O Banco do Estado do Rio Grande do Sul (Banrisul) avalia uma ação judicial contra a empresa de segurança russa Kaspersky Lab que divulgou um ataque contra uma instituição financeira, cujo nome não foi revelado, mas possui as mesmas características da companhia gaúcha. A insinuação foi o suficiente para que ao menos dois sites de tecnologia e uma empresa de segurança apontassem o banco como alvo ou possivel alvo da ação. Porém, há divergências do ocorrido na data do ataque e um especialista ouvido pelo G1 observa “extrapolações” por parte da empresa russa.
O ataque foi divulgado no Security Analyst Summit (SAS), um evento da própria Kaspersky Lab, na terça-feira passada (4). O analista russo Dmitry Bestuzhev e o brasileiro Fabio Assolini relataram um ataque em que a página de um grande banco passou a distribuir um vírus para roubar não só as senhas dessa instituição financeira, mas também as de outras empresas. Segundo eles, os hackers conseguiram isso ao ter tomado o controle da gestão do endereço de internet do banco alvo no dia no dia 22 de outubro.
Com o controle sobre o endereço de internet, os invasores teriam conseguido acesso quase total ao banco, inclusive ao e-mail corporativo dos 36 endereços de internet (domínios, na linguagem técnica) da instituição. Os analistas chegaram a afirmar, segundo a revista de tecnologia “Wired”, que acreditam que os invasores teriam “redirecionado todo o tráfego de caixas eletrônicos e pontos de venda do banco para roubar dados de cartões de crédito” e que a instituição ficou impossibilitada de mandar e-mails.
“Tudo perdido em questão de horas: Kaspersky Lab descobre sequestro relâmpago da rede digital de um banco” foi o título de um comunicado da Kaspersky Lab à imprensa, que também não menciona o nome da instituição. Apesar do “tudo perdido”, a companhia russa, admite desconhecer a dimensão do prejuízo. Na mídia internacional, a Kaspersky Lab disse também que o banco não veio a público sobre o ocorrido.
Apesar de não terem citado o nome do banco, os analistas revelaram diversos dados da instituição: atua no Brasil, mais de 500 agências, ativos de aproximadamente US$ 25 bilhões (cerca de R$ 75 bilhões), fundada no início do século XX e presença nos Estados Unidos e nas Ilhas Cayman. Citibank (se considerar apenas Brasil), Banco Votorantim e Banrisul possuem ativos no patamar indicado, mas, dos três, só o Banrisul possui o número de agências similar ao descrito pela companhia. O banco gaúcho foi fundado em 1928.
A data do ocorrido também coincide com a de um ataque idêntico ao descrito pelos especialistas e que foi apontado na época pelo próprio Fabio Assolini, via Twitter (o caso foi registrado pelo G1). O alvo do ataque era o Banrisul, mas o analista apagou o tuíte (foto). A empresa foi consultada sobre isso, mas não respondeu até a publicação da reportagem.
Essas semelhanças e outras informações permitiram que ao menos dois sites de tecnologia brasileiros, o “Gizmodo” e o “Adrenaline”, e uma empresa de segurança, a SSL Store, associassem o ataque ao Banrisul. No Twitter e em fóruns na web, como o “WebHosting Talk”, outros internautas também levantaram o nome do banco.
Mas as estimativas de duração e impacto do ataque divergem do que foi sofrido pelo Banrisul, e muito. Embora o ataque contra o site do banco em si tenha durado cinco horas, a Kaspersky Lab alega que a ação estudada por seus especialistas teve uma preparação prolongada e se estendeu por meses. Os invasores, já com o controle do domínio durante todo esse tempo, teriam emitido um certificado digital em nome da instituição e depois aguardado a hora para realizar o ataque, que ocorreu no dia 22, um sábado, “quando as equipes de segurança estão menos ativas”, explica a empresa.
“O trabalho de dimensionamento, contratação de nuvem e [a emissão de três certificados digitais em nome do banco] indicam que, de fato, o compromisso inicial da gestão do DNS [endereço de internet] tinha acontecido muito antes do ataque, que finalmente aconteceu em outubro 2016″, disse a Kaspersky Lab à coluna Segurança Digital.
Esses detalhes, a princípio, não estão em linha com o que aconteceu no dia 22 de outubro ou com o Banrisul. A “gestão do DNS” a qual a Kaspersky se refere é uma conta no Registro.br, o serviço brasileiro para gestão de endereços de internet. Quem possui um endereço terminado em “.br” deve possuir uma conta (usuário e senha) no Registro.br para representa-lo. É apenas a senha do banco nesse serviço que teria sido obtida pelos invasores.
Frederico Neves, diretor de Serviços e de Tecnologia do NIC.br, que gerencia o Registro.br, garantiu, sem citar o nome da instituição, que não houve acesso prolongado de “meses” à conta do banco, nem exploração de falha no serviço prestado pelo NIC.
Segundo o especialista, a conta envolvida no ataque do dia 22 foi acessada indevidamente apenas “algumas horas” antes do ataque através do mecanismo de recuperação de senhas. “Os autores do trabalho [analistas da Kaspersky] demonstram ter acesso parcial a evidências do evento e extrapolaram dados apresentados”, disse Neves. O NIC.br publicou um comunicado sobre o caso nesta terça-feira (11), reforçando que não houve brecha no serviço prestado pela organização.
O Banrisul diz desconhecer qualquer relação do incidente com o que foi divulgado pela Kaspersky Lab, “pois muitos dados, em especial os relativos à extensão dos danos, domínios e canais afetados e profundidade do ataque, não conferem com o incidente efetivamente enfrentado por nossa instituição no ano passado”.
Segundo o banco, a ação de “origem externa à sua infraestrutura”, foi imediatamente tratada e não gerou prejuízo aos clientes. Também diferente do que afirma a Kaspersky Lab – de que o banco não veio à público sobre o ocorrido -, o Banrisul reconhece o incidente, apenas não a extensão e o potencial de prejuízo especulado pela Kaspersky Lab.
Apesar de não reconhecer o ataque tal como descrito, o banco, que acabou apontado por terceiros como a instituição envolvida nas revelações, revelou estar estudando uma ação judicial com base no artigo 3º da lei 7.492. A lei prevê reclusão de até seis anos para quem “divulgar informação falsa ou prejudicialmente incompleta sobre instituição financeira”.
Certificados digitais e infraestrutura
Foi um detalhe técnico dado sobre o ataque que permitiu à certificadora SSL Store apontar o Banrisul como possível alvo do ataque discutido pelos analistas da Kaspersky Lab: o uso de um certificado assinado pela Let’s Encrypt. A empresa apontou para a existência de registros públicos que provam a emissão de dois certificados para endereços do Banrisul no dia 22 de outubro. (veja o relato da empresa, em inglês, e a imagem ao lado)
A Let’s Encrypt é uma organização que assina certificados digitais gratuitamente para promover a segurança na web. Um certificado da Let’s Encrypt vale por 90 dias, mas o dono do endereço de internet pode sempre renová-lo.
Josh Aas, fundador da Let’s Encrypt, explicou ao G1 que o sistema da Let’s Encrypt funciona validando o controle do endereço. “Certificados do tipo Domain Validation (DV) garantem o controle sobre nomes de domínio [endereços] e se o controle do DNS foi perdido, então o domínio foi perdido”, explicou ele. Porém, como o sistema da Let’s Encrypt é inteiramente automatizado, qualquer certificado emitido para um invasor pode ser imediatamente revogado após a recuperação do endereço.
No caso do Banrisul, apenas um dos dois certificados foi revogado. Questionado, o banco não comentou sobre esse fato. Certificados digitais podem ser empregados para dar mais legitimidade ao ataque chamado “man in the middle”, que ocorre quando um invasor interfere com o acesso do internauta. Redes sem fio públicas são as mais vulneráveis a esse tipo de técnica, e é por isso que usuários são orientados a não acessar serviços financeiros por meio delas.
O fundador da Let’s Encrypt explicou que essa é uma das razões para os certificados da organização durarem apenas 90 dias: mesmo que o dono de um endereço não revogue o certificado, o site não ficará exposto a ataques por 12 a 36 meses, que é a duração de certificados tradicionais.
A informação da Kaspersky Lab envolvendo a Let’s Encrypt, porém, guarda mais um ponto de divergência no caso. Segundo a Kaspersky Lab, um certificado da Let’s Encrypt teria sido registrado seis ou cinco meses antes do ataque do dia 22 de outubro (a empresa não informou a data exata).
Só que emitir esse certificado seria um tanto arriscada para os criminosos, pois o banco poderia perceber algo de errado e bloquear o ataque. Sendo um certificado da Let’s Encrypt válido por apenas 90 dias, ele não estaria válido cinco meses depois, embora um dos textos da Kaspersky Lab sugira exatamente isso (“meses antes do incidente, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque”, veja). A empresa russa justifica que foram usados três certificados diferentes, mas não informou se outra certificadora além da Let’s Encrypt – que emitiria um certificado mais duradouro – foi envolvida.
Com isso, tem-se mais uma divergência. A Let’s Encrypt garante que emitiu apenas dois certificados para endereços “Banrisul”, nenhum deles com mais de 90 dias. “Se existiu um terceiro certificado emitido bem antes, ele não é nosso ou não tinha ‘banrisul’ no nome. Teria curiosidade de ver esse certificado, se ele de fato existe”, afirmou Aas.
Questionada, a Kaspersky Lab não informou em que condições o tal terceiro certificado foi encontrado, justificando que a “investigação está em andamento”.
A última alegação da Kaspersky Lab, de que os criminosos “dimensionaram a infraestrutura” para receber o fluxo de visitas de uma grande instituição financeira, também é problemática. No caso do Banrisul, os criminosos utilizaram Google Cloud, um serviço de “nuvem” do Google. A vantagem de serviços em nuvem é justamente não exigir muito planejamento: a qualquer momento ele pode se expandir para atender mais visitantes. Além disso, o Google Cloud oferece uma avaliação gratuita do serviço, que também é pós-pago.
Com tantas divergências, é impossível afirmar que a Kaspersky Lab está realmente falando do incidente do Banrisul. Por outro lado, dadas as informações do banco gaúcho e a data do ataque, não parece haver outra instituição que se encaixe no incidente. Com a riqueza de dados sobre a vítima aliada à falta de detalhes técnicos precisos, no momento fica difícil acreditar que esse incidente, tal como descrito pela Kaspersky Lab, realmente ocorreu com qualquer instituição no Brasil.
G1
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/banco-avalia-acao-judicial-apos-kaspersky-exagerar-ataque-hacker.html
