Memes e tweets de segurança da informação em 2021

Relembrando os eventos infosec mais interessantes de 2021 — com memes e tweets.

No século XXI, descrições detalhadas e provas de conceito não são suficientes para chamar a atenção geral para uma vulnerabilidade. Você precisa de um nome de marketing atraente, um logotipo e um pacote de memes impossíveis de evitar no Twitter. Todos os pesquisadores, jornalistas de TI, trabalhadores da indústria e usuários simpáticos se divertem com imagens engraçadas o tempo todo.

E, em geral, funciona: depois de ver um meme, muitas pessoas leem sobre o que aconteceu e às vezes até tomam medidas para consertar a vulnerabilidade — ou pelo menos fazem o que podem para evitar cometer o mesmo erro e aparecer em um novo meme. Além disso, ao considerar o número de memes após um incidente, podemos ter uma ideia da extensão de um problema. Se dependêssemos exclusivamente de memes para aprender as últimas notícias sobre cibersegurança, lembraríamos de 2021 mais ou menos assim:

Janeiro: atualização da política de privacidade do WhatsApp

O ano começou com milhões de usuários do WhatsApp repentinamente sabendo de uma atualização na política de privacidade do serviço. O resultado foi um êxodo em massa para o Telegram e, por sugestão de um famoso doge breeder, para o Signal, ambos obtendo um crescimento significativo de audiência. Achamos que este meme é o que melhor resume a situação com a nova política de privacidade do WhatsApp:

Fevereiro: Falha de segurança épica das câmeras FootfallCam 3D Plus IoT

A segurança dos dispositivos IoT é notoriamente ruim, mas quando você pensa que já viu de tudo, alguns fabricantes de dispositivos inteligentes conseguem superar todas as expectativas. Este tópico no Twitter explica tudo (é de cair o queixo):

Março: vulnerabilidade ProxyLogon

No início de março, a Microsoft lançou patches para o Exchange relacionadas a várias vulnerabilidades graves no sistema. Essa é uma ocorrência bastante comum, mas o problema é o seguinte: os invasores vinham explorando ativamente algumas das vulnerabilidades, supostamente desde janeiro ou mesmo antes. Quando o patch foi lançado, mais de 30.000 organizações nos Estados Unidos haviam sido hackeadas.

Abril: Signal trola Cellebrite

Para quem não sabe, a Cellebrite produz equipamentos utilizados por forças policiais, permitindo que os funcionários invadam smartphones de forma fácil e conveniente e recuperem informações que lhes interessam. É por isso que a empresa ocupa um lugar especial no coração dos defensores da privacidade. No final de 2020, a Cellebrite anunciou que seus produtos estavam começando a oferecer suporte ao Signal. Em resposta, a equipe do Signal publicou um estudo de vulnerabilidades no software Cellebrite e usou um teaser incomparável para acompanhá-lo:

Maio: Ataque de ransomware ao Colonial Pipeline

Um ataque de ransomware ao Colonial Pipeline, o maior sistema de oleoduto dos Estados Unidos que transporta produtos de petróleo, interrompeu o fornecimento de gasolina e diesel ao longo da costa sudeste do país. O incidente gerou muita discussão sobre como proteger essas empresas, e o anúncio da empresa em busca de um novo gerente de cibersegurança viralizou nas mídias sociais, com o comentário “Eles provavelmente têm um orçamento decente agora”.

Junho: Congressista publica acidentalmente a senha do e-mail e código PIN

O congressista norte-americano Mo Brooks, membro do Comitê de Serviços Armados da Câmara dos Estados Unidos e, especificamente, de um subcomitê que lida com cibersegurança, fez uma contribuição incomum para popularizar o armazenamento seguro de senhas. Usando sua conta pessoal no Twitter, ele postou uma foto de seu monitor junto com um adesivo que tinha a senha de sua conta do Gmail e um código PIN nele. Isso é que é clássico! O tweet repercutiu por várias horas e viralizou. Embora Brooks finalmente o tenha excluído, era tarde demais:

Julho: vulnerabilidade PrintNightmare

Os pesquisadores parecem ter publicado por engano sobre o ataque de prova de conceito do GitHub usando as vulnerabilidades CVE-2021-34527 e CVE-2021-1675 no Windows Print Spooler. Temendo que os invasores adotassem rapidamente o método publicado, a Microsoft lançou um patch urgente sem nem mesmo esperar pela terça-feira de atualização. Além disso, até mesmo o Windows 7 e o Windows Server 2012 desatualizados foram corrigidos. No entanto, os patches não resolveram o problema completamente e algumas impressoras pararam de funcionar após a instalação.

Agosto: Black Hat e DEF CON

Agosto foi bem tranquilo para os padrões de 2021. Claro, alguns incidentes provaram ser dignos de imortalidade-via-meme, mas talvez o mais memorável tenha sido o sofrimento dos frequentadores regulares do BlackHat e DEF CON, que sob as restrições relacionadas ao COVID-19 não puderam ir a Las Vegas este ano.

Setembro: vulnerabilidade OMIGOD

Os usuários do Microsoft Azure ficaram sabendo que, ao selecionar certos serviços, a plataforma instalava um agente de infraestrutura de gerenciamento aberto (Open Management Infrastructure agent) na máquina virtual Linux ao criá-lo. Isso não seria tão assustador se, primeiro, o agente não tivesse vulnerabilidades conhecidas há muito tempo, segundo, se os clientes fossem notificados sobre a instalação do agente; terceiro, pelo fato de a OMI ter um sistema normal de atualização automática e quarto, pelo fato de a exploração de vulnerabilidades ter sido tão fácil.

Outubro: Facebook se retira da Internet

O Facebook ter saído do ar fez de outubro um mês realmente memorável. De acordo com os relatórios das equipes de emergência, uma atualização deixou os servidores DNS do Facebook indisponíveis na Internet. Como resultado, os usuários da rede social e de uma série de outros serviços da empresa, incluindo Facebook Messenger, Instagram e WhatsApp, não conseguiram fazer login por mais de seis horas. Enquanto usavam redes alternativas e outros aplicativos de mensagens (sobrecarregando-os) para reclamar, rumores selvagens circulavam pela Internet — como os de que os administradores da empresa não conseguiam chegar aos servidores porque seu sistema de acesso estava vinculado ao Facebook.

Novembro: passaportes de vacinação falsos

As falsificações validadas de certificados de vacinas digitais europeus que tiveram mais impacto ficaram conhecidas no final de outubro, mas a surpresa geral veio mesmo em novembro. O que aconteceu: os falsos passaportes de vacinação (Green Passes) foram colocados à venda na Internet — e, como exemplos, os vendedores exibiam passaportes de Adolf Hitler, Mickey Mouse e Bob Esponja. A julgar pelas notícias recentes, o problema da disseminação de Green Passes falsificados segue sendo relevante.

Dezembro: vulnerabilidade Log4Shell

Quase todo o mês de dezembro passou sob o signo do Log4Shell, uma vulnerabilidade crítica na biblioteca Apache Log4j. O uso generalizado dessa biblioteca em aplicativos Java tornou milhões de programas e dispositivos vulneráveis. A Apache Foundation lançou vários patches e os pesquisadores encontraram maneiras de contornar as contramedidas várias vezes. Poucos dias após a publicação inicial, os botnets começaram a varrer a Internet em busca de programas vulneráveis e autores de ransomware tiraram proveito da vulnerabilidade. Tantos memes bem-sucedidos com o tema Log4Shell apareceram que alguém até criou um site de compilação.

Esperamos que o próximo ano seja bem mais tranquilo. Feliz Ano Novo para vocês, queridos leitores!

Dicas