São Francisco, EUA. Eles chegaram pelo cardápio de comida chinesa. Incapazes de invadir a rede de computadores numa grande empresa de petróleo, hackers infectaram com um malware o cardápio online de um restaurante chinês muito utilizado pelos funcionários. Ao escolherem seu almoço, eles acidentalmente baixaram um código que deu aos agressores uma base na rede computacional da empresa.

Especialistas em segurança convocados para corrigir o problema não foram autorizados a divulgar os detalhes, mas a lição com o incidente ficou clara: empresas buscando proteger seus sistemas contra hackers ou espiões do governo precisam procurar vulnerabilidades nos locais mais improváveis.

Na recente invasão do cartão de pagamentos da rede de lojas norte-americana Target, hackers ganharam o aos registros da loja através do sistema de ar-condicionado. Em outros casos, usaram impressoras, termostatos e equipamentos de videoconferência.

As empresas sempre precisaram ser diligentes para se manter à frente dos hackers – e-mails e dispositivos pessoais vulneráveis são um problema antigo –, mas a situação vem ficando cada vez mais complexa e urgente agora que vários serviços terceirizados recebem o remoto a sistemas corporativos.

Tudo que tem software. Esse o vem através de softwares que controlam todo tipo de serviços necessários a uma empresa: aquecimento, ventilação, sistemas de gestão de contas, despesas e recursos humanos, funções de análise de gráficos e dados, provedores de seguro saúde e até máquinas de venda automática. Invadindo um desses sistemas, é possível invadir todos os outros. “Nos vemos constantemente em situações onde provedores de serviços externos conectados remotamente têm as chaves do castelo”, explicou Vincent Berk, presidente da empresa de segurança de rede FlowTraq.

Uma pesquisa com mais de 3.500 praticantes globais de tecnologia da informação e segurança virtual, conduzida no ano ado pelo instituto de pesquisa de segurança Ponemon, descobriu que 23% das invasões eram atribuíveis a negligência de terceiros.

Especialistas em segurança dizem que esse número é baixo. Arabella Hallawell, vice-presidente de estratégia na Arbor Networks, estima que fornecedores terceirizados estavam envolvidos em cerca de 70% das invasões analisadas por sua empresa. “Geralmente são fornecedores de quem você nunca suspeitaria”, afirmou.

Hoje, provedores de aquecimento e ar-condicionado conseguem ajustar remotamente a temperatura do escritório, e fornecedores de máquinas de venda automática podem ver quando seus clientes estão quase sem refrigerantes. Esses fornecedores muitas vezes não possuem os mesmos padrões de segurança de seus clientes mas, por motivos comerciais, acabam sendo autorizados pelo firewall que protege a rede. E tornam-se mais tentadores porque geralmente usam sistemas mais antigos.

Até área olímpica foi hackeada

São Francisco. Pesquisadores descobriram ser possível invadir os disjuntores da área olímpica de Sochi, onde aconteceram os Jogos de Inverno, através de seu fornecedor de aquecimento e ventilação. Felizmente, estavam apenas procurando por falhas. Billy Rios, um desses pesquisadores, disse ser cada vez mais comum as corporações configurarem suas redes de forma descuidada, com sistemas de ar conectados à mesma rede que atende bancos de dados contendo informações confidenciais.

Idealmente, segundo especialistas em segurança, as corporações deveriam montar suas redes de forma que o o a dados confidenciais seja bloqueado para sistemas de terceiros.