terça-feira, 2 de março de 2021

Ex-CEO da SolarWinds culpa estagiário por ataque contra sistemas da empresa

 A piada é antiga, mas foi usada de forma bem séria pelo antigo CEO da SolarWinds, Kevin Thompson, ao falar em uma audiência do governo americano sobre os recentes ataques sofridos pela fornecedora de soluções de TI. De acordo com ele, o uso de uma senha insegura, “solarwindws123” foi culpa de um estagiário que violou as políticas de segurança da companhia — um erro que, diga-se de passagem, passou despercebido por anos.

A fala foi um dos tantos pontos de animosidade entre executivos da companhia e representantes do Departamento de Segurança Nacional e da Câmara dos Estados Unidos, que se reuniram em audiência na última sexta (26). Em pauta estava o grande ataque que teria vitimado não apenas o próprio governo, mas também grandes empresas de tecnologia como Microsoft e FireEye, a partir de, acredita-se, uma grave vulnerabilidade nos sistemas da SolarWinds.

A representante Katie Porter, do Partido Democrata, atacou diretamente a companhia de tecnologia, taxando a brecha de segurança como absurda e afirmando possuir uma senha mais segura no iPad de seus filhos, para fins de controle parental. Indo além, ela afirmou que agentes russos tiveram acesso aos e-mails do Departamento de Defesa dos EUA, algo que ainda não foi confirmado pelos envolvidos na investigação.

De acordo com o presidente da Microsoft, Brad Smith, ainda não existem indícios que que o Pentágono e outros órgãos de defesa americanos foram comprometidos. A própria empresa foi uma das vítimas do ataque motivado pela segurança falha da SolarWinds, enquanto, em comunicado oficial, o Departamento de Justiça dos Estados Unidos disse que invasores acessaram o sistema de e-mail da pasta, a partir da plataforma Office 365, e foram capazes de ler cerca de 3% dos e-mails enviados e recebidos pelos colaboradores. O teor das mensagens, porém, não foi revelado.

De acordo com os relatos apresentados durante a audiência, a senha insegura estaria sendo usada desde 2017, mais de dois anos antes da descoberta das credenciais comprometidas, em 2019, pelo pesquisador em segurança Vinoth Kumar. Os sistemas, segundo ele, estariam comprometidos desde junho de 2018, mas aparentemente, a brecha pode ser ainda maior do que o esperado, com invasores tendo acesso livre por um longo período antes de a vulnerabilidade sequer ser descoberta.

A fornecedora de soluções de TI SolarWinds teria sido a raíz do problema, com o uso de uma senha insegura levando, supostamente, a ataques contra gigantes da tecnologia e o próprio governo dos Estados Unidos (Imagem: Divulgação/SolarWinds)

Sudhakar Ramakrishna, atual CEO da SolarWinds, porém, minimizou o perigo. Ao lado de Thompson, ele afirmou que o uso de uma senha inadequada foi descoberto rapidamente quando o estagiário publicou a palavra-chave em um sistema interno e também em uma conta privada no GitHub. Os executivos afirmaram que o problema foi resolvido assim que descoberto, mas não indicaram exatamente quanto tempo foi necessário até isso acontecer, apenas indicando que a correção aconteceu ainda em 2017.

Por isso mesmo, a SolarWinds trabalha ao lado de companhias do mercado de tecnologia a partir de diferentes hipóteses, que envolvem não só o comprometimento da senha como, também, o uso de malwares embutidos em softwares de parceiros ou o uso de força-bruta para descobrir a credencial de executivos ou funcionários. Os CEOs, entretanto, não explicaram como os sistemas da empresa permitiam o uso de uma senha como “solarwinds123” em sistemas críticos, para começo de conversa.

Entenda o caso

O comprometimento aconteceu depois que, usando credenciais comprometidas, criminosos foram capazes de contaminar softwares da própria Solarwinds com malwares. Parceiros e clientes da empresa baixaram tais soluções manipuladas e acabaram, também, caindo nas mãos dos atacantes, algo que, por si, já explica o alcance da ameaça e, também, como grandes figurões do mercado da tecnologia acabaram de joelhos diante de uma exploração que parece ser relativamente simples.

Enquanto as suspeitas de envolvimento russo começam a crescer, ainda que sem comprovação oficial, existe a possibilidade de a verdadeira extensão do ataque jamais ser conhecida. Pelo menos, essa é a visão de Kevin Mandia, CEO da FireEye, outra das empresas atingidas pelo golpe, afirmando que, para que esse escopo seja obtido, é preciso criar um inventário das informações acessadas e, também, as analisar de forma a entender como elas poderiam ser usadas por adversários — como estamos falando de segredos industriais e de estado, esse trabalho se torna altamente dificultado.

Seja como for, parece que os indivíduos responsáveis tiveram pelo menos um ano de acesso livre e não detectado, entre 2017 e junho de 2018. A falha só foi descoberta depois que Kumar, usando as credenciais comprometidas, foi capaz de acessar um servidor privado da SolarWinds e enviar arquivos a ele, uma exploração que também poderia ser usada para upload dos malwares que, em teoria, atingiram a própria companhia e seus clientes no mercado de tecnologia e governo.

O estagiário citado como responsável pela brecha não foi identificado e a SolarWinds não comentou sobre possíveis ações que tenham sido tomadas contra o funcionário em decorrência da violação das normas internas de segurança.

                                                             FONTE:CANALTECH

0 comentários: