BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

A segurança (ainda) é responsabilidade de todos

Miniatura F5
F5
Publicado em 28 de abril de 2020


Um amigo meu recebeu recentemente um e-mail com sua senha em texto simples no campo assunto. A mensagem continha uma demanda por US$ 10 mil em Bitcoin. Para garantir a conformidade, o invasor incluiu planos sobre como hackear e destruir o receptor. O mesmo amigo mencionou que usava um software de gerenciamento de senhas para gerenciar suas senhas e percebeu que havia usado a mesma senha em mais de 140 sites diferentes.

Claramente, ele precisava alterar a senha em todos eles.

Obter as credenciais de um usuário sempre foi barato e fácil. A expansão digital acelerada vivenciada pela maioria das organizações e funcionários desde o início da pandemia da COVID-19 só tornou tudo mais barato e fácil.

Na última semana de março, o aplicativo mais baixado foi o Zoom. Infelizmente para os 3,2 milhões de novos usuários (e todos os existentes), criminosos imediatamente exploraram sua popularidade repentina, permitindo que pesquisadores de ameaças comprassem mais de 500.000 nomes de usuário e senhas do Zoom por menos de um centavo cada .

Zoom lidera as paradas semanais de download


Neste caso, ninguém "hackeou" o Zoom. Ninguém explorou uma vulnerabilidade específica no software do Zoom. Os invasores apenas testaram algumas das bilhões de credenciais previamente expostas em outras violações no Zoom e descobriram que funcionaram muito bem.

Elas funcionaram porque as pessoas reutilizam credenciais. E as pessoas reutilizam credenciais devido ao número crescente de atividades digitais nas quais se envolvem. Cada conta aberta em um serviço de streaming, plataforma de mídia social ou aplicativo corporativo é outra oportunidade de reutilizar credenciais. Já em 2015, uma análise do Dashlane de dados de mais de 20.000 usuários descobriu que o usuário médio tinha 90 contas online . Só nos EUA, essa média foi de 130. Nos últimos cinco anos, o uso de serviços digitais só cresceu e, junto com ele, a necessidade de credenciais.

No mundo corporativo, o número de credenciais exigidas é igualmente preocupante. Uma pesquisa da LastPass “descobriu que em empresas maiores com mais de 1.000 funcionários, esperava-se que o funcionário médio tivesse cerca de 25 logins exclusivos. Esse número sobe para 85 nas menores empresas, números e símbolos demais para uma pessoa comum conseguir acompanhar. Funcionários que não têm um gerenciador de senhas disponível quase inevitavelmente recorrerão à reutilização de senhas ou a senhas comuns que são facilmente quebradas por ataques de dicionário.”

Evidências anedóticas dizem que mesmo aqueles que usam um gerenciador de senhas podem reutilizar senhas em outras propriedades.

Os invasores sabem disso. O sucesso deles em obter acesso a contas pessoais e corporativas se deve à proliferação da reutilização de senhas e a uma técnica conhecida como “credential stuffing”.

Credential stuffing é uma técnica de ataque que usa listas de credenciais para tentar acessar aplicativos e sites. Por meio da maravilha da automação, os invasores podem iterar sobre uma lista de milhares de credenciais em minutos, "colocando" cada uma delas em uma tela de login até encontrarem aquelas que funcionam.

A expansão de aplicações devido à transformação digital agrava o problema ao oferecer superfícies de ataque adicionais para os criminosos. A pandemia levou as organizações a oferecer recursos digitais, expandindo assim tanto o conjunto de credenciais quanto os possíveis alvos para invasores.

Existem práticas recomendadas estabelecidas que podem ajudar empresas e consumidores a se protegerem contra ataques de preenchimento de credenciais.

  • Os usuários devem prestar muita atenção ao gerenciamento de senhas para uso profissional e pessoal. Usar técnicas simples, como intercalar uma sequência de senha complexa comum com certos caracteres do nome do site, pode ajudar a reduzir a ansiedade sobre o esquecimento de credenciais, o que leva à reutilização de senhas. Por exemplo, a senha do Bank of America seria B<string complexa>A e do Wells Fargo seria W<string complexa>F ou variações semelhantes.
  • As senhas padrão na infraestrutura — tanto corporativa quanto residencial — devem ser alteradas imediatamente. Em casa, isso significa roteadores, modems, câmeras, sistemas de automação residencial e pontos de acesso sem fio. Na empresa, isso inclui infraestrutura como roteadores e switches ou aplicativos operacionais usados por administradores para gerenciar a infraestrutura de aplicativos. (Nos anos 90, usar SSH para roteadores usando configurações de administrador padrão era um hack comum.)
  • Use navegadores diferentes para atividades financeiras, comerciais e recreativas para minimizar o comprometimento por MITBs (Man in the Browser). Altere suas configurações para limpar o cache e os cookies ao sair e crie o hábito de fechar o navegador sempre que fizer logout.

À medida que a pandemia continua a remodelar a maneira como interagimos uns com os outros e com as organizações, o número de aplicativos e contas dos quais dependemos continuará sendo uma oportunidade atraente para invasores. A realidade é que não é possível evitar nenhum ataque. Você não tem controle sobre as ações dos maus atores. Mas você pode tomar medidas para evitar um ataque bem-sucedido .

 

Para mais informações sobre credential stuffing, confira The Credential Crisis: Está realmente acontecendo no F5 Labs .