Os principais eventos de segurança de 2015

Ocorreram diversas histórias relacionadas com segurança em 2015. Diminuir a lista apenas para 10 foi um verdadeiro desafio. Contudo para manter a imparcialidade, decidi escolher as 10 histórias mais populares

Ocorreram diversas histórias relacionadas com segurança em 2015. Diminuir a lista apenas para 10 foi um verdadeiro desafio. Contudo para manter a imparcialidade, decidi escolher as 10 histórias mais populares no Threatpost. Claro que qualquer um do setor de TI ou segurança terá seu próprio top 10, mas nesse caso não fui eu quem escolheu as histórias e sim os leitores. Mesmo assim, se você discorda ou acha que perdi uma história ou outra, não hesite em comentar.

http://twitter.com/kaspersky/status/674628086281994240/photo/1

A lista desse ano será dividida em cinco categorias principais.

  • Ameaças menos perigosas com foco em usuários comuns.
  • Vulnerabilidades inesperadas: Internet das coisas, aparelhos domésticos e de redes de segurança industrial.
  • Problemas de criptografia.
  • Vulnerabilidades nas plataformas principais bem divulgadas e ciberameaças para usuários finais e ameaças mais avançadas.
  • Bugs rotineiros mesmo que perigosos em programas comuns.

Ameaças para usuários comuns

#10 Um Trojan no Facebook, encontrado em janeiro (história). Mais de 110 000 usuários do Facebook tiveram seus dispositivos infectados com esse trojan ao clicar em links maliciosos na mídia social. Inacreditável!

Infelizmente, a maioria dos usuários na Internet acabam sendo efeito colateral na guerra entre cibercriminosos e os caras bonzinhos. Por exemplo, um Trojan mascarado como uma atualização do Adobe Flash que instala um keylogger na máquina da vítima. Rastreamos constantemente esse tipo de incidente, mas eles dificilmente entram em listas sob qualquer parâmetro, já que especialistas em segurança não tem muito interesse neles.

Contudo, essas ameaças tradicionais continuaram a ser um problema, para consumidores e usuários corporativos. A contramedida é bem simples e óbvia, os métodos de segurança e proteção já conseguem proteger seus dispositivos desses ataques há muito tempo. Ao mesmo tempo, ataques como o do Trojan no Facebook em janeiro ainda afetam dezenas de milhares de usuários, então é válido o esforço para aumentar a consciência do público acerca dos métodos e técnicas de proteção. É óbvio que existe espaço para melhora nesse cenário.

Ataques a Internet das Coisas, roteadores domésticos e dispositivos de redes industriais
O que controles remotos de portas de garagens e o programa de rede da Cisco tem em comum? Bem, eles possuem proteções igualmente desleixadas.

Enquanto usuários e distribuidores percebem que proteção é vital para computadores tradicionais e dispositivos, eles prestam menos atenção em outros dispositivos inteligentes. Note que mesmo sendo subestimados, dispositivos da Internet das Coisas são computadores poderosos que, ao serem deixados desprotegidos, podem levar a quebras de segurança ou pior.


No que diz respeito a ataques desse tipo de dispositivos, ocorreram algumas histórias que se destacaram no Theatpost. #9 Em 2014, pesquisadores em segurança da Check Point descobriram uma vulnerabilidade que afetava 12 milhões de roteadores domésticos. (História). Um pacote especialmente criado foi usado para expor a interface de rede do roteador.

#8 Em junho de 2015, senhas SSH padrões codificadas foram encontradas nos aparelhos de segurança da Cisco (Texto). Foi apenas um de muitos casos quando esses bugs foram encontrados em equipamentos de rede e software, #7 Mais ou menos no mesmo tempo, o renomado pesquisador em segurança Samy Kamkar, descobriu que controles remotos de portas de garagem, bem populares nos Estados Unidos, também sofriam com segurança frágil.

Não vamos esquecer de sérias vulnerabilidades em sistemas automotivos. Nesse verão, seguindo a pesquisa inovadora de Charlie Miller e Chris Valasek, a Fiat Chrysler emitiu o primeiro pacote de atualização para um carro: a vulnerabilidade poderia ser usada para hackear remotamente o sistema de gerenciamento do veículo por meio do painel multimídia, abrindo uma oportunidade para controlar até o sistema de direção. Se existem erros em programas de aparelhos de computador, por que eles não existiriam nos carros em si?

Quando computadores recebem uma função, eles tendem a cometer menos erros que humanos. Porém são pessoas que os programam, e sistemas de computadores vem se tornando cada vez mais essenciais para completar tarefas críticas, desde gerenciar usinas nucleares até controlar trafego. Bem vindo a esse novo mundo!

Encriptação
Apenas uma pesquisa cientifica séria poderia avaliar a eficiência de qualquer método de criptografia. Um bom exemplo que prova esse ponto: SHA-1, um algoritmo de permutação, era considerado perfeitamente confiável uns cinco anos atrás, mas em 2015 se tornou “teoricamente vulnerável”. A NSA já questionou a resiliência de algoritmos de encriptação por elipses e está considerando (ou fingindo considerar) técnicas de criptografia que seriam inquebráveis até para computadores quânticos.

http://twitter.com/kaspersky/status/674253247528501248/photo/1

#6 Criptografias fracas se mostraram como ameças sérias para protocolos de Open Smart Grid (História). O OSGP é um desenvolvimento de IoT da rede elétrica, uma tentativa de unir todos os meios e sistemas de gerenciamento em uma única rede. Isso significa potenciais problemas de segurança que poderiam comprometer o suprimento de eletricidade. A complexidade da rede é a razão pela qual o critério principal a ser avaliado ao se tratar de resiliência de encriptação é a confiança.

http://twitter.com/kaspersky/status/649575239999950848/photo/1

Em 2014, os desenvolvedores do TrueCrypt decidiram encerrar o projeto, um utilitário bem popular que usava criptografia de tráfego. #4 Seguindo a sequência de eventos, testemunhamos diversas auditorias de códigos por fontes independentes e a emergência de spin-off curiosos: VeraCrypt e CipherShed (História). Recentemente uma brecha em roteadores Juniper foi descoberta, e o problema da criptografia foi de grande importância para a ocorrência desse incidente.

Vulnerabilidades e ataques sérios
#5 Enquanto as grandes estrelas entre as vulnerabilidades no ano passado foram sem dúvida Shellshock e Heartbleed, esse ano a vulnerabilidade Stagefright (história) no Android e #3 o bug em uma biblioteca padrão GLIBC no Linux (História) tomaram todos os holofotes.

Ao que diz respeito a ataques práticos, duas campanhas principais foram descobertas pela Kaspersky Lab, a Carbanak e The Equation. Enquanto a primeira impressionou em termos de perdas (US$ 1 bilhão), a outra por conta de suas ferramentas sofisticadas, incluindo meios de restaurar o controle do PC da vítima ao usar um firmware HDD modificado, bem como a duração da campanha, estimado em décadas.

Vulnerabilidades rotineiras em programas comuns
O Adobe Flash é o exemplo perfeito para essa categoria: 14, 24 e 28 de janeiro, março, junho, julho, setembro, dezembro. A má noticia é que o Adobe Flash ainda é um software extremamente vulnerável. As boas notícias é que os pacotes de atualização (pelo menos para o Adobe) são emitidos em massa, e vários bugs são consertados em uma única atualização. Isso não significa que o software se torna seguro, mesmo que a tendência geral nesse último ano tenha sido positiva: desenvolvedores começaram a levar segurança mais a sério.

O software é instalado em vários sistemas, incluindo navegadores. Desenvolvedores de navegadores são forçados a não só supervisionar seu próprio software, mas também proteger usuários de ameaças em sites (por vezes sua única opção é restringir certas funções, o que ocorreu com o Flash no Chrome). #2 Os participantes do pwn2own hackathon em março conseguiram hackear os principais navegadores: primeiro o Firefox e Internet Explorer, depois o Chrome e o Safari (História).

#1 Extensões obsoletas BPAPI bloqueadas no Chrome (História). Bloqueio do NPAPI, que ocorreu em abril resultou no mal funcionamento de diversos plug-ins, do Java ao Silverlight, causando vários problemas para os desenvolvedores. Eliminação progressiva de códigos de legado se tornou uma das principais tendências recentemente.

Duvido que problemas de segurança serão menos proeminentes em 2016. Tenho certeza que novos métodos para combater ciberameaças emergirão eventualmente. Então, definitivamente temos muito o que conversar ano que vem. Como leitura complementar, recomendo dar uma olhada na recapitulação de 2015 de ameaças feita pelos experts da Kaspersky Lab, uma análise dedicada de ciberameaças direcionadas a negócios e as previsões para 2016.

Dicas