Por David Sopas (*)

Desde a passada sexta-feira que não se tem lido/visto outra coisa nos media do que referências aos “ataques informáticos” com o nome de código WannaCry, no qual se pedia um resgate para desbloquear o sistema afetado (ransomware).

No meu ponto de vista, o WannaCry só veio provar uma coisa: a falta de segurança em inúmeras empresas portuguesas e como lidam com a comunicação com os seus clientes em situação de crise.
A falha humana continua a ser uma das maiores preocupações na segurança informática - não só no seu elo mais fraco, que clica em tudo o que aparece no email, mas também nos administradores de redes que não atualizam o sistema operativo - neste caso os sistemas Windows.

Ao que tudo indica, este worm propagava-se utilizando uma falha no desatualizado SMBv1, divulgada pelos ShadowBrokers no leak da NSA - o ETERNALBLUE. No entanto a porta de entrada poderá ter sido diferente dos populares ransomwares. Não seria necessário um clique num email malicioso. Basicamente, se houvesse uma má configuração do serviço de partilha de ficheiros e impressoras - SMB ou um Remote Desktop Connection aberto, o WannaCry tinha a porta aberta para se propagar.

A correção para a falha da Microsoft estava disponível desde Março - MS17-010 (uma das respostas mais rápidas de segurança vinda da empresa).

Até à data não foi encontrado nenhuma evidência da propagação deste ataque por email.  Aliás, a IBM - que teve algumas máquinas infetadas, analisou 1.06 mil milhões de mensagens de email da empresa e não encontrou qualquer evidência ao WannaCry.

É claro que muitas empresas têm políticas para atualizar os sistemas que podem atrasar um pouco o processo de segurança, mas podem sempre bloquear determinadas portas para prevenir que males maiores possam vir a acontecer (como efetivamente aconteceu). É
importante salientar que o facto de não expor para a Internet as portas 139, 445 e 3389 podia barrar por si só o Wannacry.

O que as empresas afetadas podem aprender com isto? Acelerar o processo de atualização dos sistemas, principalmente atualizações críticas de segurança; não expor serviços desnecessários na Internet; efetuar backups regulares dos sistemas e aplicar acções de formação para todos os colaboradores da empresa.

O país não pode ficar parado com este tipo de situações. É praticamente impossível prevenir que determinados ataques possam ocorrer, no entanto podemos sempre minimizar os danos causados e ser um pouco mais proativos para lidar com ataques informáticos.

(*) AppSec Research Team Leader na Checkmarx