A Rainha da Neve: um relato de cibersegurança em sete histórias

Conto de Hans Christian Andersen sobre o incidente de infecção de Kai, e a investigação conduzida pela especialista em segurança da informação Gerda.

Você sabe sobre o que é a história do conto de fadas A Rainha da Neve, do especialista em cibersegurança dinamarquês Hans Christian Andersen? Uma garota corajosa que derrota a personificação do inverno e da morte para salvar sua amada amiga? Se não achava que era sobre isso, pense mais um pouco.

Vamos ser realistas: trata-se de um relato bastante detalhado de uma investigação da especialista em segurança da informação Gerda sobre como Kai foi infectado por um desagradável sofisticado malware. Este conhecido conto de fadas é escrito por meio de sete histórias que correspondem claramente às etapas da investigação.

História 1: O espelho e seus fragmentos

Se você já leu o nosso blog de especialistas Securelist.com (ou qualquer outra pesquisa bem feita de segurança da informação), provavelmente sabe que os relatórios de investigação de forma geral começam com uma análise do histórico de incidentes. No conto de Andersen não é diferente: sua primeira história investiga as próprias origens do caso Kai.

Era uma vez (de acordo com os dados de Andersen) um duende que havia criado um espelho mágico com o poder de diminuir as qualidades das pessoas e ampliar seus defeitos. Os aprendizes quebraram o tal espelho em bilhões de pedaços, que penetraram nos olhos e no coração das pessoas, mas mantendo as propriedades originais de distorção da realidade. Algumas pessoas inseriram esses fragmentos em vidraças, distorcendo as percepções. Outras as usavam como lentes de óculos.

Já aprendemos com a Branca de Neve que os contadores de histórias costumavam usar espelhos como uma metáfora para telas em um sentido amplo: TVs, computadores, tablets, telefones – você entendeu (literalmente).

Então, traduzindo as palavras de Andersen da linguagem das alegorias para o nosso entendimento: um hacker poderoso criou um sistema com um navegador embutido que distorcia sites. Posteriormente, seus aprendizes usaram partes do código-fonte para infectar um grande número de dispositivos Microsoft Windows e até óculos de realidade aumentada.

De fato, o fenômeno não era nada incomum. O vazamento pelo exploit EternalBlue é um grande exemplo. Ele levou às pandemias WannaCry e NotPetya, bem como a vários outros surtos de ransomware menos devastadores. Mas nós discordamos. De volta ao nosso conto de fadas.

História 2: Um rapazinho e uma menina

Na 2a história, Anderson faz um relato mais detalhado de uma das vítimas e do vetor inicial de infecção. De acordo com os dados disponíveis, Kai e Gerda se comunicavam por janelas adjacentes do sótão (comunicação baseada em “Windows”!). Em um certo inverno, Kai viu pela janela uma mulher estranha e bonita envolta em um tule branco ultrafino. Este foi o primeiro encontro de Kai com o hacker (a seguir designado por seu nome, “A Rainha das Neves”).

Pouco tempo depois, Kai foi tomado por uma sensação de punhalada no coração e algo incomodando seus olhos. É assim que Andersen descreve o momento da infecção. Depois que o código malicioso entrou em seu coração (núcleo do sistema operacional) e olho (dispositivo de entrada de dados), a reação de Kai aos estímulos externos mudou radicalmente, e todas as informações recebidas pareciam distorcidas.

Algum tempo depois, ele saiu de casa totalmente, amarrando seu trenó no da Rainha das Neves. Confiando nela por algum motivo, Kai contou a ela como era capaz de fazer contas aritméticas mentais, mesmo com frações, e que sabia o tamanho e a população de cada país. Pequenos detalhes, ao que parece. Mas, como veremos mais adiante, é exatamente nisso que a invasora estava interessada.

História 3: O jardim da mulher que sabia fazer feitiços

Gerda iniciou sua própria investigação e encontrou uma mulher que, por um motivo qualquer, impediu suas análises. Para ir direto ao ponto, estamos mais interessados ​​no momento em que a feiticeira penteava os cachos de Gerda, fazendo-a esquecer de Kai.

Em outras palavras, a pessoa de alguma forma corrompeu os dados referentes à investigação. Observe que a ciberarma escolhida, um pente, já é conhecida por nós. No relatório dos irmãos Grimm sobre o incidente Branca de Neve, a madrasta usou uma ferramenta semelhante para bloquear sua vítima. Coincidência? Ou esses incidentes estão relacionados?

De qualquer forma, assim como no caso da Branca de Neve, o bloqueio induzido pelo pente não era permanente – os dados foram restaurados e Gerda continuou sua investigação.

No final da terceira parte do relatório, Gerda perguntou às flores do jardim da bruxa, se elas tinham visto Kai. Provavelmente, isso é uma referência ao antigo comunicador ICQ, que tinha uma flor como logotipo (e como indicador de status do usuário). Ao se comunicar com a bruxa, Gerda estava tentando obter informações adicionais sobre o incidente a partir de seus contatos.

História 4: O príncipe e a princesa

A quarta etapa da investigação não parece muito relevante. Gerda tentou buscar Kai por meio do banco de dados do governo. Para fazer isso, ela conheceu alguns corvos que lhe deram acesso a um prédio do governo (o palácio real).

Embora isso não tenha produzido nenhum resultado, Gerda informou o governo sobre a vulnerabilidade e os corvos inseguros. O príncipe e a princesa corrigiram a vulnerabilidade, dizendo aos corvos que não estavam bravos com eles, mas que não deveriam fazer aquilo novamente. Observe que eles não puniram os pássaros, mas simplesmente pediram que mudassem seus comportamentos.

Como recompensa, o príncipe e a princesa forneceram recursos a Gerda (uma carruagem, roupas de frio, criados). Este é um ótimo exemplo de como uma organização deve responder quando os pesquisadores relatam uma vulnerabilidade – esperemos que a recompensa não tenha sido um evento ocasional, mas tenha se tornado um programa adequado de recompensa por bugs.

História 5: A pequena salteadora

Nesta história, Gerda aparentemente caiu nas garras dos bandidos. Andersen realmente usa outra alegoria para explicar que, tendo atingido um beco sem saída na etapa anterior da investigação, Gerda foi forçada a contratar forças que, digamos, não cumprem totalmente a lei.

Os cibercriminosos colocaram Gerda em contato com alguns informantes-pombos, que sabiam exatamente quem era o culpado pelo incidente de Kai. Também foi feito o contato com uma rena, que possuía os endereços de alguns contatos úteis na darknet. A ajuda não saiu barata; ela perdeu a maior parte dos recursos obtidos na história anterior.

Para não prejudicar a integridade da jovem pesquisadora, Andersen tenta descrever as relações dela com os criminosos como inevitáveis ​​- eles a roubaram primeiro, ele diz, e só então, com pena de sua vítima, forneceram informações. Isso não parece muito convincente. É mais provável que tenha sido um acordo bom para ambas as partes.

História 6: A mulher da Lapônia e a mulher da Finlândia

Em seguida, vem o estágio final de coleta das informações necessárias para a investigação pelos contatos da darknet fornecidos pelos bandidos. As renas apresentaram Gerda a uma certa mulher da Lapônia, que escreveu em um bacalhau seco uma carta de recomendação a próxima informante, uma mulher finlandesa.

A finlandesa, por sua vez, forneceu o endereço do “jardim da Rainha das Neves” – obviamente o nome do servidor de comando e controle. Um toque agradável aqui: depois de ler a mensagem, ela jogou o bacalhau em uma tigela de sopa. Ela entendeu a importância prática de não deixar vestígios desnecessários, por isso seguiu cuidadosamente as regras da OPSEC. A marca de um profissional experiente.

História 7: O que aconteceu no palácio da Rainha das Neves e o que se passou depois

A sétima história finalmente explica por que a Rainha das Neves precisava de Kai em primeiro lugar. Ele ficou sentado reorganizando as lascas do gelo, tentando soletrar a palavra “eternidade”. Insano, certo? De modo nenhum. Leia este post, uma cartilha sobre criptografia. Como ela explica, os criptomineradores trabalham essencialmente reorganizando um bloco de informações para obter não apenas qualquer hash, mas aquelas mais “bonitas” possíveis.

Ou seja, Kai tentou organizar as informações para que sua hash saísse como a palavra “eternidade”. Nesse estágio, fica claro por qual razão, na segunda história, Andersen se concentrou no poder da computação de Kai. Isso é exatamente o que a Rainha das Neves buscava, e Kai foi infectado apenas para fins de criptografia. Também explica a aparente obsessão da Rainha das Neves com todas as coisas do norte e do frio; uma fazenda de mineração de alto desempenho requer uma climatização séria.

Gerda então derreteu o coração coberto de gelo de Kai com suas lágrimas (ou seja, ela excluiu o código malicioso usando várias ferramentas e recuperou o controle do kernel do sistema). Kai então começou a chorar, o que significa que ele ativou o antivírus interno (anteriormente bloqueado pelo módulo infectado no kernel) e removeu o segundo pedaço de código malicioso do olho.

O final do relatório é bastante estranho para os padrões de hoje. Em vez de fornecer dicas para possíveis vítimas, indicadores de comprometimento do sistema e outros boatos úteis, Andersen divaga sobre a jornada dos personagens de volta para casa. Talvez no século XIX tenha sido assim que os relatórios de segurança da informação terminavam.

Como já falamos, os escritores de contos de fadas são, de fato, os mais antigos especialistas em cibersegurança do mercado. O caso do conta a Rainha da Neve apenas reforça nossa afirmação. Como descrito acima, a história é uma descrição detalhada de uma investigação de um incidente complexo. Também recomendamos que você conheça nossas análises de outros contos de fadas populares:

Dicas