Gestão de Riscos, Ameaças e Vulnerabilidades

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
FICHAMENTO DO ESTUDO DE CASO
DOUGLAS RAMOS DE LIMA
	
								
Trabalho da disciplina: Gestão de Riscos, Ameaças e Vulnerabilidades
Tutor: Sheila Monteiro
João Pessoa
2018
ESTUDO DE CASO 	
					Autópsia de uma violação de dados: o case-alvo
REFERENCIA: 
DUBÉ, Line. Autópsia de uma violação de dados : o case-alvo. Ijcsm-International Journal of case studies in management, HEC130, volume 14 , problema 1, março de 2016.
O presente caso trata a situação da varejista Target, que anunciou a violação e roubo dos dados. Seu site e call center foram inundados rapidamente com chamadas de consumidores preocupados, criando um cenário de pesadelo para o departamento de atendimento ao cliente e para piorar a situação, a violação ocorreu durante a temporada de compras pré-Natal, que incluía a Black Friday, um dos dias mais movimentados do ano para os varejistas de lojas. A violação de dados afetou aproximadamente 10% de todos os cartões de débito e de crédito em circulação nos Estados Unidos. Com o problema vigorando sendo noticiado pela empresa Target as instituições financeiras responderam ligeiramente procurando soluções alternativas : algumas pensaram em cancelar os cartões envolvidos enquanto outras como o JP Morgan Chase, que teve milhões de problemas resolveu até que os cartões novos sejam feitos tachar limites de US$ 100 em dinheiro por dia e $300 em compras no cartão.
Os especialistas concordam que o ataque foi perpetrado por cibercriminosos que usaram uma estratégia bem conhecida e que são, de fato, ferramentas tecnológicas bastante convencionais. Entre 15 e 27 de novembro, os hackers conseguiram penetrar na rede de pontos de venda da Target (a maioria das caixas registradoras atualmente são computadores) e instalar malwares nos terminais. O malware se assemelhava a um programa amplamente conhecido chamado BlackPOS, de origem supostamente russa. Disponível por cerca de US$ 2.000,00 no mercado negro, este software foi projetado para ser instalado em terminais de ponto de venda e capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no terminal infectado. Este tipo de software malicioso, conhecido como raspador de memória, faz uma cópia dos dados no ponto em que eles são mais vulneráveis - ou seja, no instante em que o servidor que processa a transação tem que armazenar os dados brutos (não criptografados) em sua memória de acesso aleatório por alguns milissegundos. Nesse caso, os dados copiados foram salvos imediatamente em um dos servidores da Web da Target, que havia sido pirateado. Este tipo de malware é particularmente perigoso, porque é difícil para o software de detecção de intrusão mais usado detectá-lo.
Assim, entre 15 e 27 de novembro, os cibercriminosos realizaram testes para garantir que tudo estivesse funcionando corretamente. Poucos dias depois, eles instalaram o malware em todos os terminais da Target (aproximadamente 1.800 dispositivos), que então começaram a fazer uma cópia do número de todos os cartões utilizados. Todos os dias, para evitar chamar atenção, os cibercriminosos aproveitaram sua capacidade de acesso remoto para recuperar uma cópia dos dados acumulados (mais de 11 gigabytes), trabalhando entre 10 da manhã e 6 da tarde, em períodos de tráfego de pico normal da rede. Esses dados foram então copiados em três servidores fora da Target, provavelmente sem o conhecimento de seus proprietários; declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.1 A investigação aparentemente descobriu uma cópia dos dados despreocupadamente descartada em um desses servidores que tinha sido usado como armazenamento temporário.
Mas, mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida contra esses ataques. De fato, seis meses antes, investira a quantia ordenada de US$ 1,6 milhões para implementar um sistema anti-malware chamado FireEye (os clientes incluíam a indústria de defesa, a CIA, o Pentágono e a Bombardier Aerospace). O FireEye é um sistema de monitoramento avançado para infraestrutura de TI. Com base no princípio da prevenção em vez da detecção, ele funciona através da criação de câmaras virtuais para as quais os hackers são atraídos para que possam ser detectados antes de conseguirem efetivamente penetrar no sistema sob proteção. Uma equipe de especialistas em Bangalore, trabalhando 24 horas por dia, monitorou os resultados dessas atividades de monitoramento.
Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais populares para dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade de comprar dados de um único cartão ou de lotes de 1.000 cartões, com desconto. Os usuários podem pesquisar por cidade, região geográfica, banco, tipo de cartão, data de validade, etc. O preço varia dependendo do tipo de cartão: de US$ 6 para um cartão-presente até US$ 200 para dados de um cartão de crédito American Express Platinum. Parece que os cartões da Target foram vendidos em lotes de um milhão de cartões, com preços que variam de US$ 20 a US$ 100 por cartão. O site também oferece um serviço de atendimento impecável, permitindo aos usuários pagar em bitcoin (ou moedas similares) ou via Western Union. Ele ainda oferece uma garantia de validade em termos de duração (por exemplo, seis horas) ou o valor mínimo no cartão (US$ 1.000, por exemplo). O tempo é um fator crucial nesta indústria: os criminosos têm que comprar o número e clonar o cartão para fazer compras na loja, mas eles podem usar rapidamente o limite de crédito comprando online. Eles geralmente compram cartões de presente com prazo de validade mais longo. Eventualmente, o sistema de segurança do banco ou o consumidor detectam transações suspeitas e o cartão é rapidamente cancelado. Em seguida, os bandidos iniciam o processo novamente com um novo cartão.
Não se sabe prever o impacto financeiro a longo prazo da violação de dados. A Target está atualmente enfrentando mais de 140 ações judiciais, cada uma buscando milhões de dólares em danos. Vários são processos de ação coletiva. As vítimas acusam a Target de violar várias leis, de negligência no manejo dos dados do cliente e de esperar muito para divulgar publicamente a violação, aumentando assim a vulnerabilidade de seus clientes. Em 14 de maio de 2014, o tribunal dividiu os processos em três grupos: instituições financeiras, consumidores e acionistas. Os bancos estão no coração dessas ações (eles sozinhos são responsáveis por 29 delas) e acreditam que a Target deva reembolsá-los por todos os custos decorrentes da violação, incluindo a reemissão maciça de cartões, relações com clientes, reembolsos para transações fraudulentas, investigações, etc. Dependendo da fonte, estima-se que custe entre US$ 5 e $ 15 para reemitir um cartão; entre o anúncio da infração e fevereiro de 2014, mais de 15,3 milhões de cartões de débito e de crédito tiveram que ser substituídos.