Vídeo: Histórias Inacreditáveis - 04 - (Combustão Humana - Carlos de los Santos) - Discovery Channel (Outubro 2024)
Olhando para trás, 2013 parecia uma montanha-russa, à medida que passávamos de boas a más notícias a cada poucas semanas: violações de dados, privacidade, espionagem cibernética, espionagem governamental, malware avançado, prisões significativas, prisões significativas, recursos de segurança aprimorados etc.
A maior história - ou melhor, uma série de histórias - do ano gira em torno dos documentos que o ex-contratado pela Agência de Segurança Nacional Edward Snowden roubou e divulgou para a mídia. No entanto, não foi a única grande história de 2013. Pela primeira vez, uma empresa de segurança apresentou um caso definitivo de como a China espiona as empresas americanas, e o governo dos EUA discutiu oficialmente a questão com o governo chinês. A polícia teve algumas vitórias significativas, rompendo um grande anel de roubo de cartão de crédito e prendendo o criador do Blackhole Exploit Kit. As violações de dados continuaram, mas a violação da Experian destacou o problema dos corretores de dados agregando informações pessoais. Usuários comuns começaram a falar sobre privacidade on-line enquanto os usuários do Google Glass saíam às ruas. Empresas comprometidas com melhores práticas de segurança, como criptografar dados em trânsito, implementar autenticação de dois fatores e tornar-se mais transparente sobre as informações que fornece ao governo.
O ano de 2013 foi movimentado para profissionais e indivíduos de segurança. Aqui está uma revisão das histórias de segurança significativas do ano, em nenhuma ordem específica.
Programas secretos de vigilância da NSA
Poderíamos preencher uma coluna inteira apenas com as revelações da NSA. Os artigos iniciais sobre o programa de coleta de registros telefônicos foram chocantes o suficiente, mas parece que cada revelação subsequente é mais explosiva do que antes. A agência espionou as atividades na Web, espionou o tráfego de e para os data centers do Google e Yahoo, interceptou remessas para instalar spyware e backdoors em equipamentos eletrônicos e supostamente espionou líderes de outros países e jogadores. Enquanto o chefe da NSA, general Keith Alexander, continua insistindo que a agência atue dentro de seus limites e que tenha o cuidado de preservar as liberdades civis, os pedidos de reforma estão ficando mais altos. O Congresso está debatendo o que fazer com o problema da NSA, um juiz federal conservador decidiu, em Klayman v. Obama, que o programa de registros telefônicos da NSA possivelmente violou a Quarta Emenda, e o painel independente selecionado pela Casa Branca recomendou a NSA programas precisam ser restringidos.
Um grupo de gigantes da tecnologia, incluindo Tim Cook, da Apple, Eric Schmidt do Google e Marissa Mayer do Yahoo, conversou com o presidente Barack Obama sobre suas preocupações com as atividades da NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo e Microsoft se uniram para exigir que, embora os governos precisem tomar medidas para proteger a segurança e a proteção de seus cidadãos, "as leis e práticas atuais precisam ser reformadas".
Mais empresas estão lançando relatórios de transparência para divulgar que tipo de informação eles entregam ao governo, e o serviço de email criptografado Lavabit foi desligado para evitar a necessidade de entregar informações sobre seus usuários. A RSA, a divisão de segurança da EMC, está atualmente defendendo sua reputação após um relatório da Reuters que levou US $ 10 milhões da NSA para impulsionar um algoritmo criptográfico comprometido em seus produtos de segurança.
China, China, China
Ficamos tão encantados com as ondas de informações que saem sobre as atividades da NSA que é fácil esquecer que começamos 2013 com um relatório explosivo descrevendo o papel da China na espionagem cibernética. O relatório APT1 da Mandiant foi a primeira declaração definitiva que expôs claramente o que os ciberataques da China estavam fazendo para invadir as redes de empresas e governo dos EUA. O relatório descreveu como esses invasores roubaram propriedade intelectual, instalaram backdoors e sistemas danificados.
Logo após a divulgação do relatório, vários funcionários do governo se manifestaram sobre as atividades da China. Em maio, o Relatório Anual do Pentágono sobre a China culpou diretamente o governo daquele país por ataques governamentais e militares contra os EUA. O presidente Obama chegou a levantar as acusações durante uma reunião com Xi Jinping, presidente da China. O governo chinês chegou a acusar os EUA de essencialmente fazer a mesma coisa. (Um pouco de prenúncio para Snowden?)
Ataques contra meios de comunicação
A mídia foi atacada este ano, com o The New York Times, o Washington Post e o Wall Street Journal divulgando que estavam infectados com malware sofisticado. O dedo da suspeita apontou - para onde mais? - China. O Exército Eletrônico da Síria fez uma farra contra as contas do Twitter de The Onion, Guardian e outros meios de comunicação. O post falso da conta do Twitter da AP, "Breaking: Two Explosions in the White House e Barack Obama está ferido", causou um pequeno borrão no mercado de ações, com o Dow Jones caindo temporariamente 140 pontos.
O ataque contra o site do New York Times, onde o SEA conseguiu alterar as configurações do sistema de nomes de domínio do site, destacou a facilidade com que os invasores poderiam interferir nas operações da Web. O SEA nesse ataque nem invadiu a rede - o grupo realizou esse ataque por meio de spear phishing.
Foco na segurança de aplicativos
A Lei de Assistência Acessível e o lançamento do site de troca de assistência médica trouxeram a importância dos testes de segurança para o primeiro plano. Os profissionais de segurança sabem o quão crítico é que os aplicativos sejam testados quanto a problemas de segurança antes de serem lançados, mas quando o tempo está passando e o tempo está acabando para enviar o produto no prazo, a segurança cai no esquecimento. Alguns dos problemas identificados no HealthCare.gov após o lançamento incorreto levantaram a possibilidade de os atacantes atingirem o site. Houve relatos de que indivíduos estavam vendo informações confidenciais pertencentes a outros usuários no site.
Os executivos que acompanharam toda a saga provavelmente não serão tão rápidos em ignorar os testes de segurança na próxima vez que tiverem uma grande implantação de aplicativos. Ou assim esperamos.
Ataques distribuídos de negação de serviço
DDoS não é novo, mas este ano vimos dois grandes desenvolvimentos. O DDoS era frequentemente usado em sites financeiros, especialmente como parte da Operação Ababil, mas os atacantes expandiram seus alvos para incluir outros setores. Um dos maiores ataques do ano foi contra a Spamhaus em março, com picos atingindo 300 gbps.
Principais prisões por crimes cibernéticos
Em maio, o procurador dos EUA do Distrito Leste de Nova York em maio anunciou acusações em um assalto a banco de US $ 45 milhões envolvendo informações de contas roubadas. A quadrilha supostamente invadiu instituições financeiras para roubar informações da conta e depois retirou milhões de dólares dos caixas eletrônicos.
Em julho, o procurador dos EUA em Nova Jersey acusou outro grupo de crimes cibernéticos por violar as redes de computadores de pelo menos 17 grandes varejistas, instituições financeiras e processadores de pagamentos para roubar mais de 160 milhões de números de cartões de crédito e débito. As redes direcionadas incluem Nasdaq, 7-Eleven, Visa e JC Penney, entre outras.
As autoridades russas alegaram ter prendido Paunch, o criador do Blackhole Exploit Kit. Especialistas em segurança acreditam que, com a prisão, há um vazio de cibercriminosos que estão lutando para preencher. "Sem um sucessor claro da Blackhole, as gangues de criminosos cibernéticos podem estar investindo em outros lugares para compensar a renda perdida devido aos mecanismos de entrega menos sofisticados de malware", disse Alex Watson, diretor de pesquisa de segurança da Websense.
Ataques de rega
Os ataques de watering hole foram bastante proeminentes este ano, com sites sendo hackeados para comprometer funcionários de grandes empresas de tecnologia como Facebook, Apple, Microsoft e Twitter, bem como contra empreiteiros de defesa e funcionários do governo. Esses ataques de watering hole aproveitaram as vulnerabilidades de dia zero no Internet Explorer, Java e outras tecnologias comumente usadas.
Também foram descobertos ataques a bebedouros contra ativistas pró-tibetanos, quando atacantes atacaram pessoas de língua chinesa que visitavam a Administração Central do Tibete e a Fundação Tibetan Homes, além do site Uyghur, mantido pela Associação Islâmica do Turquistão Oriental.
Violação de dados Experian
Tendemos a lembrar a última grande violação de dados e a esquecer todas as outras que vieram antes. Enquanto a recente violação de dados sofrida pela Target, na qual quase 40 milhões de números de cartão de crédito e débito foram comprometidos durante a temporada de compras natalinas, é bastante grande, a violação de dados mais assustadora que envolve informações do usuário foi a violação de dados da Experian.
A Experian é uma das organizações no negócio de compra e venda de informações pessoais - números de previdência social, endereços, detalhes de contas bancárias. Essas informações foram vendidas para uma quadrilha de crimes no exterior, de acordo com uma investigação do escritor de segurança Brian Krebs. A violação também destacou o fato de que muitos sistemas de autenticação baseados em conhecimento, onde as pessoas são solicitadas a verificar sua identidade dizendo qual carro eles possuem ou onde costumavam morar, agora são ainda mais vulneráveis.
As pessoas acordam com a privacidade online
Quando o Google desenrolou o futuro da tecnologia vestível com sua primeira onda de "exploradores" do Google Glass, as pessoas se assustaram. Finalmente, as pessoas estavam cientes do impacto que o reconhecimento facial e a capacidade de postar qualquer coisa on-line poderiam ter em sua privacidade. O futuro da tecnologia é aquele em que não há privacidade ou onde as pessoas podem ser expulsas de restaurantes e outros estabelecimentos por serem uma ameaça à privacidade?
Já prevíamos 2014, com nossas previsões de novos ataques, Internet nacional, pagamentos online, segurança móvel e Internet das Coisas. Bem-vindo a 2014. Será um ano de incertezas ou vitórias? Fique com a Security Watch no novo ano, enquanto acompanhamos os altos e baixos da segurança.
