Roubo de dados empresariais

Neste artigo vou abordar um tema que já me passou pelas mãos várias vezes, e que há bastante tempo tinha ideia de falar sobre ele, mas não se tinha proporcionado.  Desta feita, dado que fiz uma apresentação sobre o tema na última edição da Confraria de Segurança de Informação, aproveito a embalagem e passo para o “papel” os esboços mentais.

Dentro daquilo que pode ser considerado roubo de dados, vou abordar a vertente “Insider Threat”, ou seja, as ameaças provenientes do interior da organização, que podem facilmente conduzir a uma situação de roubo de dados.  Este tipo de situação não é noticia tão frequentemente como um ataque externo que expõe informação interna da empresa, que gera muito mais “burburinho”, mas no meu ponto de vista pode ter tanto ou até mais impacto para a organização do que um ataque externo.  Uma diferença fundamental é que num ataque externo que se torne público, existe uma perda de imagem corporativa, que pode levar a perdas de clientes ou financeiras. Numa ameaça interna, apesar de usualmente não vir a público, os dados roubados podem ser usados para extorsão, venda, ou como acontece mais frequentemente (pelo menos em Portugal), são usados no próximo emprego ou para abrir um negócio concorrente e evitar começar do zero.

Este tipo de ameaças internas pode ter duas fontes de motivação diferentes, pode ocorrer por simples erro humano ou acaso, ou pode ser premeditada, sendo que também pode conduzir a dois desfechos diferentes, onde no primeiro tipo de motivação pode levar a que se abra um incidente interno, se a motivação do envolvido for a melhor, ou pode resultar em roubo de dados, quer porque alguém se aproveitou de uma circunstância, quer porque tinha esse objetivo de inicio.

Seja qual a circunstância, é importante ter em mente que isto é um problema real, e que acontece com muita frequência nas empresas nacionais, ou melhor, até mais aqui do que em outros países europeus, quer pela maturidade (ou falta dela) existente especialmente ao nível das PME’s, onde não existem sequer politicas de segurança definidas que ajudem quer empregadores quer empregados a entender quais são os seus direitos e deveres, quer também pela cultura em que estamos inseridos, a cultura latina, que tem imensas coisas positivas (e da qual gosto), mas no que toca a esta temática, é um tanto “deixa andar”, e enquanto não há problemas sérios, ninguém leva muito a sério o tema da segurança.

Mas não sejamos egoístas, porque isto não acontece apenas em Portugal, e lá fora até se fazem estudos sobre o tema, e um deles tem alguns resultados que merecem ser destacados. Um estudo mostra alguns números interessantes:

66% levaram ou levariam informação que eles próprios estiveram envolvidos na sua criação
72% rouba informação que pensa que lhe pode ser útil num emprego futuro
21% leva consigo as propostas da empresa
18% leva consigo os planos estratégicos da empresa

Outro aspeto interessante deste estudo é que indica que 66% das fugas de dados estão relacionadas com erros dos empregados ou dos sistemas, ou seja, o fator mais comum que dá inicio ao problema são erros, quer humanos, quer não. Os problemas relacionados são muitos, tanto que os custos legais médios para resolver este tipo de problema tem o valor de cerca de 30.000€, nem contanto com o valor dos dados roubados ou perdidos, que em alguns casos é muito dificil de quantificar.

A preocupação dos departamentos de IT com esta temática tem vindo a crescer, tanto que o mesmo estudo indica que 39% dos profissionais de IT estão mais preocupados com as ameaças internas do que externas, e que dentro das ameaças internas, 20% disse que a maior preocupação deles eram os empregados descontentes. Toda esta preocupação faz sentido, porque internamente o acesso já existe e na maioria a informação privilegiada, seja porque os colaboradores necessitam da informação para o trabalho do dia a dia, seja por não existirem ou estarem mal desenhadas as politicas de acesso à informação, como por exemplo, a implementação da politica de “least priviledge”.

Outro estudo interessante sobre este tema foi feito pelo CERT CMU (http://www.cert.org/), em que numa análise de 101 casos de roubo de PI (propriedade intelectual), cerca de 35% dos casos ocorreu na área de tecnologias de informação, o que também me parece natural, pois é onde o conhecimento de IT é maior, e pode levar mais facilmente a este tipo de situações. Logicamente também o estudo mostra que em cerca de 70% dos casos, o roubo ocorre Onsite, a partir do interior da organização.

Um dado muito curioso e ao mesmo conclusivo neste estudo foi que mais de 30% das ocorrências foram detetadas por meios não técnicos, enquanto apenas em 6% dos casos foram utilizadas soluções de software para a deteção. Pelo que me parece, a conclusão mais lógica é que a maior das organizações onde isto ocorre ainda não tem qualquer solução tecnológica para endereçar este tipo de problemática, ou então, se a tem, provavelmente não está adequada às reais necessidades da organização ou até poderá estar mal configurada, o que não seria de espantar também.  Por outro lado, é bom ver que o lado humano continua a funcionar, e que quando motivadas e formadas, as pessoas são sempre a melhor barreira de defesa da organização.

Em boa parte, porque é que o roubo de dados é uma realidade?  Penso que a primeira razão é porque é fácil, ou seja, com acesso à infra estrutura e muitas vezes com privilégios e acesso em demasia, é muito fácil ter acesso à informação.  Além disso, cada vez existe uma percepção maior, e com toda a lógica, que a informação é um ativo muito valioso, portanto, todos sabem que a informação a que têm acesso pode ser muito útil, especialmente se eventualmente mudarem de entidade empregadora no futuro.  Além disso, pelo menos por cá, ainda existem muitas lacunas ao nível do sistema juridico, quer em termos das disposições da legislação, mas especialmente na percepção que existe em relação aos tempo que demora um processo a decorrer, que faz com que por um lado, os “atacantes” pensem que provavelmente nunca serão acusados, ou mesmo que o sejam, que nunca vão sofrer consequências disso e da parte dos “defensores”, que nem vale a pena enveredar pela via juridica, pois é uma perda de tempo e dinheiro, pois no final das contas, a organização dificilmente é compensada pelas perdas.

Outro dos problemas que se coloca às organizações no que toca a este tema é que a maioria não tem uma politica bem definida de classificação de informação, e de acessos segregados com base nessa classificação de informação, o que leva a que ocorram muitas situações em que nem o empregado nem o empregador sabem ao certo o que podem fazer com determinado tipo de informação.  Claro está que do lado do empregado é uma situação algumas vezes dificil de gerir, pois não tem noção daquilo que pode fazer com a informação, se pode visualizar, alterar, copiar, enviar por email para fora da organização, etc.  Isto é um problema prático, porque até em tribunal, em algumas ocasiões, já ouvi a seguinte pergunta (ou semelhante): “A empresa tinha regras que indicavam que o colaborador não podia fazer determinada ação?”

Por último, a potenciar este tipo de situações existe uma problemática que se acentua nos últimos tempos, em que cada vez mais existe uma mistura grande entre o que é profissional e o que é pessoal. Provavelmente consultamos informação pessoal no nosso local de trabalho e também consultamos email profissional quando estamos em casa. Isto é mais complicado de gerir quando se produz PI (Propriedade intelectual), em que um colaborador usa quer recursos pessoais, quer profissionais para isso. Na área de segurança de informação isso é ainda mais comum. Por exemplo, é fácil encontrar um profissional que faz “research” sobre um tema, descobre uma vulnerabilidade, isto ao serviço da empresa, e depois publica isso num blog seu. Aqui coloca-se a questão entre o que é pessoal e o que é da empresa, e quem tem direitos sobre aquela informação ou conhecimento. A falta de regras claras neste ponto faz com que facilmente cada uma das partes tenha a sua perspectiva pessoal sobre o assunto, contraditória claro J

E na prática, isto é crime? O que é que acontece nestas situações em termos legais? A área legal é apenas um interesse para mim, mas aqui dependo do feedback de quem entende do assunto, e quando estava a preparar a apresentação sobre o tema, um advogado enumerou uma série de disposições legais que podem ser aplicadas, consoante as circunstâncias especificas do caso. Uma primeira disposição legal clara sobre o tema é aquela que se encontra no Código do Trabalho, Artigo 128, alinea nº1, f, onde diz o seguinte: “Guardar lealdade ao empregador, nomeadamente não negociando por conta própria ou alheia em concorrência com ele, nem divulgando informações referentes à sua organização, métodos de produção ou negócios.” Facilmente se conclui que como primeira consequência, quem rouba dados, pode ser despedido com justa causa, e eventualmente ter que indeminizar a entidade vitima desse roubo.

No que toca à área penal, existe ainda a Lei do Cibercrime (Lei nº 109/2009), artigos 4º, 5º e 6º, que podem ser aplicáveis a uma circunstância de roubo de dados informáticos, pois mencionam algumas ações que são feitas sem autorização para isso. Neste caso, podem existir penas de prisão de 1 a 5 anos. Por último, existe no código penal os crimes contra a propriedade, e o artigo 203º sobre o furto, onde menciona: “Quem, com ilegítima intenção de apropriação para si ou para outra pessoa, subtrair coisa móvel alheia, é punido com pena de prisão até 3 anos ou com pena de multa.” Portanto, seja de uma forma ou de outra, é uma situação séria, que penso que quem o faz talvez nem tenha noção da gravidade do tema.

Uma das razões que tem causado este fenómeno do roubo de dados aumentar drasticamente ao longo dos últimos anos é a facilidade com que pode ser feito, por exemplo, com a proliferação e uso de dispositivos USB, pen drives e discos rígidos externos, tornou-se extremamente fácil copiar grandes quantidades de dados num curto espaço de tempo, e com uma taxa de deteção muito baixa. Outra das formas comuns de copiar dados para fora da organização é pela utilização do email. Já vi algumas coisas curiosas, como por exemplo alguém usar o email da própria organização para enviar dados para os seus emails pessoais ou até para emails da concorrência, o que além da ação de roubo de dados propriamente dita, não revela muita inteligência.

Portanto, os meios para o fazer estão facilitados, mas quando acontece, em termos de análise forense, o que é que é possível analisar ou investigar para chegar à conclusão do que ocorreu, e se realmente ocorreu?  Não existe nenhuma solução “click and go” para este tipo de situação, em que facilmente se chegue a uma conclusão.  Em termos de análise forense, o que existe é um conjunto de de evidências, que relacionadas umas com as outras podem levar-nos a desenhar uma linha do que provavelmente pode ter ocorrido. Neste sentido, quem faz a análise forense deve entender que o seu objetivo é analisar os fatos e reportar os mesmo duma forma que o departamento juridico possa então decidir se as provas são suficientes e necessárias para abrir um processo disciplinar ou qualquer outro. Algumas vezes vejo pessoas que trabalham na área a quererem indicar nos relatórios que alguém é culpado de alguma coisa e quase que o constituem arguido, o que na prática não me parece a melhor abordagem, porque deve estar bem separada a área técnica do que é a área juridica.

Algumas linhas de evidência que podem ser usadas na análise forense, são as seguintes, e que vamos detalhar abaixo (vou usar várias terminologias em inglês, dado que são mais fáceis de entender):

– Registo do Windows
– Recent Files
– Link Files
– Prefetch files
– Logs
– E-Mail
– Timeline
– Stochastic Forensics
– USB devices

Vou abordar de seguida alguma destas fontes de evidência a um nível alto, e numa próxima ocasião abordarei alguns destes pormenores a um nível mais baixo.

O registo do windows é uma base de dados hierárquica que guarda uma série de configurações e opções relacionadas com o sistema operativo e com as várias aplicações instaladas que podem fazer uso do registo do windows para guardar as suas configurações. O Kernel, drivers, serviços, interfaces e outras aplicações guardam informações no registo para guardar configurações e até para medir performance do sistema.

O registo tem aquilo que se chama “Root Keys”, que são as chaves primárias, associadas com diferentes áreas do sistema, que são as seguintes:

HKEY_LOCAL_MACHINE – guarda configurações relacionadas com a máquina local.
HKEY_CURRENT_USER – guarda configurações relacionadas com o utilizador que está “loggado” na máquina.
HKEY_CLASSES_ROOT – contém informação sobre configurações de aplicações, como associações de ficheiros e classes OLE, fazendo a ligação entre as aplicações que usam estes ficheiros e bibliotecas.
HKEY_USERS – contém sub-chaves relacionadas com a Root Key “HKEY_CURRENT_USER” para cada utilizador registado na máquina local.

O registo do windows está guardado num conjunto de ficheiros guardados no disco, que são os seguintes:

Caminho – %SystemRoot%\System32\Config\

  • Sam – HKEY_LOCAL_MACHINE\SAM
  • Security – HKEY_LOCAL_MACHINE\SECURITY
  • Software – HKEY_LOCAL_MACHINE\SOFTWARE
  • System – HKEY_LOCAL_MACHINE\SYSTEM

Caminho – %USERPROFILE%\

Ntuser.dat – HKEY_USERS\<User SID> (linked to by HKEY_CURRENT_USER)

Existem diversas ferramentas para conseguir analisar o registo do windows, quer online (com o Sistema operative em funcionamento), quer offline. A mais conhecida é a ferramenta do próprio Windows, o “Registry Editor” (regedit.exe).

Registry

Para fazer um “parse” offline aos ficheiros do registo já é uma necessário uma outra ferramenta, sendo que existem algumas open source e outras comerciais. Uma open source de fácil utilização, que tem interface gráfica e também CLI, é desenvolvida em perl, com o nome RegRipper, em que se carrega um dos ficheiros da registry e se extraem as chaves necessárias através de plugins especificos ou então se extrai o conteúdo todo para análise posterior.

Regripper

A extração ocorre para ficheiros de texto, que são fáceis de fazer parse direto ou enviar o conteúdo para uma qualquer outra ferramenta, nem que seja excel.

Entre vários detalhes que é possível extrair do registo, um dos interessantes para o tema em causa são os ficheiros recentes (recent files), que se encontrar no ficheiro “NTUSER.DAT”, referente ao utilizador em causa. Por aqui conseguimos extrair por exemplo quais os últimos ficheiros de diversas tipologias que foram abertos, como pdf, doc, xls, etc. Isto pode ser interessante para localizar informação a que o utilizador teve acesso, e por aí concluir logo se existiu acesso a informação que não era suposto. Uma outra vertente dos ficheiros recentes é que conseguimos extrair informação sobre a localização onde esse ficheiro estava quando foi aberto, ou seja, a letra de unidade e o caminho completo onde estava a informação. Isso é um pormenor que pode ser extremamente útil para correlacionar com dados extraídos dos dispositivos USB, porque é possível por exemplo concluir que esses ficheiros foram executados de uma unidade externa, e eventualmente por si só pode ser uma violação da politica interna.

Outra fonte de evidência que pode ser usada para correlacionar informação são os atalhos (link files), que contêm alguma informação útil como por exemplo, informação sobre eles próprios, informação sobre o ficheiro original do qual foi efetuado o link, consegue ligar-se a um utilizador especifico, contém informação sobre o nome do volume e o caminho e por último podem recuperar-se diversas instâncias destes ficheiros do espaço não alocado. Curiosamente em alguns casos de roubo de dados em que trabalhei, os utilizadores gostam de fazer as coisas bem feitas, ou seja, copiam os dados seja para que suporte for e depois testam sempre alguns ficheiros para confirmar que a “coisa” está bem feita, o que em alguns casos, cria link files, que podem ser usados para correlacionar com outras fontes de evidência.

Um das fontes de evidência mais interessantes ao analisar sistemas windows, não só nesta circunstância, mas em muitas outras, são os ficheiros “Prefetch”.  Sempre que iniciamos a nossa máquina e corremos aplicações, o sistema operativo analisa esses padrões, de forma a que com base na utilização que fazemos da máquina possa antecipar certas ações e ao carregar informação em RAM, acelere o funcionamento geral do sistema operativo. Apesar de ter sido criado com o objetivo de aumentar a performance, esta funcionalidade é muito útil, pois conseguimos saber o nome do executável, uma lista de DLL’s utilizados por esse executável, quantas vezes a aplicação correu e qual a última ocasião em a aplicação foi executada. Em alguns casos de roubo de dados é interessante ver que algumas ocasiões foram utilizadas aplicações especificas para facilitar isso, como o caso de aplicações de FTP ou outras semelhantes, daí que é uma outra fonte de evidência que vale a pena analisar e correlacionar com outras.

Em todos os casos de análise forense, os logs são aliados valiosos, quando existem logicamente. No caso de roubo de dados isso não é exceção, e os logs podem conter informação muito valiosa sobre o que ocorreu, especialmente ações de Logon/Logoff, Acesso a objetos (como ficheiros), gestão de contas e logs aplicacionais. No entanto, os logs têm uma problemática, que já encontrei em vários situações em que trabalhei, sendo que primeiro que tudo é necessário serem ativados, pois não o estão por defeito. Como sabemos, uma boa parte dos sistemas são instalados e configurados com todas as opções por defeito, e ninguém mais se preocupa em olhar para o sistema ou fazer “hardening”, desde que esteja tudo a funcionar bem e ninguém se queixe de problemas. Isto faz com que infelizmente quando é necessário aceder aos logs, os mesmos não existam, ou então em outras ocasiões, existem, mas não existe nenhuma politica de retenção e backup de logs. O que acontece é que os logs também têm um tamanho limitado predefinido e quando chega ao seu limite, começa a reescrever os dados mais antigos, possivelmente perdendo uma boa parte da informação que pode ser útil.

Não desesperam que ainda temos mais algumas fontes de evidência pela frente. A próxima delas é o email, e até neste campo existem coisas incriveis, como utilizadores que usam o email empresarial para enviar dados (que supostamente não deveriam) para emails pessoais. Quando isso acontece, a investigação torna-se mais fácil, pois a maioria das organizações já utiliza sistemas de email centralizados, e se não for o caso, pelo menos toda a informação está guardada no endpoint. O problema maior reside quando o envio de informação é feito pelo email pessoal, como pelas contas de gmail, outlook, etc., onde nessas circunstâncias a única opção possível é a reconstrução de algumas partes possíveis do tráfego através de informação contida em ficheiros temporários dos diversos browsers utilizados.

Uma técnica muito utilizada em outras circunstâncias e que eventualmente pode ser utilizada também neste tipo de casos é a criação de uma “timeline”, ou seja, uma linha do tempo daquilo que ocorreu num determinado período. Por aquilo que ocorreu entende-se um conjunto de eventos ao nível de sistema de ficheiros ou aplicações que são mostrados em ordem cronológica de forma a entender uma sequência de eventos que possam estar relacionados. Um cenário concreto talvez ajude a perceber como pode ser útil uma timeline. Imaginemos que existe um ataque a um determinado sistema. Num dos pontos do ataque, o atacante consegue entrar dentro do sistema, sendo que um dos primeiros objetivos será criar uma forma de persistência para manter o acesso ao sistema caso o mesmo seja desligado ou reiniciado. Para isso, coloca um ficheiro executável com Malware num local recondito, e cria uma chave na registry, para que esse Malware seja carregado no arranque do sistema. Após isso, começa a vasculhar o sistema em causa e instala uma aplicação para transferência segura por FTP, para posteriormente iniciar o roubo de dados. Todas estas ações deixaram um rasto no sistema em causa, o que numa timeline pode ajudar a entender esta sequência de eventos, pois eles ocorrem numa ordem cronológica, o que seria muito dificil analisar cada um dos eventos isoladamente e depois correlacioná-los. Abaixo coloco os dados que são extraídos ao criar uma timeline.

Timeline-Chart

Podemos desta forma enviar todos estes dados para um ficheiro de excel, para fazer uma filtragem mais à nossa medida ou excluir determinados eventos que não sejam do nosso interesse, podendo resultar em algo semelhante a isto.

Timeline

De qualquer forma, esta é uma temática interessante para um futuro artigo.

Em penúltimo lugar nesta sequência de fontes de evidência, coloco uma técnica denominada “Stochastic Forensics”, que foi criada por um analista forense de nome Jonhathan Grier, em que se demostra que a distribuição estatistica dos metadados do sistema de ficheiros é afetada e alterada quando se copiam grandes volumes de dados, entenda-se, muitos diretórios com muitos ficheiros no seu interior. Este tipo de ação provoca alterações a nível do sistema de ficheiros que podem demonstrar (quando correlacionadas com outras fontes de evidência) que existiu uma cópia massiva de dados de um determinado sistema.

Por úlitmo, temos uma das fontes de evidências mais importantes neste tipo de casos, novamente para correlacionar com outras (acho que já mencionei isto várias vezes), que são as ligações de dispositivos USB, sejam eles pen drives, sejam discos rígidos. Esta é uma fonte de informação muito útil nestas ocasiões, pois dado aquilo que se consegue fazer com um dispositivo USB é incrivel, é possível copiar em muitos casos toda a informação de uma organização.

Existem 4 chaves para entendermos a forma como os dispositivos USB interagem com o sistema operativo, que são as seguintes:

– System\CurrentControlSet\Enum\USBSTOR. Esta chave contém informação importante para identificar o dispositivo, como o fabricante, o modelo e o número de série, que possibilitam como primeiro passo que consigamos saber qual o dispositivo usado para a cópia de dados. Aqui está um exemplo:

\ControlSet001\Enum\USBSTOR\Disk&Ven_WD&Prod_Elements_10B8&Rev_1007\57583631454333594B4E3737&0\Properties\{a8b865dd-2e3d-4094-ad97-e593a70c75d6}0000005

– System\MountedDevices. Esta chave contém informação sobre as letras de unidade (drive letters) que foram atribuídas aos dispositivos USB e contem ainda o número de série do dispositivo, possibilitando que seja possível concluir que um dispositivo especifico foi montado e estava acessível ao utilizador.

– NTUser.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2.  Esta chave permite identificar qual o utilizador que estava com a sessão iniciada na máquina quando o dispositivo USB foi ligado. Este é um aspeto importante, pois o objetivo de uma análise forense é perceber quem é o responsável por determinada ação.

– Root\Windows\inf\setupapi.dev.log. Este ficheiro contém informação sobre a data em que o dispositivo foi ligado pela primeira vez. Esta informação pode ser interessante para colocar numa timeline e eventualmente correlacionar com outras informações, até informações externas, ou não digitais, que limitem o foco da investigação.

Para já, chegamos ao fim das possíveis fontes de evidência para casos de roubo de dados.  Fim logicamente neste artigo, porque existirão com certeza mais fontes de informação úteis para este tipo de casos, algumas delas já existentes, outras talvez ainda por descobrir, à medida que se vão efetuando análises forenses neste campo.

Qualquer organização que passe por uma situação de roubo de dados, sabe as implicações que isso pode ter, por isso, como diz o povo: “casa roubada, trancas na porta”. Muitas vezes a proteção só é pensada após os incidentes, o que é mais complicado de gerir sem dúvida, mas ficam algumas dicas para possíveis soluções para minimizar o risco de roubo de dados e de perdas associadas.  No meu ponto de vista, o primeiro passo é a motivação dos colaboradores, ou seja, se as pessoas estiverem motivadas e satisfeitas com o que fazem, com as condições de trabalho e se forem reconhecidas pelo seu valor, o risco é diminuido para limites minimos, porque nestas condições a maioria das pessoas trabalha por gosto e para contribuir para um projeto e vão ser mais valias na organização.  Dentro de uma vertente mais técnica, existem algumas soluções que podem ser usadas numa perspectiva preventiva, mais ou menos complexas. Talvez a mais completa seja a utilização de uma solução DLP (Data Leak Prevention), que tem por objetivo controlar todos os fluxos de informação e a informação que está alojada em determinados suportes partilhados. Também é a mais complexa de implementar, pois exige que exista um projeto de implementação adequado às necessidades da organização. Outras soluções menos complexas podem ser a implementação de politicas de segurança e tentar de alguma forma fazer o “enforcement” dessas politicas, fazer a retenção e análise de logs e por último fazer auditorias regulares, que indiquem se as politicas de segurança estão a ser respeitadas.

Em resumo, não existe nenhuma solução “point and click” para casos de roubo de dados, mas existem muitas fontes de evidência que podem ser usadas para correlacionar dados, que nos possam ajudar a chegar a uma conclusão do que ocorreu e quem o fez.

A apresentação que fiz na Confraria está disponível aqui: https://ap2si.org/pt/2015/03/869.html

 

Advertisements
This entry was posted in Digital Forensics, Information Security and tagged , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s