{"id":15199,"date":"2020-05-18T15:53:17","date_gmt":"2020-05-18T18:53:17","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15199"},"modified":"2020-05-18T20:04:54","modified_gmt":"2020-05-18T23:04:54","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/snow-queen-cybersecurity\/15199\/","title":{"rendered":"A Rainha da Neve: um relato de ciberseguran\u00e7a em sete hist\u00f3rias"},"content":{"rendered":"

Voc\u00ea sabe sobre o que \u00e9 a hist\u00f3ria do conto de fadas A Rainha da Neve<\/em>, do especialista em ciberseguran\u00e7a dinamarqu\u00eas Hans Christian Andersen? Uma garota corajosa que derrota a personifica\u00e7\u00e3o do inverno e da morte para salvar sua amada amiga? Se n\u00e3o achava que era sobre isso, pense mais um pouco.<\/p>\n

Vamos ser realistas: trata-se de um relato bastante detalhado de uma investiga\u00e7\u00e3o da especialista em seguran\u00e7a da informa\u00e7\u00e3o Gerda sobre como Kai foi infectado por um desagrad\u00e1vel sofisticado malware. Este conhecido conto de fadas \u00e9 escrito por meio de sete hist\u00f3rias que correspondem claramente \u00e0s etapas da investiga\u00e7\u00e3o.<\/p>\n

Hist\u00f3ria 1: O espelho e seus fragmentos<\/h2>\n

Se voc\u00ea j\u00e1 leu o nosso blog de especialistas Securelist.com<\/a> (ou qualquer outra pesquisa bem feita de seguran\u00e7a da informa\u00e7\u00e3o), provavelmente sabe que os relat\u00f3rios de investiga\u00e7\u00e3o de forma geral come\u00e7am com uma an\u00e1lise do hist\u00f3rico de incidentes. No conto de Andersen n\u00e3o \u00e9 diferente: sua primeira hist\u00f3ria investiga as pr\u00f3prias origens do caso Kai.<\/p>\n

Era uma vez (de acordo com os dados de Andersen<\/a>) um duende que havia criado um espelho m\u00e1gico com o poder de diminuir as qualidades das pessoas e ampliar seus defeitos. Os aprendizes quebraram o tal espelho em bilh\u00f5es de peda\u00e7os, que penetraram nos olhos e no cora\u00e7\u00e3o das pessoas, mas mantendo as propriedades originais de distor\u00e7\u00e3o da realidade. Algumas pessoas inseriram esses fragmentos em vidra\u00e7as, distorcendo as percep\u00e7\u00f5es. Outras as usavam como lentes de \u00f3culos.<\/p>\n

J\u00e1 aprendemos com a Branca de Neve <\/em><\/a>que os contadores de hist\u00f3rias costumavam usar espelhos como uma met\u00e1fora para telas em um sentido amplo: TVs, computadores, tablets, telefones \u2013 voc\u00ea entendeu (literalmente).<\/p>\n

Ent\u00e3o, traduzindo as palavras de Andersen da linguagem das alegorias para o nosso entendimento: um hacker poderoso criou um sistema com um navegador embutido que distorcia sites. Posteriormente, seus aprendizes usaram partes do c\u00f3digo-fonte para infectar um grande n\u00famero de dispositivos Microsoft Windows e at\u00e9 \u00f3culos de realidade aumentada.<\/p>\n

De fato, o fen\u00f4meno n\u00e3o era nada incomum. O vazamento pelo exploit EternalBlue \u00e9 um grande exemplo. Ele levou \u00e0s pandemias WannaCry e NotPetya<\/a>, bem como a v\u00e1rios outros surtos de ransomware menos devastadores. Mas n\u00f3s discordamos. De volta ao nosso conto de fadas.<\/p>\n

Hist\u00f3ria 2: Um rapazinho e uma menina<\/h2>\n

Na 2a hist\u00f3ria, Anderson faz um relato mais detalhado de uma das v\u00edtimas e do vetor inicial de infec\u00e7\u00e3o. De acordo com os dados dispon\u00edveis, Kai e Gerda se comunicavam por janelas adjacentes do s\u00f3t\u00e3o (comunica\u00e7\u00e3o baseada em \u201cWindows\u201d!). Em um certo inverno, Kai viu pela janela uma mulher estranha e bonita envolta em um tule branco ultrafino. Este foi o primeiro encontro de Kai com o hacker (a seguir designado por seu nome, \u201cA Rainha das Neves\u201d).<\/p>\n

Pouco tempo depois, Kai foi tomado por uma sensa\u00e7\u00e3o de punhalada no cora\u00e7\u00e3o e algo incomodando seus olhos. \u00c9 assim que Andersen descreve o momento da infec\u00e7\u00e3o. Depois que o c\u00f3digo malicioso entrou em seu cora\u00e7\u00e3o (n\u00facleo do sistema operacional) e olho (dispositivo de entrada de dados), a rea\u00e7\u00e3o de Kai aos est\u00edmulos externos mudou radicalmente, e todas as informa\u00e7\u00f5es recebidas pareciam distorcidas.<\/p>\n

Algum tempo depois, ele saiu de casa totalmente, amarrando seu tren\u00f3 no da Rainha das Neves. Confiando nela por algum motivo, Kai contou a ela como era capaz de fazer contas aritm\u00e9ticas mentais, mesmo com fra\u00e7\u00f5es, e que sabia o tamanho e a popula\u00e7\u00e3o de cada pa\u00eds. Pequenos detalhes, ao que parece. Mas, como veremos mais adiante, \u00e9 exatamente nisso que a invasora estava interessada.<\/p>\n

Hist\u00f3ria 3: O jardim da mulher que sabia fazer feiti\u00e7os<\/h2>\n

Gerda iniciou sua pr\u00f3pria investiga\u00e7\u00e3o e encontrou uma mulher que, por um motivo qualquer, impediu suas an\u00e1lises. Para ir direto ao ponto, estamos mais interessados \u200b\u200bno momento em que a feiticeira penteava os cachos de Gerda, fazendo-a esquecer de Kai.<\/p>\n

Em outras palavras, a pessoa de alguma forma corrompeu os dados referentes \u00e0 investiga\u00e7\u00e3o. Observe que a ciberarma escolhida, um pente, j\u00e1 \u00e9 conhecida por n\u00f3s. No relat\u00f3rio dos irm\u00e3os Grimm sobre o incidente Branca de Neve<\/em><\/a>, a madrasta usou uma ferramenta semelhante para bloquear sua v\u00edtima. Coincid\u00eancia? Ou esses incidentes est\u00e3o relacionados?<\/p>\n

De qualquer forma, assim como no caso da Branca de Neve, o bloqueio induzido pelo pente n\u00e3o era permanente \u2013 os dados foram restaurados e Gerda continuou sua investiga\u00e7\u00e3o.<\/p>\n

No final da terceira parte do relat\u00f3rio, Gerda perguntou \u00e0s flores do jardim da bruxa, se elas tinham visto Kai. Provavelmente, isso \u00e9 uma refer\u00eancia ao antigo comunicador ICQ, que tinha uma flor como logotipo (e como indicador de status do usu\u00e1rio). Ao se comunicar com a bruxa, Gerda estava tentando obter informa\u00e7\u00f5es adicionais sobre o incidente a partir de seus contatos.<\/p>\n

Hist\u00f3ria 4: O pr\u00edncipe e a princesa<\/h2>\n

A quarta etapa da investiga\u00e7\u00e3o n\u00e3o parece muito relevante. Gerda tentou buscar Kai por meio do banco de dados do governo. Para fazer isso, ela conheceu alguns corvos que lhe deram acesso a um pr\u00e9dio do governo (o pal\u00e1cio real).<\/p>\n

Embora isso n\u00e3o tenha produzido nenhum resultado, Gerda informou o governo sobre a vulnerabilidade e os corvos inseguros. O pr\u00edncipe e a princesa corrigiram a vulnerabilidade, dizendo aos corvos que n\u00e3o estavam bravos com eles, mas que n\u00e3o deveriam fazer aquilo novamente. Observe que eles n\u00e3o puniram os p\u00e1ssaros, mas simplesmente pediram que mudassem seus comportamentos.<\/p>\n

Como recompensa, o pr\u00edncipe e a princesa forneceram recursos a Gerda (uma carruagem, roupas de frio, criados). Este \u00e9 um \u00f3timo exemplo de como uma organiza\u00e7\u00e3o deve responder quando os pesquisadores relatam uma vulnerabilidade \u2013 esperemos que a recompensa n\u00e3o tenha sido um evento ocasional, mas tenha se tornado um programa adequado de recompensa por bugs<\/a>.<\/p>\n

Hist\u00f3ria 5: A pequena salteadora<\/h2>\n

Nesta hist\u00f3ria, Gerda aparentemente caiu nas garras dos bandidos. Andersen realmente usa outra alegoria para explicar que, tendo atingido um beco sem sa\u00edda na etapa anterior da investiga\u00e7\u00e3o, Gerda foi for\u00e7ada a contratar for\u00e7as que, digamos, n\u00e3o cumprem totalmente a lei.<\/p>\n

Os cibercriminosos colocaram Gerda em contato com alguns informantes-pombos, que sabiam exatamente quem era o culpado pelo incidente de Kai. Tamb\u00e9m foi feito o contato com uma rena, que possu\u00eda os endere\u00e7os de alguns contatos \u00fateis na darknet. A ajuda n\u00e3o saiu barata; ela perdeu a maior parte dos recursos obtidos na hist\u00f3ria anterior.<\/p>\n

Para n\u00e3o prejudicar a integridade da jovem pesquisadora, Andersen tenta descrever as rela\u00e7\u00f5es dela com os criminosos como inevit\u00e1veis \u200b\u200b- eles a roubaram primeiro, ele diz, e s\u00f3 ent\u00e3o, com pena de sua v\u00edtima, forneceram informa\u00e7\u00f5es. Isso n\u00e3o parece muito convincente. \u00c9 mais prov\u00e1vel que tenha sido um acordo bom para ambas as partes.<\/p>\n

Hist\u00f3ria 6: A mulher da Lap\u00f4nia e a mulher da Finl\u00e2ndia<\/h2>\n

Em seguida, vem o est\u00e1gio final de coleta das informa\u00e7\u00f5es necess\u00e1rias para a investiga\u00e7\u00e3o pelos contatos da darknet fornecidos pelos bandidos. As renas apresentaram Gerda a uma certa mulher da Lap\u00f4nia, que escreveu em um bacalhau seco uma carta de recomenda\u00e7\u00e3o a pr\u00f3xima informante, uma mulher finlandesa.<\/p>\n

A finlandesa, por sua vez, forneceu o endere\u00e7o do \u201cjardim da Rainha das Neves\u201d \u2013 obviamente o nome do servidor de comando e controle. Um toque agrad\u00e1vel aqui: depois de ler a mensagem, ela jogou o bacalhau em uma tigela de sopa. Ela entendeu a import\u00e2ncia pr\u00e1tica de n\u00e3o deixar vest\u00edgios desnecess\u00e1rios, por isso seguiu cuidadosamente as regras da OPSEC<\/a>. A marca de um profissional experiente.<\/p>\n

Hist\u00f3ria 7: O que aconteceu no pal\u00e1cio da Rainha das Neves e o que se passou depois<\/h2>\n

A s\u00e9tima hist\u00f3ria finalmente explica por que a Rainha das Neves precisava de Kai em primeiro lugar. Ele ficou sentado reorganizando as lascas do gelo, tentando soletrar a palavra \u201ceternidade\u201d. Insano, certo? De modo nenhum. Leia este post, uma cartilha sobre criptografia<\/a>. Como ela explica, os criptomineradores trabalham essencialmente reorganizando um bloco de informa\u00e7\u00f5es para obter n\u00e3o apenas qualquer hash, mas aquelas mais \u201cbonitas\u201d poss\u00edveis.<\/p>\n

Ou seja, Kai tentou organizar as informa\u00e7\u00f5es para que sua hash sa\u00edsse como a palavra \u201ceternidade\u201d. Nesse est\u00e1gio, fica claro por qual raz\u00e3o, na segunda hist\u00f3ria, Andersen se concentrou no poder da computa\u00e7\u00e3o de Kai. Isso \u00e9 exatamente o que a Rainha das Neves buscava, e Kai foi infectado apenas para fins de criptografia. Tamb\u00e9m explica a aparente obsess\u00e3o da Rainha das Neves com todas as coisas do norte e do frio; uma fazenda de minera\u00e7\u00e3o de alto desempenho requer uma climatiza\u00e7\u00e3o s\u00e9ria.<\/p>\n

Gerda ent\u00e3o derreteu o cora\u00e7\u00e3o coberto de gelo de Kai com suas l\u00e1grimas (ou seja, ela excluiu o c\u00f3digo malicioso usando v\u00e1rias ferramentas e recuperou o controle do kernel do sistema). Kai ent\u00e3o come\u00e7ou a chorar, o que significa que ele ativou o antiv\u00edrus interno (anteriormente bloqueado pelo m\u00f3dulo infectado no kernel) e removeu o segundo peda\u00e7o de c\u00f3digo malicioso do olho.<\/p>\n

O final do relat\u00f3rio \u00e9 bastante estranho para os padr\u00f5es de hoje. Em vez de fornecer dicas para poss\u00edveis v\u00edtimas, indicadores de comprometimento do sistema e outros boatos \u00fateis, Andersen divaga sobre a jornada dos personagens de volta para casa. Talvez no s\u00e9culo XIX tenha sido assim que os relat\u00f3rios de seguran\u00e7a da informa\u00e7\u00e3o terminavam.<\/p>\n

Como j\u00e1 falamos, os escritores de contos de fadas s\u00e3o, de fato, os mais antigos especialistas em ciberseguran\u00e7a do mercado. O caso do conta a Rainha da Neve apenas refor\u00e7a nossa afirma\u00e7\u00e3o. Como descrito acima, a hist\u00f3ria \u00e9 uma descri\u00e7\u00e3o detalhada de uma investiga\u00e7\u00e3o de um incidente complexo. Tamb\u00e9m recomendamos que voc\u00ea conhe\u00e7a nossas an\u00e1lises de outros contos de fadas populares:<\/p>\n