Fichamento de GESTÃO DE RISCOS, AMEAÇAS E VULNERABILIDADES

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
 
Fichamento de Estudo de Caso 
 
 
MILENA RAYANE DOS SANTOS GALVÃO 
 
 
 
 
Trabalho da Disciplina Gestão de Riscos, 
Ameaças e Vulnerabilidades 
Tutor: Sheila de Góes Monteiro 
 
 
 
 
 
 
 
Belém 
2018 
 
 
ESTUDO DE CASO: 
 
 
SEGURANÇA DA INFORMAÇÃO 
 
Autópsia de uma violação de dados: o case-alvo 
 
 
 
 
 Target, segunda maior varejista nos Estados Unidos, anunciou uma violação envolvendo 
o roubo de dados de mais de 40 milhões de cartões de crédito e débito utilizados para fazer 
compras em suas lojas dos EUA entre 27 de novembro e 18 de dezembro. Em 10 de janeiro de 
2014, foi relatado que os cibercriminosos também roubaram dados pessoais, incluindo nomes, 
números de telefone, endereços residenciais e endereços de e-mail de até 70 milhões de clientes 
adicionais. 
Target percebeu a violação de dados através das agências de cumprimento da lei. De 
fato, em 13 de dezembro de 2013, representantes do Departamento de Justiça dos EUA 
notificaram a administração da Target a respeito de um grande número de transações 
fraudulentas de débito e cartão de crédito, que pareciam ter alguma ligação com as transações 
realizadas na Target. Após esta reunião, a Target contratou uma empresa de informática forense 
para investigar a violação. Os resultados confirmaram os piores receios: os cibercriminosos 
estavam pirateando os sistemas da Target e roubando dados de 40 milhões de cartões de débito 
e de crédito usados em seus estabelecimentos dos EUA desde 27 de novembro. A Target não 
hesitou em erradicar todo o software usado pelos cibercriminosos 
 Em 19 de dezembro, sob crescente pressão, a Target anunciou a violação e roubo dos 
dados. Seu site e call center foram inundados rapidamente com chamadas de consumidores 
preocupados, criando um cenário de pesadelo para o departamento de atendimento ao cliente. 
As instituições financeiras que emitiam os cartões cujos dados tinham sido roubados reagiram 
rapidamente ao anúncio da Target. Normalmente, para minimizar perdas, os bancos 
simplesmente cancelariam os cartões e emitiriam novos. No entanto, por causa do grande 
número de cartões afetados e dos massivos custos envolvidos, e porque a temporada de férias 
é um momento muito ruim para deixar os consumidores incapazes de pagar as compras (sem a 
possibilidade de pagar com cartão de crédito ou sacar dinheiro de um caixa eletrônico utilizando 
um cartão de débito), os bancos procuraram soluções alternativas. Ao mesmo tempo, a Target 
lançou uma importante operação de relações públicas. Ela assegurou a seus clientes que o 
componente tecnológico responsável pela violação fora encontrado e destruído, e que eles 
poderiam continuar a comprar com confiança em suas lojas. Também prometeu que ninguém 
seria responsabilizado por transações fraudulentas e ofereceu uma assinatura gratuita para um 
serviço de monitoramento de crédito. Com a ajuda de uma empresa especializada, a Target 
continuou a investigação desta grande violação em um empenho para chegar ao cerne do que 
dera errado. O Departamento de Justiça e o Serviço Secreto dos EUA fizeram o mesmo. 
 
Os especialistas concordam que o ataque foi perpetrado por cibercriminosos que usaram 
uma estratégia bem conhecida e que são, de fato, ferramentas tecnológicas bastante 
convencionais. Entre 15 e 27 de novembro, os hackers conseguiram penetrar na rede de pontos 
de venda da Target (a maioria das caixas registradoras atualmente são computadores) e instalar 
malwares nos terminais. O malware se assemelhava a um programa amplamente conhecido 
chamado BlackPOS, de origem supostamente russa. Disponível por cerca de US$ 2.000,00 no 
mercado negro, este software foi projetado para ser instalado em terminais de ponto de venda e 
capturar todos os dados armazenados em cartões de crédito e débito que são deslocados no 
terminal infectado. Este tipo de software malicioso, conhecido como raspador de memória, faz 
uma cópia dos dados no ponto em que eles são mais vulneráveis - ou seja, no instante em que 
o servidor que processa a transação tem que armazenar os dados brutos (não criptografados) 
em sua memória de acesso aleatório por alguns milissegundos. Nesse caso, os dados copiados 
foram salvos imediatamente em um dos servidores da Web da Target, que havia sido pirateado. 
Este tipo de malware é particularmente perigoso, porque é difícil para o software de detecção de 
intrusão mais usado detectá-lo. Além disso, o malware geralmente é projetado para excluir todos 
os vestígios deixados para trás, dificultando a avaliação do alcance do dano sem uma 
investigação criminal aprofundada. 
Assim, entre 15 e 27 de novembro, os cibercriminosos realizaram testes para garantir que 
tudo estivesse funcionando corretamente. Poucos dias depois, eles instalaram o malware em 
todos os terminais da Target (aproximadamente 1.800 dispositivos), que então começaram a 
fazer uma cópia do número de todos os cartões utilizados. Todos os dias, para evitar chamar 
atenção, os cibercriminosos aproveitaram sua capacidade de acesso remoto para recuperar uma 
cópia dos dados acumulados (mais de 11 gigabytes), trabalhando entre 10 da manhã e 6 da 
tarde, em períodos de tráfego de pico normal da rede. Esses dados foram então copiados em 
três servidores fora da Target, provavelmente sem o conhecimento de seus proprietários; 
declaradamente, havia um servidor em Miami, um no Brasil e outro nos Estados Unidos.1 A 
investigação aparentemente descobriu uma cópia dos dados despreocupadamente descartada 
em um desses servidores que tinha sido usado como armazenamento temporário. A Target 
estava realmente bem protegida contra esse tipo de ataque, o qual é bastante comum. A Target 
foi considerada líder em segurança cibernética no setor varejista, tendo investido massivamente 
em capital e recursos para garantir a segurança de sua infraestrutura de TI. Possui várias 
camadas de proteção, incluindo segmentação, firewalls, software de detecção de malware, 
software de detecção de intrusão, ferramentas de prevenção e planos para evitar a perda de 
dados. Ambos os especialistas internos e consultores externos realizaram regularmente testes e 
auditorias de todas essas medidas de segurança. Em setembro de 2013, a Target foi certificada 
em conformidade com o Padrão de Segurança de Dados da Indústria de Cartão de Pagamento 
(PCI DSS), um padrão internacional que estabelece os níveis mínimos de segurança que 
comerciantes pequenos e grandes devem atender ao armazenar, processar e transmitir dados 
de cartão de crédito. 
Mas, mesmo com esse acesso não autorizado, a Target estava, ao menos em tese, protegida 
contra esses ataques. De fato, seis meses antes, investira a quantia ordenada de US$ 1,6 
milhões para implementar um sistema anti-malware chamado FireEye (os clientes incluíam a 
indústria de defesa, a CIA, o Pentágono e a Bombardier Aerospace). O FireEye é um sistema 
de monitoramento avançado para infraestrutura de TI. Com base no princípio da prevenção em 
vez da detecção, ele funciona através da criação de câmaras virtuais para as quais os hackers 
são atraídos para que possam ser detectados antes de conseguirem efetivamente penetrar no 
sistema sob proteção. Uma equipe de especialistas em Bangalore, trabalhando 24 horas por 
 
dia, monitorou os resultados dessas atividades de monitoramento. Se a equipe notou alguma 
atividade suspeita, alertaria a equipe no centro de operações de segurança da Target em 
Minneapolis (localização de sua sede), que então entraria em ação ou, neste caso, optaria por 
não fazer nada.... 
Na verdade, a Target reconheceu publicamente que os alertas desenfreados (os últimos 
dos quais foram alertas nível 1, o mais alto emitido pelo sistema de monitoramento) teriam sido 
recebidos a partir de 30 de novembro, e que suas equipes locais teriamanalisado e considerado 
que nenhuma ação era necessária. Se os especialistas da Target tivessem feito um trabalho 
melhor ao avaliar os alertas recebidos, o ataque contra a infraestrutura da Target poderia ter sido 
frustrado, uma vez que a investigação mostra que o primeiro alerta fora emitido antes dos 
primeiros dados terem sido transferidos. O software de segurança em si teria conseguido 
prevenir o ataque, pois possui um recurso semelhante a um programa antivírus que erradica 
automaticamente o software considerado "malicioso" ou "não autorizado." No entanto, os 
especialistas da Target desativaram este recurso porque o sistema era novo e ainda não 
confiavam completamente nele. No final de novembro, até o próprio sistema antivírus da Target 
tinha detectado atividades suspeitas no servidor protegido pelo FireEye. Este alerta adicional 
também foi ignorado. 
Os dados roubados da Target foram rapidamente liquidados em uma das lojas online mais 
populares para dados roubados (rescator.so). Este site do mercado negro oferece a possibilidade 
de comprar dados de um único cartão ou de lotes de 1.000 cartões, com desconto. Os usuários 
podem pesquisar por cidade, região geográfica, banco, tipo de cartão, data de validade, etc. O 
preço varia dependendo do tipo de cartão: de US$ 6 para um cartão-presente até US$ 200 para 
dados de um cartão de crédito American Express Platinum. Parece que os cartões da Target 
foram vendidos em lotes de um milhão de cartões, com preços que variam de US$ 20 a US$ 100 
por cartão. O site também oferece um serviço de atendimento impecável, permitindo aos usuários 
pagar em bitcoin (ou moedas similares) ou via Western Union. Ele ainda oferece uma garantia 
de validade em termos de duração (por exemplo, seis horas) ou o valor mínimo no cartão (US$ 
1.000, por exemplo). O tempo é um fator crucial nesta indústria: os criminosos têm que comprar 
o número e clonar o cartão para fazer compras na loja, mas eles podem usar rapidamente o 
limite de crédito comprando online. Eles geralmente compram cartões de presente com prazo de 
validade mais longo. Eventualmente, o sistema de segurança do banco ou o consumidor 
detectam transações suspeitas e o cartão é rapidamente cancelado. Em seguida, os bandidos 
iniciam o processo novamente com um novo cartão. 
A imagem da Target sofreu um grave golpe após o anúncio da violação de dados - o maior 
da história na época. A empresa foi criticada por sua falta de atuação sobre os alertas iniciais, 
por sua demora em tornar a violação pública e pela incapacidade de seu departamento de 
atendimento ao cliente responder aos clientes. No final de dezembro de 2013, pela primeira vez, 
a marca Target obteve placar negativo em todos os levantamentos de percepções dos 
consumidores. É difícil prever o impacto financeiro a longo prazo da violação de dados. A Target 
está atualmente enfrentando mais de 140 ações judiciais, cada uma buscando milhões de 
dólares em danos. Vários são processos de ação coletiva. As vítimas acusam a Target de violar 
várias leis, de negligência no manejo dos dados do cliente e de esperar muito para divulgar 
publicamente a violação, aumentando assim a vulnerabilidade de seus clientes. Em 14 de maio 
de 2014, o tribunal dividiu os processos em três grupos: instituições financeiras,3 consumidores 
e acionistas. Os bancos estão no coração dessas ações (eles sozinhos são responsáveis por 29 
delas) e acreditam que a Target deva reembolsá-los por todos os custos decorrentes da violação, 
 
incluindo a reemissão maciça de cartões, relações com clientes, reembolsos para transações 
fraudulentas, investigações, etc. 
Além do efeito sobre a linha de fundo da Target, a violação também teve um enorme 
impacto internamente. Em 5 de março de 2014, a Target anunciou a "renúncia" de seu Diretor 
de Informação (CIO), quem ocupara o cargo desde 2008, além da revisão da sua segurança da 
informação e conformidade entre estrutura e práticas. Como primeiro passo neste empenho, a 
empresa também anunciou a criação de dois cargos-chave, a serem recrutados externamente: 
Vice-Presidente Executivo e Diretor de Segurança da Informação e Vice-Presidente Executivo e 
Diretor de Conformidade. A nova função da segurança iria centralizar todas as atividades de 
gestão de segurança, as quais se encontravam previamente dispersas entre diferentes grupos 
da empresa. Finalmente, alguns meses depois, em maio de 2014, o CEO da Target foi demitido. 
Havia especulações de que a combinação da expansão fracassada no Canadá e a grande 
violação de dados finalmente convenceram o Conselho de Administração de que o sr. Steinhafel, 
que esteve com a empresa por 35 anos e atuou como CEO desde 2008, não era mais a pessoa 
certa para proteger os ativos da empresa. O rumor também fez com que esses eventos 
forçassem uma revisão da presença de certos membros do Conselho. No geral, a violação teve 
repercussões significativas na liderança da Target, como atesta o fato de que a maioria dos 
jogadores atuais se juntou à empresa após este fatídico evento. Embora o fiasco da Target não 
esteja mais no topo da maior violação de dados na história (essa honra foi reivindicada pela 
Home Depot no início de setembro de 2014), é lamentável notar que, no fim do dia, os clientes 
sempre são os maiores perdedores quando ocorrem tais incidentes. Um titular do cartão que 
detecta uma transação fraudulenta em sua declaração simplesmente tem que entrar em contato 
com o banco e cancelar o cartão, uma operação de rotina que leva apenas alguns minutos. No 
entanto, uma vez que o cartão é cancelado, se o titular do cartão tiver operações pendentes ou 
recorrentes, ele ou ela terá que entrar em contato com todos os comerciantes envolvidos. O 
cancelamento do cartão também pode levar a novas dores de cabeça, como dificultar a 
devolução da mercadoria paga com um cartão cancelado. Isso sem mencionar as consequências 
graves e a longo prazo dos roubos de dados pessoais. Além da invasão da privacidade, o roubo 
de identidade resultante obriga as vítimas a embarcarem em um longo e árduo processo para 
defender sua identidade e provar a várias partes (comerciantes, credores, ministérios, etc.) que 
não cometeram nenhum delito. 
os investimentos necessários são enormes: toda a infraestrutura tecnológica (terminais de 
pagamento e todo o software de armazenamento e processamento de dados) precisa ser 
substituída, juntamente com todos os cartões em circulação. A série de roubos importantes de 
dados nos Estados Unidos tem deixado autoridades legislativas extremamente preocupadas. Em 
4 de fevereiro de 2014, o Comitê do Senado americano no Judiciário realizou audiências sobre 
"Privacidade na Era Digital: Prevenção de Violação de Dados e Combate ao Cibercrime", antes 
da qual o Vice-Presidente Executivo e Diretor Financeiro (CFO) da Target foi chamado para dar 
testemunho. O objetivo das audiências era determinar como as leis poderiam ser alteradas para 
garantir uma melhor proteção de dados. Algumas pessoas ainda pediram leis a nível nacional 
que obrigassem os diferentes interessados do setor a trabalharem juntos para evitar violações 
de dados. Para evitar isso, a Visa e a MasterCard lançaram iniciativas concretas para forçar a 
ação de todos os agentes da indústria.