Que lhe parece como recompensa final?

Em alguns casos, chegam a permanecer ocultos na rede durante meses ou anos antes de roubar grandes quantidades de dados. Sem dúvida, os hackers estão cada vez mais astutos e sofisticados. Além disso, quando se trata de ameaças internas, as primeiras seis etapas da cadeia de ameaças podem ser opcionais, uma vez que o usuário interno malicioso é privilegiado e já tem certo nível de acesso ao ambiente.
O roubo de dados pode servir para fins de chantagem, espionagem e benefício econômico, entre outros objetivos. Os dados roubados podem ser informações financeiras (por exemplo, números de cartões de crédito, dados de acesso a contas bancárias), informação pessoal que também pode ser utilizada para obter lucro (número da seguridade social, data de nascimento, etc.), credenciais, códigos e senhas privadas, registros médicos, propriedade intelectual (código fonte, segredos comerciais, etc.). E a lista continua. Cada violação à segurança dos dados é diferente, já que variam os motivos dos atacantes. Em geral, salvo que o hacker tenha fracassado no objetivo ou pretenda simplesmente a pura destruição, é seguro dizer que algum tipo de roubo de dados pode ser assumido em uma violação.
Uma questão interessante é: onde acabam todos esses dados roubados? Podem permanecer em poder do hacker para sempre, como provavelmente seja o caso dos atacantes a Estado-Nação e outros invasores sofisticados. Entretanto, grandes quantidades de dados acabam na comunidade clandestina para serem vendidos ou, às vezes, até no domínio público, como clara demonstração do ataque.
O seguinte exemplo corresponde a um caso recente em que informações de identificação pessoal tornaram-se públicas, incluindo nomes, endereços, números de telefone, datas de nascimento e números de cartões de crédito, junto com códigos de segurança e datas de validade.
https://www.dropbox.com/s/zsq5gmbtmheova0/A1.png?raw=1
Você se lembra do ataque cibernético à Sony Pictures Entertainment ocorrido no ano passado? Os atacantes tornaram públicas centenas de gigabytes de informação confidencial, causando uma perda financeira significativa e graves danos à reputação da companhia. Além disso, roubaram chaves privadas, que são extremamente sensíveis e utilizadas em conexões SSL/TLS, SSH e outras conexões criptografadas empregadas para proteger a comunicação. Existem diferentes tipos de chaves privadas, entre as quais incluem chaves PuTTY .ppk e arquivos PKCS #12.
https://www.dropbox.com/s/hnp0jvkfng0ew8s/A2.png?raw=1
 Fragmento da lista de arquivos roubados no ataque à Sony Pictures Entertainment em novembro de 2014, onde se mostram os arquivos de chaves privadas .ppk.
E se isto não fosse suficientemente aterrador, há mais: as credenciais são sempre valiosas para os intrusos, tanto para obter acesso adicional como ganhos financeiros. Em Linux, os arquivos básicos que armazenam essas informações são os arquivos “passwd” e “shadow”. Seu equivalente em Windows é o SAM DB. Estes três arquivos armazenam os nomes de usuário e as senhas criptografadas em um hash em formatos diferentes mas específicos, que permitem que um sistema de segurança de dados os identifique como tais, mediante uma expressão regular.
https://www.dropbox.com/s/0e0euztq76zdxrx/A3.png?raw=1
Exemplo de um arquivo de base de dados de um administrador de contas de segurança (SAM) em um sistema Windows que armazena as senhas dos usuários no formato hash, como LM ou NTLM.
Uma vez que os hackers obtenham as senhas no formato hash, eles podem quebrá-las mediante um ataque pela força bruta ou por listas de palavras. Muitas ferramentas para decifrar senhas estão disponíveis gratuitamente na rede e se somam a ferramentas como “John the Ripper” e “RainbowCrack”, que gera tabelas Rainbow.
https://www.dropbox.com/s/ucjc2nppqy1e2yq/A4.png?raw=1
O exemplo acima indica a saída de um arquivo SAM executado através de “John the Ripper”. As senhas simples, como “ROOT” e “1234”, foram decifradas em segundos. A senha do administrador  foi apenas parcialmente quebrada porque a execução foi interrompida manualmente de maneira muito rápida.
Os hackers acessam e roubam muitos outros arquivos sensíveis que não estão contemplados de forma direta por normas e leis como a HIPPA ou a PCI. Os arquivos de configuração e informações de processos também podem ser de muito valor para os atacantes. Portanto, cumprir com as normas não significa que não vão ser efetuadas violações à segurança dos dados. Ao contrário, a conformidade é apenas uma parte do processo de mitigação de riscos.
O roubo de dados é a fase final em muitos ciberateques. A etapa do roubo de dados conclui a cadeia de destruição. Com defesas de segurança insuficientes, os cibercriminosos podem roubar a propriedade intelectual, informações de identificação pessoal e outros dados valiosos para obter lucros financeiros e usá-los em outros ataques. No entanto, inclusive nesta etapa há necessidade de defesas para proteger os dados confidenciais. Websense® TRITON® AP-DATA oferece soluções para a prevenção contra a perda de dados (DLP) e prevenção contra o roubo de dados (DTP). Uma estratégia de mitigação de riscos adequada, começando pela identificação dos ativos a serem protegidos combinados com a aceitação do risco residual, é essencial para elevar os padrões de defesa e se proteger dos atacantes. A recompensa final, certamente, é atraente aos atacantes e os esforços por aumentar os padrões de segurança ajudarão a reduzir os riscos. Equipe Websense Security Labs