Retrospectiva 2014 na Segurança da Informação

Não existe ano na Segurança da Informação sem drama, vulnerabilidades marcantes ou ataques que viram notícia. E não existe final de ano sem uma retrospectiva dos melhores (ou piores) momentos.

Retrospectiva 2014

 

Para a Leverage, foi um ano notável, com crescimento de mais de 100% e novos clientes de destaque que selecionaram nossas soluções e serviços, tais como a Band, maior grupo multimídia do Brasil ou a T-Systems, o braço de TI da Deutsche Telekom. E no mercado de segurança como um todo? Selecionamos alguns dos fatos mais marcantes de 2014 para você. Então vamos lá:

 

 

As Mega-Vulnerabilidades

heartbleed

2014 foi um ano ruim em termos de novas vulnerabilidades. Em abril vimos a descoberta do HeartBleed, bug do OpenSSL que afetou um gigantesco número de sistemas, e que permitia entre outras coisas o roubo de chaves de criptografia em memória, remotamente, algo até então inimaginável. O HeartBleed também se destacou por ter inaugurado a modinha de criar um “logo oficial” para a vulnerabilidade, devidamente acompanhado de um nome bem bolado. Infelizmente muitos sistemas embarcados ou não mais suportados continuam vulneráveis até agora.

Descobriram uma nova vulnerabilidade mas ela não tem logo? Então não deve ser tão grave assim.

Não houve muito tempo para respirar, porque em setembro foi descoberta uma vulnerabilidade no Bash chamada ShellShock. Esta vulnerabilidade estava latente neste popular Shell usando no Unix, Linux e OSX desde 1989, esperando para ser descoberta.

Até então a Microsoft havia ficado de fora, rindo da desgraça alheia, mas em novembro ela teve a sua maré de azar, com algumas vulnerabilidades graves sendo ativamente exploradas. Uma delas afetava a implementação de SSL, de forma que todos os principais sistemas operacionais (Unix, Linux, OSX, Windows) tiveram a sua cota de vulnerabilidades na criptografia neste ano. E a do Kerberos é tão grave que, caso seu Active Directory seja comprometido, a recomendação da Microsoft é refazer todo o AD (não estamos brincando).

 

 

 Violações de segurança que viraram manchete

Sony Brech

Quase todas as grandes cadeias de varejo dos Estados Unidos passaram por incidentes graves de segurança envolvendo roubo de dados de cartões de crédito via POS infectados. Isto chegou a tal ponto que o valor pago no mercado negro por dados de cartões roubados não para de cair, já que a oferta é muito grande. Alguns analistas dizem que em breve as quadrilhas especializadas irão partir para o roubo de outros tipos de informação para manter o patamar atual de receita.

Outra violação marcante foi a da Sony Pictures, agora em dezembro. O que impressiona é a quantidade de dados roubados. Estima-se que hoje existam 35Gb de dados roubados da Sony disponíveis para download, incluindo filmes que ainda não haviam sido lançados e emails trocados pelos executivos (contendo constrangedoras piadas sobre o Obama). Há quem diga que o total de dados roubados pode chegar a 100Tb. Este foi o pior mas não o único problema da Sony com hackers, que chegaram a forçar o cancelamento de um vôo de um executivo em agosto. Uma lição que se pode tirar desta violação é repensar as equipes de segurança. A da Sony Pictures era composta por 3 analistas, supervisionados por 8 gerentes e diretores.

 

 

 Windows XP

É hora de se despedir de vez do Windows XP

É hora de se despedir de vez do Windows XP

O suporte ao Windows XP acabou oficialmente em abril, mas como os vilões de filme de terror, ele se recusa a morrer, com 8,3% de participação na internet em um ranking que inclui na conta dispositivos móveis. Isto coloca o Windows XP à frente do Windows 8.1 em quantidade de máquinas. A Leverage ainda tem visto organizações com Windows XP mesmo em funções críticas. Se sua empresa pertence à este grupo, reveja nossas dicas.

 

 

Enquanto isto, no Brasil…

Centro de Cooperação Policial Internacional da Polícia Federal para a Copa do Mundo e a senha do Wifi Foto: Ed Alves/CB/D.A Press

Centro de Cooperação Policial Internacional da Polícia Federal para a Copa do Mundo e a senha do Wifi. Foto: Ed Alves/CB/D.A Press

Teve Copa, com direito a senha do Wifi da Polícia Federal compartilhada com todo mundo no jornal, mas sem maiores incidentes nas redes. E também teve o novo Marco Civil da Internet, repleto de polêmicas sobre a redação e que já é objeto de Projeto de Lei visando ajuste de pontos obscuros ou que dão excesso de poderes ao Estado (mais sobre isto em um post futuro).

Além disso, teve Gangue do Boleto, teve mais um ano no topo da lista de países atacados por Phishing, teve crescimento de ataques do tipo Ransomware e organizações brasileiras vítimas de malwares suspeitos de terem sido criados por governos de outros países. Ou seja, um ano normal.

 

E 2015?

Não gostamos de fazer previsões, mas aqui vai uma: Ano que vem, mais ou menos nesta mesma época, prevemos fazer uma retrospectiva de 2015.

Boas festas e um 2015 menos inseguro para todos!

Leverage Informática.