassem devido à grave infração de segurança cibernética.
Parte da história de de Metz para o gerente do supermercado era verdadeira; ele foi contratado para estar no supermercado — pela liderança do supermercado. No entanto, o único hack que aconteceu foi o que de Metz fez ele mesmo, e ele não roubou um centavo. Ele foi contratado para ver até onde poderia invadir os sistemas do supermercado. E neste caso, ele foi longe. Agora ele tinha algumas informações úteis para compartilhar com a equipe de liderança sobre como tornar sua segurança mais eficaz e segura para funcionários e clientes.
Por que as empresas pagam para serem hackeadas
De Metz é gerente sênior de consultoria de segurança da Sungard Availability Services , uma empresa global de gerenciamento de serviços de TI. Ele tem mais de 20 anos de experiência como testador de penetração - é assim que eles são chamados - e forneceu conselhos valiosos para algumas das maiores empresas do mundo em todo o Reino Unido, Europa, Oriente Médio e América do Norte.
"A razão pela qual as empresas fazem testes de penetração", diz de Metz, "é porque elas não sabem o que não sabem. Você pode ter uma ótima equipe interna de TI ou segurança que está instalando pacotes e tentando proteger os sistemas, mas até você tem um hacker lá que está cavando e fazendo coisas que não deveria ser capaz de fazer, para encontrar os riscos que as pessoas perderam, as empresas não sabem quais são seus riscos."
O objetivo de De Metz é encontrar vulnerabilidades antes dos bandidos - uma ameaça crescente para empresas de todos os tamanhos. De acordo com o Estudo de Custo de Violação de Dados de 2017 , patrocinado pela segurança da IBM, 60% das pequenas e médias empresas são atacadas a cada ano. O pior é que dessas empresas, 60% fecham suas portas dentro de seis meses após o ataque. O custo global médio de uma única violação é de US$ 3,62 milhões.
Mas as notícias pioram. Nos primeiros seis meses de 2021, o número de empresas afetadas por ataques de ransomware – aqueles em que software malicioso é instalado e bloqueia o acesso às redes até que o “resgate” seja pago – mais que dobrou em comparação com 2020, segundo pesquisa da Check Point Software Technologies . E o relatório Mandiant M-Trends 2021 da FireEye encontrou 800 tentativas de extorsão em que dados da empresa foram roubados entre 1º de outubro de 2019 e 30 de setembro de 2020.
As apostas são muito altas
É por isso que mais e mais organizações estão contratando testadores de penetração, também conhecidos como hackers de chapéu branco (uma dica literal de chapéu para o simbolismo do filme ocidental de meados do século 20), como Metz para invadir seus sistemas de propósito.
"É como uma apólice de seguro. Se as empresas gastam o dinheiro agora em segurança, elas economizam os US$ 10 ou US$ 100 milhões que custarão se forem violadas", explica de Metz. “Se eles avaliarem seu ransomware e se inocularem, por exemplo, isso economizará meses de dores de cabeça e perda de receita para as empresas por não conseguirem fazer negócios”.
A outra razão pela qual as organizações pagam para serem hackeadas é garantir que elas atendam a padrões regulatórios mais rígidos. Cuidados de saúde, organizações financeiras e instituições governamentais, entre outras, devem atender às regulamentações de segurança cibernética federais, estaduais e do setor , à medida que o hacking se torna mais comum e mais caro.
A cibersegurança é física e técnica
Quando as pessoas pensam em hackear, elas normalmente pensam em um ranger solitário atacando os dados privados de uma empresa da segurança do porão escuro de sua mãe. No entanto, os testadores de penetração analisam os aspectos físicos e técnicos do programa de segurança de uma organização, então eles hackeiam de dentro da própria organização.
"As empresas não querem deixar nada na mesa, o que pode ser parte de uma fraqueza de postura", diz de Metz. "Nós testamos os controles físicos; podemos obter acesso a um prédio, passar pela segurança, passar por uma porta dos fundos? Podemos obter acesso a arquivos físicos? Podemos entrar em áreas onde as empresas imprimem cartões de crédito ou cartões-presente?" Essas são as coisas físicas críticas que de Metz aponta, além do lado técnico, como acessar a rede ou dados confidenciais.
Ele também oferece conselhos, como recomendações para programas de treinamento de funcionários, para que pessoas como o supervisor que ele conheceu saibam como verificar as pessoas que deveriam estar no prédio. Ou, o que fazer se eles não reconhecerem alguém (em vez de iniciar uma busca em toda a loja, mesmo que isso gere uma boa história). "Nós nos divertimos muito fazendo isso, mas também fornecemos muito valor ao cliente."
Como funciona o teste de penetração
Os testadores de penetração devem ter um conhecimento detalhado da tecnologia, e isso vem com a experiência, não apenas com ferramentas sofisticadas. "Teste de penetração é entender e interagir com a tecnologia - saber como essa tecnologia deve funcionar. É uma metodologia e talvez alinhar uma ferramenta a ela, mas não se trata simplesmente de scripts ou ferramentas."
Uma vez dentro de um sistema, de Metz procura três coisas: onde pode fazer login, quais versões de software estão em uso e se os sistemas estão configurados corretamente. "Podemos adivinhar uma senha? Podemos encontrar outra maneira de acessar um login? Talvez o software esteja desatualizado e haja um exploit, então tentamos explorar algum código de ransomware contra ele para tentar obter acesso ao sistema." ele diz. "Algumas coisas podem ser encontradas em uma auditoria, mas também estamos descobrindo coisas que [a organização] não pensou."
A penetração é mais profunda do que uma auditoria de rede, e essa é uma distinção importante. Uma auditoria pergunta se o programa de segurança está sendo seguido? O teste de penetração pergunta se o programa está funcionando?
Os testadores de penetração analisam isso de uma visão panorâmica da estratégia de segurança. O problema pode não ser tão simples quanto um software desatualizado, mas toda uma estratégia de segurança que precisa ser aprimorada. Isso é o que de Metz descobre.
Muitas pequenas e médias empresas lutam para financiar infraestruturas de segurança bem fundamentadas. Ainda assim, o hacking de white-hat está se tornando mais popular entre as organizações responsáveis por dados pessoais, como o Facebook, conhecido por incentivar hackers de white-hat por meio de seu Bug Bounty Program, a encontrar vulnerabilidades em seu sistema.
De Metz também falou em podcasts com algumas de suas histórias mais dramáticas de testes de penetração. Seu objetivo é duplo: entreter os ouvintes com histórias malucas, mas, mais importante, destacar o valor dos testes de penetração – e o que está em jogo se as empresas não o fizerem. Você pode nunca vê-los, nunca saber que eles estão lá, mas os testadores de penetração ajudam a manter as empresas seguras e os clientes, como você, mais seguros também.
Agora isso é interessante
Hackers de chapéu preto e branco não são os únicos a invadir sistemas de negócios. Hackers de "chapéu cinza" borram as linhas entre hackers "bons e ruins", invadindo sistemas para revelar vulnerabilidades sem permissão e, às vezes, solicitando pequenas taxas para corrigir os problemas.
