Passar para o Conteúdo Principal
 

WannaCry – o que aprendemos?

WannaCry – o que aprendemos?

wannacry

O ano de 2017 ainda não chegou ao fim, mas certamente ficará na memória daqueles que vivem e respiram cibersegurança como o ano Wannacry. O alarme soou no dia 12 de maio perto da hora do almoço. Estávamos todos com os olhos postos em Fátima e na visita de Sua Santidade, quando chegam os primeiros sinais de que está em curso uma campanha de ransomware à escala global.

O ataque explorou diversas vulnerabilidades conhecidas, sendo que uma das mais importantes (a MS17-10, da Microsoft) tinha sido alvo de atenção algumas semanas antes no interior da RCTS. Talvez não tenha sido esse o fator decisivo para que não tivessem surgido casos reportados de infeção por WannaCry na RCTS. No entanto, é importante percebermos que uma vulnerabilidade a que é dada pouca relevância num sistema não-crítico pode resultar em impacto sério noutros sistemas mais críticos na mesma rede.

Outro dos vectores estudados no âmbito desta infeção foram as mensagens de e-mail. Nunca é demasiado relembrar a quem nos rodeia que as ditas mensagens, com o intuito de tomar o controle dos nossos dispositivos estão cada vez mais elaboradas.

O WannaCry teve também outra particularidade interessante: a alegada existência de um «kill-switch» que através de uma comunicação pela Internet parava a infecção. No rescaldo, e olhando para a informação recolhida pelo RCTS CERT, foi identificado um conjunto de dispositivos em 40 instituições ligadas à RCTS que comunicaram com esse “kill-switch“.

Essa identificação deu origem a notificações, para que as equipas locais verificassem se os sistemas em questão tinham efetivamente algum tipo de infeção. O que aprendemos no decorrer dessa situação é que o facto de se terem tornado públicos os endereços que inibiam a infeção levou a que alguns utilizadores da RCTS iniciassem comunicações ou testes com esses mesmos endereços, o que apenas indicia curiosidade e não um sistema infectado.

Este evento obrigou a muita coordenação durante os dias de sábado e domingo (13 e 14 de maio). No dia útil de trabalho seguinte, apesar de sabermos que os nossos sistemas se encontravam atualizados, lançámos internamente na FCT e na Unidade FCCN o alerta para que houvesse um extremo cuidado relativamente a mensagens (e-mail) de conteúdo duvidoso ou de proveniência desconhecida.

Agora que passaram dois meses sobre este evento, podemos olhar para esta ocorrência com mais distância, e perceber que é absolutamente necessário erradicar o quanto antes as vulnerabilidades que caem no domínio público. Ficou também reforçada a ideia de que a sensibilização dos utilizadores para conteúdos potencialmente maliciosos que recebam tem de continuar. Outra ideia clara é que devemos estar dotados de ferramentas que no futuro nos permitam fazer face a episódios similares ou que venham a possuir uma incidência ainda mais nefasta que o WannaCry.

RCTS CERT, 18 de julho de 2017.