Case: Mercado Livre vazamento de contas de 300 mil usuários

O Mercado Livre (ML) confirmou na noite de segunda-feira (07) que dados de

300 mil usuários foram acessados após uma invasão cibernética. Apesar de parte
do código-fonte da empresa ter sido roubado, ela disse que por enquanto não
encontrou nenhuma evidência de que o ataque tenha comprometido informações
sensíveis dos clientes.
Segundo a companhia, assim que o acesso não autorizado foi identificado os
protocolos de segurança foram ativados e uma análise completa começou a ser feita.
“Estamos tomando medidas rigorosas para evitar novos incidentes”, comentou em
nota.
O ML disse que preliminarmente “não encontramos nenhuma evidência de que
nossos sistemas de infraestrutura tenham sido comprometidos”. Neste sentido, o
posicionamento da empresa defende que não foram vazados dados sensíveis como
senhas de usuários, saldos em conta, investimentos, informações financeiras ou
cartões de pagamento, por exemplo.
A marca do setor de comércio eletrônico explicou que apesar de o ataque ter exposto
dados de 300 mil usuários, a base total de clientes conta com quase 140 milhões de
usuários ativos únicos.

Responsáveis pelo ataque

Os responsáveis pela invasão ao ML foram o Lapsus, como reivindicam,
conhecido grupo que recentemente se notabilizou por ataques cibernéticos
ao Ministério da Saúde, Localiza, Nvidia e Samsung.
No último domingo (06), eles promoveram em um grupo no Telegram uma
enquete perguntando aos participantes sobre dados de qual empresa deveriam ser
vazados. O “Mercado Libre” (nome de origem do ML, que é uma companhia argentina)
era uma das opções junto ao Mercado Pago, que é o serviço de pagamentos.
Pela terminologia utilizada nas mensagens, é possível imaginar que o Lapsus
teve acesso a um repositório do código-fonte do ML com 24 mil arquivos. Por
enquanto, ainda não é possível saber se o grupo divulgou os dados capturados na
internet.
 Lapsus segue atacando
O Lapsus vem se configurando como um dos principais grupos de ameaças
cibernéticas em 2022. Além do ataque a Samsung, que resultou no vazamento de 190
GB de dados da empresa, o grupo também foi responsável pelos problemas que o
Ministério da Saúde do Brasil enfrentou em dezembro passado, que deixaram a
plataforma ConecteSus semanas fora do ar.

Além disso, o Lapsus também foi o responsável pelo ataque digital que deixou
as operações do Submarino e das Americanas alguns dias fora do ar em fevereiro, e
o ataque que vazou dados da NVIDIA no final do mês passado.

Técnica de segurança cibernética será aplicada e descrição do funcionamento

Técnica de segurança cibernética IDS/IPS

O IDS(Intrusion Detection System) e o IPS (Intrusion Prevention System),

traduzindo, significam Sistema de Detecção de Intrusão e Sistema de Prevenção de
Intrusão.
São recursos que examinam o tráfego na rede, para detectar e prevenir os
acessos não autorizados na mesma, protegendo-a da exploração das
vulnerabilidades.
Em 2020 o número de ataques foi alarmante e a projeção é que os custos
globais do cibercrime crescerão 15% ao ano nos próximos cinco anos, chegando a
US $10,5 trilhões anuais até 2025.Esses dados reforçam: A segurança da informação
é uma peça fundamental no ambiente empresarial.
O que é IDS/IPS, como funciona, os tipos existentes e a importância para sua
empresa.

O que é IDS e IPS?

O IDS é um sistema de monitoramento, enquanto o IPS é um sistema de

controle de intrusão. São tecnologias que fazem parte da segurança da informação,
que foram desenvolvidos para agregar a frente da proteção de dados, uma
necessidade urgente para as empresas.
Basicamente, ambos são partes da infraestrutura de rede e comparam pacotes
de rede em um banco de dados de ameaças cibernéticas, contendo assinaturas
conhecidas e sinaliza todos os pacotes correspondentes.
Já o IPS impede que o pacote seja entregue com base em seu conteúdo, da
mesma forma como um firewall impede o tráfego por endereço IP.

Como funciona eles funcionam?

No caso do IDS, o gerenciador de análise é o cérebro do sistema, ele

consulta através de regras preestabelecidas o gerenciador de pacotes para efetuar
uma eventual análise.
Se houver um pacote a ser analisado, o gerenciador de análise compara o
pacote com as assinaturas requeridas ao gerenciador de assinaturas.
Caso haja confirmação das características do pacote serem descritas por
alguma assinatura, o gerenciador de análise aciona o gerenciador de medidas de
defesa para combater a ameaça detectada.
Simplificando o IDS/IPS, imagine a seguinte situação: uma casa possui uma
câmera para garantir a segurança dessa residência. A câmera registra todos os que
entram e saem da residência.
Caso alguma coisa aconteça, será possível examinar o vídeo e descobrir o que
houve e, mais importante, quem foi o responsável. Apesar de muito útil para
solucionar crimes, a câmera por si só não os evita.
É assim que funcionam os sistemas de IDS (Intrusion Detection System). Eles
analisam os registros de acesso à internet, procurando falhas que possam indicar uma
invasão à rede, e sinalizam isso para que o administrador da rede possa agir ou
entender o que está acontecendo.
O IPS é um complemento do IDS, ele acrescenta à detecção de ataques a
possibilidade de prevenção. Ambos IDS e IPS necessitam de uma base de dados de
assinaturas conhecidas para realizar a comparação com possíveis ataques.
No entanto, o IDS se restringe a detectar tentativas de intrusão, registrá-las e
enviá-las ao administrador da rede. O IPS opera “inline” na rede, adotando medidas
adicionais para bloquear as intrusões em tempo real.
 Agora, adicione ao mesmo contexto, uma vigilância 24h e uma patrulha. Com
a vigilância não é necessário esperar que algo aconteça para que a câmera seja útil.
Os problemas podem ser evitados, pois, com a vigilância, se alguém estiver
rondando a porta, a patrulha será acionada e questionará o invasor em potencial antes
que o problema aconteça.
Essa é função do IPS. Com respaldo na análise feita pelo IDS, ele reprograma
o firewall automaticamente e bloqueia o endereço IP do invasor, enquanto ele ainda
estiver preparando o ataque, antes que ele ocorra.

Tipos de IDS/IPS

Agora que você já entendeu como funciona o IDS/IPS, é importante que você conheça
alguns tipos e suas diferenças:

Tipos de IDS

Sistemas de Detecção de Intrusão Baseado em Host (HIDS)

No caso desse sistema, o IDS encontra-se instalado em cada máquina

monitorada, para analisar os eventos gravados nos arquivos de log, ou pelos agentes
de auditoria. Funciona como última linha de defesa, no caso do ataque ter sido bem-
sucedido e ter conseguido atravessar o firewall e o NIDS.
Com o HIDS é possível detectar as seguintes situações:
 Uso não correto e exagerado da memória;
 Processos cujo comportamento é suspeito Conexões suspeitas na rede;
 Utilização da CPU Utilização de System Calls;
 Uso detalhado do disco. Sistemas de Detecção de Intrusão Baseado em Rede
(NIDS)
Ao invés de monitorar um único computador, o NIDS monitora a rede como um
todo. Ele monitora o tráfego do segmento de rede no qual está inserido, com sua
interface de rede atuando em modo indecoroso.
A detecção é feita através da captura e análise dos cabeçalhos e conteúdos
dos pacotes, os quais são comparados com padrões ou assinaturas estabelecidas,
sendo um mecanismo eficaz contra os ataques como: port scanning, IP spoofing,
SYN flooding.
 O uso de múltiplos NIDS em uma rede garante uma forma de defesa
abrangente. O sistema de detecção baseado em rede é constituído por dois
componentes principais: os sensores e a estação de gerenciamento.
Os sensores são os dispositivos colocados em determinados pontos da rede,
que realizam o monitoramento propriamente dito, já a estação de gerenciamento é
responsável pelo gerenciamento remoto de todos os sensores.
O NIDS operando com essas particularidades consegue ter uma abrangência
maior na detecção de intrusos, comparado ao HIDS.
Um grande ponto positivo é que o NIDS apresenta a propriedade de não ser
visível ao atacante, fazendo com que o ataque seja efetuado sem cuidados.
Outras vantagens do NIDS são, segundo Carvalho (2005): o desempenho da
rede não é afetado; a detecção e identificação dos ataques é feita em tempo real,
facilitando tomadas de decisões imediatas; eficácia na detecção de port scanning; não
se restringe a somente detectar ataques, mas também às tentativas de ataque não
concretizadas.
As desvantagens deste sistema são a dificuldade em monitorar dados cifrados,
e, em redes saturadas, pode haver perdas de pacotes.

Tipos de IPS
Sistema de prevenção de intrusão baseado em host (HIPS)
Esse sistema funciona de modo semelhante ao HIDS. As verificações são em
cima da máquina na qual se encontra instalado, porém, além de detectar o ataque,
ele toma decisões a respeito das análises efetuadas.
Ele possui acesso direto ao sistema operacional da máquina e ao próprio
kernel, podendo dessa forma controlar os acessos ao sistema de arquivos,
configuração e registros do sistema.
Outro diferencial do HIPS é que ele identifica comportamentos suspeitos no
sistema operacional, ao invés de comparar assinaturas.
Além disso, o HIPS traz a possibilidade de que o tráfego de rede criptografado
seja identificado após o processo de descriptografia do pacote, possibilitando a
detecção do ataque antes cifrado, fato que não ocorre no uso do NIPS e NIDS.
Sistema de prevenção de intrusão baseado em rede (NIPS)

Já esse tipo de sistema se baseia em um dispositivo inline, que pode ser um

roteador ou um switch, pois eles repassam os pacotes entre as redes.
 Sempre que um ataque é identificado, são tomadas decisões baseadas nas
regras pré-definidas, e são essas regras que irão bloquear o ataque suspeito.
O NIPS apresenta a propriedade de efetuar drop na conexão, impedindo, dessa
forma, que os pacotes cheguem ao seu destino, tal como os firewalls atuam.
Existem vários outros tipos de sistemas IDS/IPS, aqui citamos os mais comuns e
utilizados, mas você pode conferir mais a fundo os outros acessando esse material:

SISTEMAS IDS E IPS - ESTUDO E APLICAÇÃO.

IDS/IPS na Cyber Serutity

Cuidar da proteção dos dados é uma ação que requer uma série de passos,
agregando vários recursos. Falamos do IDS/IPS como uma ferramenta essencial para
a segurança das informações, mas reforçamos a você que, ela não deve operar
sozinha.
Bom, basicamente, é necessário que outros recursos estejam presentes para
garantir um ambiente empresarial mais seguro. Lembra do exemplo da casa?
Então, seguindo este raciocínio, não basta simplesmente ter câmeras na porta
da casa e uma patrulha 24h, se não existir um portão. Se você quer garantir a
segurança da sua casa, esse é um dos primeiros itens externos que você pensa, não
é mesmo?

É exatamente aí que entra o firewall. O firewall oferece recursos que limitam o

acesso às portas e janelas do computador, e, assim, impede a entrada de invasores.
Dessa forma, somente usuários autorizados terão permissão para algumas
funcionalidades da rede de computadores.
 Conclusão quanto ao Case: Mercado Livre

Normalmente estes tipos de vazamentos acontecem na camada da aplicação,

normalmente a rede interna das empresas é toda segura e protegida, porém a
empresa que construiu a plataforma de interação com o cliente, o desenvolvedor por
falta de conhecimento de boas práticas ou imprudência deixa exposto um usuário de
banco ou uma requisição no código fonte, então, os hackers exploram essas
vulnerabilidades. Geralmente vazamento de dados está atrelado diretamente na
aplicação.
Então a solução de O IDS é um sistema de monitoramento, enquanto o IPS é
um sistema de controle de intrusão e O IPS opera “inline” na rede, adotando medidas
adicionais para bloquear as intrusões em tempo real.
Cuidar da proteção dos dados é uma ação que requer uma série de passos,
agregando vários recursos. Falamos do IDS/IPS como uma ferramenta essencial para
a segurança das informações, mas reforçamos a você que, ela não deve operar
sozinha.
O IDS (Intrusion Detection System) e o IPS (Intrusion Prevention System),
traduzindo, significam Sistema de Detecção de Intrusão e Sistema de Prevenção de
Intrusão. São recursos que examinam o tráfego na rede, para detectar e prevenir os
acessos não autorizados na mesma, protegendo-a da exploração das
vulnerabilidades.

Referência Bibliográfica:

https://tecmundo.com.br/seguranca/234998-mercado-livre-sofre-vazamento-dados-
300-mil-usuarios.htm

https://canaltech.com.br/seguranca/codigo-fonte-do-mercado-livre-esta-na-mira-de-
cibercriminosos-210876/

https://blog.starti.com.br/ids