O primeiro SOC nasceu com o primeiro hacker

Alguma vez, você já se perguntou há quanto tempo a Segurança da Informação é um desafio para as empresas? Em um mundo hiper conectado, a preocupação com proteção é constante. E essa é uma verdade há muitos e muitos anos, desde a época em que a maioria dos profissionais de segurança vivos hoje, sequer haviam nascido.

A Segurança da Informação não tem uma data de aniversário. É difícil estabelecer um ponto de partida, em que tudo começou. O que a compõe é uma vastidão de conceitos, com soluções que foram sendo criadas e gradativamente incorporadas à definição que conhecemos hoje.

Mas há um conceito dentro da Segurança da Informação que, arrisco dizer, talvez tenha um início bem definido: o de SOC (Security Operation Center).

Uma gama de ferramentas comuns para monitorar e detectar ameaças, registrar e responder a incidentes, descobrir e corrigir vulnerabilidades, teve a primeira implementação, rudimentar, porém, funcional, no ano de 1986. O protagonista dessa história? Clifford Stoll. O objetivo deste artigo? Demonstrar que, hoje, muitos ainda sofrem, desnecessariamente, das mesmas dores que o Dr. Cliff há mais de 30 anos.

Essa história começa no Lawrence Berkeley National Laboratory, dias em que a Rainha Elizabeth já tinha enviado o seu primeiro e-mail, na recém-formada Internet. O Dr. Cliff era um astrônomo e pesquisador de Berkeley, uma das poucas universidades que contava com um computador “grande”, um VAX 780. Hoje, ele pareceria nada além de um armário velho de Telecom. Mas na época, era tão caro que o custo do seu processamento de US$ 300 por hora era supercontrolado, com um programa escrito somente para cobrar o tempo da CPU entre os usuários de cada departamento.

Berkeley também contava com outro item tecnológico raro na época, um roteador Cisco que conectava o seu laboratório à Internet. Um belo dia, o programa de contabilização de uso do VAX chegou ao final do mês e não encontrou o usuário responsável por 9 segundos de processamento, tempo que, então, equivalia a US$ 0,75.

A equipe resolveu olhar os logs para descobrir qual era o usuário que não havia sido contabilizado. Mas onde os logs tinham ido parar? Pois é, o tal usuário que ninguém sabia quem era tinha apagado seus traços dos logs, que ficavam em um diretório padrão ao qual todos tinham acesso.

Ok, a estratégia então foi examinar terminal por terminal do laboratório para tentar descobrir quem era. Mas e o pool de 50 linhas telefônicas que tinha acabado de ser instalado no laboratório para que os pesquisadores acessassem o VAX remotamente? E o roteador novo? De onde vinha a conexão?

Naquela época não existia nenhuma ferramenta de visibilidade de rede como temos hoje. Não havia port mirror a ser feito nem nada do gênero. Simplesmente era uma novidade e o que, à primeira vista parecia apenas um simples erro de arredondamento no software de bilhetagem, na verdade era um usuário não autorizado trabalhando no VAX.

Dr. Cliff resolveu buscar a origem da conexão fazendo 50 jumpers nas linhas dos modems, conectando-os em paralelo a 50 impressoras seriais, chamadas Teleprinters.

A ideia do Dr. Cliff era imprimir todos os caracteres que estavam passando nas linhas seriais para que ele identificasse o usuário em questão e descobrisse o que o visitante desautorizado estava fazendo no VAX. Dr. Cliff poderia ter feito isso via software, mas como o usuário já tinha apagado os logs uma vez, teve a preocupação de fazer algo que fosse transparente do ponto de vista da conexão, para que, qualquer que fosse a origem, não houvesse condições de ninguém identificar o monitoramento.

Foi assim que o conceito de visibilidade de rede, que temos nos SOCs modernos, foi implementado em 1986.

No final de semana seguinte, o usuário misterioso se conectou por uma das linhas telefônicas e, como planejado, todos os caracteres que passaram pela conexão foram impressos no formulário contínuo.

O time de Berkeley demorou a entender os comandos executados naquela conexão. Não eram comandos comuns e alguns não faziam sentido. Estudando o tráfego daquela sessão, a equipe entendeu que se tratava da exploração de vulnerabilidades para escalação de privilégio. Algo que também é escopo de um SOC moderno: “ler” o tráfego capturado para extrair dele a inteligência do atacante.

O que descobriram foi que uma vez conectado, e como root, o atacante usava o VAX de Berkeley como ponte para outra rede, a ARPANET, que por sua vez servia de ponte para acessar a MILNET, rede militar americana de então. A essa altura, NSA, CIA, FBI e outras agências já estavam interessadas no assunto. Apesar de nenhuma delas saber como responder ao incidente, o que, aliás, é outra atribuição de um SOC moderno.

Mas como vigiar 24 horas por dia os caracteres impressos em 50 impressoras diferentes? Era algo inviável. Se o caso fosse nos dias atuais, seria como se o time tivesse que colocar uma pessoa para observar todo o tráfego que passasse pelo perímetro de Internet. É humanamente impossível fazer isso sem automatização.

Precisava haver um meio de gerar alertas específicos sobre a atividade maliciosa. Dr. Cliff decidiu juntar à solução, analisadores de interfaces seriais. Agora cada modem tinha dois jumpers, um para a impressora e outro para o analisador serial.

Com isso, o sistema de visibilidade de rede do Dr. Cliff teve o primeiro avanço.

Usando a inteligência obtida com o monitoramento do atacante, foi possível aprender sobre os métodos de invasão que ele utilizada e, assim, criar regras que detectariam ataques.

O próximo passo foi configurar os analisadores para que, quando detectassem um determinado conjunto de caracteres, dessem alerta para o pager do Dr. Cliff indicando em qual modem o atacante havia se conectado.

Foi o primeiro IDS (Intrusion Prevention System) da história, em que o tráfego malicioso dispara um alerta para a resposta ao incidente. Com isso, não seria mais necessário vigiar, sem parar, 50 impressoras, e ler em tempo real o que estava sendo impresso. Dr. Cliff e o time de Berkeley podiam ir para casa e voltar ao laboratório somente em caso de ataque.

Mas eles não queriam simplesmente derrubar a conexão, pois isso alertaria o atacante de que ele tinha sido descoberto. O que fizeram foi responder o incidente ativamente somente se o atacante começasse o download de documentos secretos de alguma base militar americana.

Como era essa resposta?

Dr. Cliff aproximava uma chave magnética do cabo do modem, simulando interferência da conexão para impedir ou retardar o download de dados sensíveis. Dessa forma, o ladrão de dados seguia com as tentativas de download, acreditando que o problema era de conectividade. E temos talvez o primeiro IPS (Intrusion Prevention System) de que se tem notícia. Impedir que um ataque seja bem sucedido é outra atribuição de um SOC.

Nesse ponto da história, meses já haviam se passado. E o que se sabia era que a origem da conexão estava na Europa. Mas rastrear uma conexão transoceânica era complicado demais naqueles dias. Não havia software nem nada automático, tudo era manual. Então o que time passou a fazer? Ligava para a operadora local, pedindo que alguém olhasse a origem da conexão. Depois, para a próxima operadora, com o mesmo pedido de verificar a origem da conexão. O processo era repetido até que conseguissem chegar ao autor dos ataques.

O problema era como manter o atacante conectado e ganhar tempo suficiente para conseguir rastrear a conexão fim-a-fim. A solução: criar uma operação militar falsa chamada “ShowerHead”.

O time e Dr. Cliff inventaram vários documentos e ofícios, criaram a SDI NET “Strategic Defense Initiative Network”, desenharam topologias e descrições da tal rede. Também clonaram a base de dados de Berkeley substituindo “aluno” por “tenente”, “professor” por “coronel”, e assim por diante. Para que parecesse real, fizeram uma rede de servidores de mentira e a esconderam dentro da rede de Berkeley, assim, o atacante enxergaria a nova rede quando estivesse buscando novos alvos. E esperaram.

Sem dúvida, é mais um exemplo de os especialistas de antigamente colocando em prática outra funcionalidade que até hoje é usada em um SOC. A simulação foi o primeiro Honey Pot já feito.

Quando o hacker se conectou e finalmente encontrou a tal rede secreta, imediatamente passou a fazer o download de todos os documentos. Dado o volume de informações supostamente confidenciais, o atacante acreditou que tinha encontrado algo grandioso. E permaneceu conectado por várias horas.

Isso deu tempo às agências americanas de rastrear a conexão e acionar as autoridades em Hanover, cidade onde estava Marcus Hess, o atacante que tinha sido perseguido por tanto tempo. Marcus vendia documentos secretos que obtinha para a KGB soviética.

Uma síntese do que Dr. Cliff registrou com as ferramentas que desenvolveu:

  • Invasão de 450 computadores da Milnet, entre eles, o US Army Optimis Data Base (Pentágono). O Google do Pentágono, por assim dizer;
  • Download de centenas de documentos secretos;
  • Roubo de credenciais de acesso / Estabelecimento de novas credenciais;
  • Mapeamento da topologia das rede-alvo;
  • Encerramento de processos e alteração de dados;
  • Exclusão de processos e arquivos de auditoria;
  • Password e Encryption cracking usando métodos de dicionário;
  • Roubo de credenciais através de rastreamento de arquivos (e-mails e notas que os próprios usuários anotavam suas senhas);
  • Trojan Horses;
  • Exploração de vulnerabilidades para elevação de privilégio;

E o que enxergamos olhando pelo retrovisor? Berkeley foi, no final dos anos 80, o primeiro caso de APT (Advanced Persistent Threat) documentado da história. Todas as etapas clássicas de uma APT moderna encontram-se presentes.

As lições aprendidas lá atrás são o alicerce de parte do que praticamos hoje.

Desvendado o mistério dos US$ 0,75, Dr. Cliff já falava de políticas de controle de acesso, revisão de privilégios, aplicação de patchs para correção de vulnerabilidades, hardening de servidores, atuação policial em casos de cybersegurança (termo que ainda nem existia), procedimentos de resposta a incidentes de segurança, segmentação de redes, políticas de senhas, boas práticas de auditoria, e várias outras iniciativas como DLPs rudimentares. Todas disciplinas presentes dentro de um SOC.

Ou seja, o arcabouço, o esqueleto, a base de boa parte do que consideramos obrigatório hoje para qualquer organização, já é conhecida há 30 anos. Apesar disso, muitas empresas continuam sofrendo por não observar as lições aprendidas.

Encerro com mais uma pergunta: que chance tem uma organização hoje, sem um SOC equipado com os processos, ferramentas e mão de obra qualificada, contra uma APT?

Caso queiram conhecer mais detalhes da história do Dr. Cliff, leiam “The Cuckoo’s Egg”, publicado em 1989.

Por Leonardo Camata

One Reply to “O primeiro SOC nasceu com o primeiro hacker”

  1. Armsthon Zanelato 5 anos ago

    Estamos vendo hoje ataques ainda mais simples do que um APT obtendo muito sucesso.
    Essa história vai longe!
    E é nossa missão como profissionais da área imitarmos o Dr Cliff e não desistirmos nunca e mantemos a vigilância sempre! Mesmo que o início tenha sido apenas um reles custo de $0,75 a perda final pode ser muito maior.

Comments are closed.