Kevin Mitnick: Os conselhos do ex-hacker para manter as empresas seguras

O maior hacker do período do boom da Internet falou com a Risco para assinalar os riscos que as empresas correm sempre que desvalorizam a segurança dos seus sistemas.

Por Jonathan Littman

Há mais de 20 anos, numa noite de Inverno, corri da minha casa, perto de São Francisco, para uma cabine telefónica para receber uma chamada do ciberfugitivo mais procurado do mundo. Ao longo de quase um ano, Kevin Mitnick telefonou-me dezenas de vezes, à medida que detectives cibernéticos e o FBI localizavam os seus rastos digitais.

Por fim, Mitnick foi capturado numa caça ao homem a nível nacional, dramatizada na primeira página do “New York Times” e descrita no meu livro, “‡e Fugitive Game”. Mitnick pagou caro pelos seus crimes espectaculares. Mas hoje o lendário ex-hacker tem uma nova missão: salvá-lo a si e à sua empresa de possíveis perdas, que podem chegar aos milhões de euros. Após cinco anos numa prisão federal, Mitnick transformou-se num perito em intrusão altamente conceituado e também num orador público internacional. As actuações públicas do hacker são espectáculos artísticos e improvisados que expõem a nossa vulnerabilidade. Mitnick é um “mágico digital”. Certa vez, vi-o dar uma palestra de segurança a 200 executivos no salão de baile de um hotel de luxo de Carmel, Califórnia.

Poucos minutos após o lançamento da sua palestra, Mitnick obteve o controlo total do computador de uma mulher na audiência, projectando prontamente o ambiente de trabalho do seu portátil para o ecrã gigante do salão, para que todos pudessem ver. A mulher ficou traumatizada, quase a chorar, mas a mensagem de Mitnick era clara como água. O hacker, que já obteve acesso global ao código fonte secreto da Motorola através de engenharia social (uma mistura hábil de truques, psicologia e destreza técnica), deu uma aula magistral e mostrou como um ataque informático devastador pode estar a apenas um clique de distância.

Quando a Risco me pediu para escrever sobre como os CFO poderiam proteger melhor as suas empresas face aos riscos financeiros e de propriedade intelectual dos numerosos ataques informáticos que se verificam actualmente, não consegui pensar em ninguém melhor para entrevistar do que Kevin Mitnick, o chief hacking officer da KnowBe4, uma startup unicórnio especializada na formação de sensibilização para a segurança. Sensibilização e comportamentos Kevin Mitnick está na Austrália, onde tem andado a evitar a pandemia. Onde devem os CFO concentrar os seus esforços para evitar o perigo? Mitnick chama a atenção para os ataques de “phishing”, que estão a aumentar: «Os hackers são muito sofisticados e dominaram a capacidade de fazer com que os ataques de phishing pareçam muito reais.» Os riscos variam, desde ataques de ransomware a roubo de fundos ou de PI. Para combater essas ameaças, Mitnick e a KnowBe4 criaram um guia de Alertas da Engenharia Social, com conselhos para identificar emails problemáticos. O conselho de Mitnick é que «sejam particularmente cautelosos antes de abrirem um email com anexo ou hiperlink».

Muitas vezes, o objectivo do atacante é «enganar as pessoas para que estas coloquem as suas credenciais, o seu nome de utilizador e a sua palavra-passe». Eis um truque inteligente: fazer parecer que as pessoas estão «a clicar num botão, mas na verdade é um link disfarçado». Esta não é uma ameaça que possa ser totalmente eliminada através da leitura, da instalação de software ou da contratação de técnicos mais inteligentes. Para começar, a maioria das empresas não dispõe de recursos suficientes para salvaguardar devidamente os seus sistemas contra o risco. «Muitas empresas até mil colaboradores não dispõem de pessoal de TI a tempo inteiro», salienta Mitnick. Mas é possível mitigar a exposição através de uma maior noção de segurança. «Podem ler até saber tudo, mas a menos que desenvolvam uma melhor segurança, isso não servirá de nada», explica Mitnick. «Estamos a encorajá- los a mudar o comportamento. A mudar a cultura.» Mitnick descreve este processo como “inocular” o utilizador, «aumentando a consciência», através da simulação de ataques de phishing. Os clientes recebem acesso a uma plataforma da KnowBe4, onde podem enviar ataques simulados personalizados aos seus próprios funcionários.

«As pessoas não gostam de ser enganadas. Por isso, aconselhamo-las a fazer este teste», diz. «Para reduzirem os riscos, testam periodicamente a sua noção para melhorar a segurança. Simulamos o que os maus da fita estão a fazer.» Se alguém morder o isco, «em vez de ficar preso ao malware», explica Mitnick, «tem de ver um dos meus vídeos de treino». O objectivo? Treinar os utilizadores de forma a desenvolverem um “sexto sentido” para emails com sinais de aviso, como má ortografia ou gramática. Reparar em títulos de assuntos estranhos e horas invulgares a que são enviados os emails, e mensagens enviadas por alguém com quem normalmente não se comunica. Ou aprender a posicionar o rato sobre um link sem clicar para ver onde ele realmente vai levar. «A capacidade de analisar rapidamente um email torna-se instintiva», diz Mitnick. Noventa dias após o início dos testes periódicos, afirma, o número de utilizadores que cairiam nas presas dos ataques simulados reduziu para metade. Sozinhos em casa Mas há toda uma nova classe de riscos que as empresas têm de enfrentar com o aumento drástico dos colaboradores remotos e distribuídos. «O foco estará nos trabalhadores à distância, porque são o elo mais fraco», explica Mitnick.

Os hackers podem sondar centenas de colaboradores de uma única empresa para encontrarem a solitária vulnerabilidade que, em última análise, lhes garante acesso global. De repente, é como se fosse preciso proteger uma vila inteira ou uma cidade. Esta realidade acelerada pela pandemia abre as empresas a um conjunto de novos ataques técnicos e de engenharia social. Por exemplo, dado que a maioria dos routers “plug-and-play” vêm pré-carregados com palavras-passe padrão, que as pessoas raramente se dão ao trabalho de mudar, um processo rigoroso para palavras-passe de router eficazes é fundamental. Mas isso pode não ser suficiente. Os colaboradores em casa devem também evitar cair no que Mitnick chama de «ataque de engenharia social na cadeia de fornecimento». Neste estratagema, os criminosos «enviam um router pré-configurado para a vítima em casa» sob o pretexto de que vem de alguém do departamento de TI, e dizem que «basta desligar o seu antigo router e ligar este». É claro que as redes Wi-Fi domésticas dos colaboradores representam outra vulnerabilidade.

Mesmo uma das empresas de tecnologia de elite de Silicon Valley foi recentemente atacada desta forma. «O Twitter, como sabem, ficou comprometido, por causa de um funcionário que estava a trabalhar em casa», explica o ex-hacker. «Um adolescente usou a técnica “Kevin Mitnick”.» O hacker, fazendo-se passar por um funcionário de TI do Twitter, telefonou para o funcionário em casa e fingiu acompanhá-lo na reconfiguração do seu serviço VPN. Um clássico “pretexto” de engenharia social. Esse erro foi dispendioso. Segundo o “New York Times”, «quando os hackers terminaram, já tinham entrado em 130 contas e levantado novas dúvidas significativas sobre a segurança do Twitter». O esquema compensou 150 mil euros em Bitcoin antes de o adolescente de 17 anos ter sido preso. Mitnick alerta: «Protejam as vossas credenciais!» Visão a longo prazo Ninguém está a salvo. Outro perito em segurança, Adam Levin, fundador da empresa de segurança CyberScout, afirmou ser boa ideia assumir que «a organização será sempre “alvo de interesse” para um hacker, quer pelos seus dados, quer pelo acesso aos dados de clientes». A verdade é que, muitas vezes, os executivos e colaboradores podem ser o maior risco. Uma palavra- passe descuidada ou um clique num pedido inocente de um colega de trabalho pode custar centenas de milhares ou mesmo milhões de euros.

Quer se trate de 500 ou cinco mil colaboradores, não é suficiente instalar firewalls robustas ou o mais recente software de segurança. Um erro humano pode levar a um desastre. A segurança é um investimento crucial para o futuro da sua empresa. Levin acrescenta: «Não corte no investimento. Invista em peritos de segurança qualificados e experientes, e implemente todas as suas recomendações. Faça regularmente verificações para se certificar de que está em conformidade com qualquer legislação relevante onde faz negócios. Especialmente o RGPD e a CCPA.» Mitnick e Levin aconselham, ambos, uma visão a longo prazo. O recente ataque à SolarWinds, em que agentes dos serviços secretos russos ganharam sub-repticiamente a capacidade de espiar dezenas de milhares de clientes, prova que a procrastinação pode ser fatal. «Recentemente veio a público que a liderança da SolarWinds ignorou vários avisos urgentes de peritos de segurança, um dos quais a informou em 2017 que uma quebra de dados era “inevitável”», observa Levin. «Saltando rapidamente para 2021, a empresa é agora o rosto da violação de dados mais catastrófica do nosso tempo.» Dado que este ataque dissimulado explorou o processo de actualização de software «para inflitrar malware», Kevin Mitnick adverte que as empresas estão agora a enfrentar uma classe de vulnerabilidade inteiramente nova.

A próxima actualização de software poderá colocar toda a empresa em risco. Como saber, então, em que software confiar? Mitnick alerta para a necessidade de «um plano coordenado que inclua tecnologia sólida, formação e sensibilização. O custo de uma infracção está estimado em 3,18 milhões de euros a nível mundial. Não inclui apenas o custo de um ataque de resgate ou violação de dados, mas também o potencial de multas governamentais, aumento dos prémios de seguros cibernéticos ou processos judiciais». «A empresa precisa que os executivos de topo atribuam uma parte do orçamento à segurança», conclui Mitnick. «Se não houver pessoal de TI, trata-se de encontrar um parceiro ou parceiros externos que possam ajudar a empresa. É preciso examinar o risco do negócio. Se a empresa for pirateada mais do que uma vez e tiverem ransomwares na sua rede, será que vai pagar o resgate ou tentar recuperar [os dados]? Qual o potencial rombo nas finanças da empresa? Assim que a empresa tiver um quadro completo das ameaças, vulnerabilidades e riscos que enfrenta, então é claro que precisa de desenvolver um plano de segurança para mitigar esse risco.»

Actualmente, as ameaças podem vir de muitos intervenientes e vectores maliciosos, como hackers adolescentes e gangues criminosos internacionais, mas também da simples ingenuidade, colaboradores remotos, palavras-passe descuidadas e firewalls com fugas de informação. E é por isso que Kevin Mitnick está cheio de trabalho. A KnowBe4 é já um unicórnio, em modo de hipercrescimento, e o ex-hacker está a fazer horas extraordinárias para os clientes sondarem o valor das suas defesas cibernéticas, enquanto filma novos vídeos para ajudar milhares de colaboradores a anteciparem os últimos truques dos vilões que tão bem conhecem. «É o que sempre quis fazer», diz Mitnick. O brilhante e veterano hacker, que há muito tempo trocou de lado, está a descobrir que o mundo precisa verdadeiramente dos seus poderes “mágicos” para se manter à frente do jogo.