Erros comuns de PMEs: o ataque à rede de fornecedores

Estudo de caso: uma análise de práticas de segurança insuficientes em uma pequena agência de publicidade.

Bill não gosta de ligações pela manhã. Não que seja preguiçoso; ele só acha que o trabalho deve começar depois que o equilíbrio emocional das pessoas tenha sido reestabelecido após o caos do deslocamento matinal – e certamente não antes da segunda xícara de café. Mas o telefone não parava de tocar.

“Porque a pessoa não desiste? Não aprendeu que é rude não desligar depois de três toques? Que falta de respeito! E se eu estiver ocupado com algo importante?”, resmunga Bill ao tentar desenterrar seu telefone de uma pilha sobre a sua mesa enquanto o aparelho toca novamente.

“Bill, meu pendrive não está carregando”, lamenta o designer gráfico pelo telefone.

“É porque desabilitei todas as portas da sua máquina há décadas! Você sabe que todos os arquivos precisam ser carregados por meio de um computador protegido – fale com o Alberto. Se pudesse, eu te desconectaria da internet!”, responde, e completa em pensamento “e arrancaria seus braços também”.

“Eu sei, eu sei! Mas não é apenas comigo – não carrega no computador de ninguém! Por favor, me ajude, é um projeto realmente importante. Temos que alterar o layout rápido ou vão me matar. O Alberto só volta depois do almoço”.

“Dwight, concordamos que todas as tarefas passam pelo Alberto, todos os documentos passam pelo computador dele. É o único do departamento que possui antivírus. De qualquer forma, quem enviou de repente esses arquivos pelo pendrive?”.

“A Cristina. Ela me pediu para fazer algumas correções urgentes no layout do folheto. Precisa ser impresso imediatamente. Ela vai me matar se isso não for feito logo, e não se importa se o Al não está por perto. Você sabe como ela é”.

“Seus pendrives serão a minha morte. Tá bem, já estou indo”.

Bill desliga e olha pensativo para o teto. Ok, a chefe deles motiva aquele desespero – e não está nem aí para convenções como o procedimento para transferir arquivos de fontes externas. O administrador de sistemas fica de pé, se alonga, coloca seu laptop embaixo do braço e vai para a área de design.
Os proprietários da agência de publicidade Magenta Elk consideram-se bem espertos. Desde o seu início como um estúdio de design familiar, a microempresa se transformou em uma empresa com quase 100 funcionários. Agora tem um departamento completo de designers, um diretor de criação capaz de acertar até mesmo com o cliente mais delirante, um departamento de desenvolvimento Web, e até mesmo sua pequena gráfica. Dentre os seus clientes estão várias multinacionais importantes que confiam suas campanhas de publicidade à agência.

No entanto, os donos nunca encontraram recursos para um departamento de TI minimamente decente. Bill gerencia todo o equipamento; consertava computadores a domicílio antes de ser contratado alguns anos atrás. Nunca conseguiu convencê-los a admitirem pelo menos mais um funcionário para ajudar.

“Me dê seu pendrive!”, rosna Bill ao abrir seu laptop enquanto se aproxima. “O que você lê aqui? Tudo está funcionando na minha máquina. Drivers estão sendo instalados… verificar, pode apostar… abrir… aqui está a pasta do projeto”.

Neste ponto, o antivírus exibe uma janela vermelha “Objeto malicioso Trojan.downloader.thirdeye.n foi detectado“. Bill fica boquiaberto em frente à tela.

“Dwight, que raios é isso?! Você tentou abrir isso em qualquer outro lugar?”, Bill aponta com o dedo para o arquivo Layout_corrections.docx.exe.

“Bem, de que outra forma eu saberia quais alterações fazer? Eu tentei, mas não abria de jeito nenhum. Eu cliquei e não aconteceu nada”.

“Não consegue ver que nem mesmo é um documento?! A extensão é EXE!”

“Não consigo ver nenhuma extensão! Consigo ver o ícone e o nome. Por que está gritando comigo? Tudo o que fiz foi tentar abrir o arquivo da Cristina!”.

“Faz sentido, acho. As extensões de arquivos conhecidos não são mostradas”, reflete Bill. “Tudo bem, vamos ficar calmos: em quais computadores você tentou acessá-lo?”.

“Bem, no da Anna Miller, da contabilidade. No laptop do fotógrafo. E no da Lena da logística. E no do Tom do desenvolvimento. E no da Kate… o que há de errado, é um vírus? Não é minha culpa! Talvez o fotógrafo estivesse contaminado!”.

“Isso não é apenas um vírus qualquer – é um Trojan feito especialmente para você! Não contamina apenas computadores aleatórios; alguém colocou isso especificamente nesse pendrive!”. Bill acessa a interface Web do roteador para isolar os computadores mencionados. “A propósito, onde você conseguiu a senha da Cristina? Ela saiu ontem para uma viagem de negócios”.

“Está anotada em um pedaço de papel embaixo do teclado – todo mundo sabe disso…” murmura o designer, ainda na defensiva. “Eu não levei para casa ou nada assim, encontrei aqui apenas ontem!”.

“O que você quer dizer com ‘encontrei’?”, diz um Bill assustado.

“Bem, quero dizer que ela deixou um bilhete na recepção pedindo que eu ajustasse o layout imediatamente”.

“Você está louco? Cristina esteve aqui o dia inteiro ontem. Por que raios ela precisaria deixar um pendrive com instruções em um post-it? Ela deixa muitos bilhetes para você? Você sabe que ela prefere conversar pessoalmente. E tinha acabado de colocar os arquivos no servidor! Droga, o servidor!”, Bill começa a digitar no teclado novamente. “Qualquer pessoa pode deixar qualquer coisa na recepção. A que horas isso aconteceu, exatamente?”.

“Bem, não sei. Era tarde e eu estava prestes a ir embora, então a Ivone disse que alguém havia deixado um envelope com um pendrive para mim. Ela estava saindo para um lanche, mas não viu quem era. Eu voltei, tentei abrir no laptop da Anna e no da Cristina, então – bem, você sabe o resto”.

“Dwight, você entende que alguém — ” o discurso é interrompido por uma ligação. É o CEO. “Tenho um mau pressentimento sobre isso…”.

“O que aconteceu? Por que não está na sua mesa?”, pergunta o CEO mal-humorado.

“Desculpe, os designers estão com um problema. Alguém deixou um pendrive — ”

“Esquece os designers”, interrompe o CEO. “Eu acabei de receber uma ligação da Österberg & Jones. O site da empresa está espalhando vírus desde ontem à noite. Somos as únicas pessoas que também têm acesso à página – para atualizar banners. Eu preciso provas de que não fomos nós. Supondo que não fomos nós”.

“Humm.. Quem teve acesso?”, pergunta Bill, suando frio.

“Não sei, exatamente. Algumas pessoas do desenvolvimento Web; eles fizeram o site. Talvez Dwight. Cristina com certeza – é cliente dela e você sabe que ela ama controlar tudo”.

“Humm… acontece que…”, a voz de Vítor se cala de repente. “Na verdade, acho que fomos nós”.

“Bem, estamos encrencados. Eles estão ameaçando com processos. Se fomos nós, então temos muitas explicações para dar. Preciso de uma análise detalhada até o final do dia. Se precisa de especialistas externos para a investigação, já me diga. Preciso de um relatório honesto e completo em mãos quando for rastejando até a Österberg & Jones. Agora faça um resumo rápido. O que aconteceu?”.

“Parece que alguém nos entregou deliberadamente um pendrive infectado. A Österberg & Jones era provavelmente o verdadeiro alvo. Você sabe como são as questões de segurança. Faço o que posso, mas estamos com falta de equipamento, pessoas, materiais… Até mesmo o antivírus não está — “.

“Ok, ok, entendi. Esse é seu jeito educado de dizer que sou um idiota. Vai ter sua equipe, e antivírus para todos. Se sobrevivermos a isso. O que duvido muito”.

Lições

  • O procedimento da empresa para trabalhar com arquivos de fontes externas é perfeitamente bom e adequado. Mas não é seguido, porque alguns funcionários acreditam que uma tarefa é mais importante do que segurança. Na realidade, segurança deve ter mais prioridade do que até mesmo ordens diretas da administração.
  • Muitas pessoas têm acesso aos recursos do cliente, um problema ainda pior pelo fato de que ninguém sabe exatamente quem pode acessá-los. Idealmente, essa informação deve ser conhecida por um funcionário, no máximo dois. Além disso, credenciais de acesso devem ser exigidas em cada login. Salvá-las no navegador é uma ideia extremamente ruim, assim como acessar o site de um computador desprotegido.
  • Ter senhas escritas em um papel e presas embaixo do teclado pode soar ridículo, mas é na verdade bastante comum em muitas empresas. Isso é totalmente inaceitável – ainda que ninguém frequente seu escritório, às vezes membros da equipe podem causar o mesmo dano.
  • Uma solução de segurança confiável deve ser instalada em todas as máquinas, sem exceção.
Dicas