(In)segurança em 2015 foi mais do que nunca e com consequências globais

Foi um ano em que, mais do que nunca, as principais violações de dados e as falhas de segurança tiveram implicações mundiais muito reais. Foram descobertos grandes grupos de ciberespionagem, houve a violação de dados mais embaraçosa da história, uma inacreditável falha no Android e decisões incrivelmente estúpidas de dois grandes fabricantes de PC.

O que foi o ano de 2015 no que respeita à segurança? Quem pensou que 2014 tinha sido mau com o Heartbleed e o ataque à Sony, basta olhar para as maiores histórias em 2015.

Ashley Madison

As violações de dados pessoais são uma ocorrência corriqueira nestes dias, mas de vez em quando há uma que é de nos deixar de boca aberta. Em 2015, esse foi certamente o caso do ataque à Ashley Madison em Agosto. Os hackers conseguiram aceder ao site e obter nomes verdadeiros, números de cartão de crédito parciais, moradas, números de telefone e até mesmo preferências sexuais de muitos utilizadores do serviço de infidelidade, incluindo algumas celebridades, personalidades e políticos.

Adultos infiéis não foram os únicos a terem as suas informações atacadas este ano. A fabricante de brinquedos electrónicos VTech também sofreu uma violação de dados, que afectou 4,8 milhões de pais e cerca de 200 mil crianças, enquanto a base de dados da comunidade oficial da personagem Hello Kitty foi igualmente acedida e revelados dados pessoais sobre 3,3 milhões de contas.

Hacking Team

Quase empatada com a Ashley Madison está a fabricante italiana de software de vigilância Hacking Team, que viu os hackers roubarem 400GB de dados dos servidores da empresa. Desta vez não foram apenas os embaraçosos e-mails da empresa ou os endereços residenciais que foram divulgados online. A Hacking Team tinha um conjunto de vulnerabilidades previamente desconhecidas, principalmente para Flash e Windows, que acabaram online. As vulnerabilidades levaram a Adobe e a Microsoft a lançarem rapidamente correções para as falhas de segurança.

Segurança suspeita

Durante 2015, Dell e Lenovo jogaram com a segurança na Web ao venderem PCs carregados com certificados de raiz auto-assinados. A Lenovo começou a ter problemas em Fevereiro, quando um pedaço de software chamado Superfish foi descoberto em determinados dos seus PCs. O Superfish foi concebido para oferecer publicidade, mas também deixou os utilizadores potencialmente vulneráveis a hackers que tentassem interceptar comunicações criptografadas num hotspot Wi-Fi público.

Em Novembro, a Dell fez algo semelhante, adicionando um certificado de raiz aos seus PCs, a fim de proporcionar um melhor suporte ao cliente. Mas esse certificado, juntamente com a chave privada correspondente também instalada no PC, tornou possível a hackers gerarem certificados de segurança fiáveis para praticamente qualquer site que quisessem. Uma excelente ferramenta para falsificar sites conhecidos, como o Google ou até mesmo um banco, e roubar as credenciais de “login”.

Cifrar tudo mas com a porta traseira aberta

Se as pessoas normais cifrarem as suas comunicações pessoais, os terroristas ganham. Esse foi o ponto de vista defendido por muitos políticos e funcionários públicos de todo o mundo após os horríveis ataques terroristas de Novembro em Paris.

Mais notavelmente, nos EUA, o chefe da CIA John Brennan queixou-se de que a falta de “backdoors” para os serviços de comunicações cifrados impedia o governo de desencriptar quaisquer mensagens em que estava interessado. Obviamente, a realidade é que quando se enfraquece a criptografia com “backdoors”, possibilita-se aos hackers e a governos estrangeiros capitalizarem sobre essas mesmas vulnerabilidades.

Android fragilizado

Por falar em falhas de segurança surpreendentes: em Julho, um investigador de segurança descobriu uma falha surpreendente, chamada de Stagefright, que permitiria a hackers correrem código malicioso em dispositivos Android, enviando apenas à vítima um especialmente criado MMS.

A vítima nem teria de abrir a mensagem para ficar sem o controlo do seu dispositivo. A Google lançou uma correcção para o “bug” muito rapidamente, mas teve depois de lançar um “patch” mais robusto em Agosto e, como se não fosse suficiente, surgiu um novo conjunto de vulnerabilidades relacionadas com o Stagefright em Outubro.

darknet - PCW

.onion legítimo

Os esforços do projecto Tor receberam um muito necessário suporte do Facebook em 2014, quando a rede social abriu o seu próprio site .onion. O Facebook também foi o primeiro a obter um certificado SSL especificamente para um endereço .onion. Isso acabou por ser um grande evento em 2015, quando a empresa ajudou o projecto Tor a obter o reconhecimento oficial de sites escondidos no .onion e a abrir o caminho para mais certificados SSL .onion no futuro.

O “crash” do Flash

O que seria um ano em notícias de segurança sem algumas grandes histórias com o Adobe Flash? A antiga norma de facto para o vídeo na web voltou a ser notícia em Julho após a caso Hacking Team, quando três vulnerabilidades não descobertas anteriormente no Flash foram reveladas. As vulnerabilidades levaram a Mozilla a bloquear temporariamente todas as versões do plugin Flash Player no Firefox.

O Chief Security Officer do Facebook, Alex Stamos, também pediu à Adobe para anunciar uma data para o fim do Flash Player. Mesmo que a Adobe não acabe com o Flash, a Web vai fazê-lo. Este ano, vários sites afastaram-se dele: a Amazon deixou-o cair para anúncios, a Twitch abandonou o Flash pelo HTML 5, tal como já tinha feito o YouTube.

O grupo da equação

Em Fevereiro, investigadores de segurança da Kaspersky Lab descobriram um grupo de ciberespionagem avançada apelidado de Equation Group, que se infiltrara em computadores de países como o Irão e a Rússia. A Kaspersky não fez qualquer ligação aos EUA, mas implicou uma ligação.

O Equation Group tinha capacidades inacreditáveis, incluindo um tipo persistente de malware que só podia ser removido ao destruir-se fisicamente o disco rígido do PC. O Equation Group foi considerado o mais sofisticado grupo de ciberespionagem – até Junho, pelo menos, quando um grupo ainda mais avançado chamado de Duqu foi descoberto, novamente pela Kaspersky.

O acesso ao LastPass

O LastPass, um gerador de passwords baseado no browser, lidou com uma falha grave em Junho, após os hackers acederem à rede da empresa e roubarem as contas com endereços de email, lembretes de passwords ou “hashes” de autenticação. Graças ao design de segurança do LastPass, a empresa disse que os utilizadores com uma password mestra forte estavam seguros de terem os seus dados descifrados.

No entanto, aqueles com passwords fracas ainda estavam vulneráveis. A jogar pelo seguro, o LastPass pediu a todos os seus utilizadores para redefinirem as suas passwords mestre. Além disso, qualquer pessoa a aceder a partir de um endereço IP não reconhecido teve de se validar no seu primeiro login pós-hack através de e-mail ou por um código de autenticação de dois factores.

Hacking ao Tor

Em Novembro, o projecto Tor fez uma acusação surpreendente. O grupo disse que o Federal Bureau of Investigations (FBI) pagou a investigadores da universidade de Carnegie Mellon pelo menos um milhão de dólares para acederem aos utilizadores na rede Tor, a fim de obterem as suas verdadeiras identidades. O Tor diz que o foco era encontrar criminosos, mas os utilizadores comuns também foram apanhados.

O FBI e a Carnegie Mellon negaram as acusações, mas de uma forma que sugeriu que pelo menos algumas das suspeitas do Tor estavam quase certas. Curiosamente, os investigadores da Carnegie Mellon deviam ter dado uma palestra na conferência de segurança Black Hat em 2014 sobre como desmascarar utilizadores no Tor. A palestra foi abruptamente retirada da conferência por razões que nunca foram esclarecidas.

Autores

Artigos relacionados

O seu comentário...

*

Top