Restrospectiva de Segurança em 2015
Relembre os fatos marcantes da área de segurança da informação em 2015.
A área de Infosec é tudo menos entediante. Se 2014 foi marcado pela descoberta de mega-vulnerabilidades como o HeartBleed e Shellshock, 2015 foi marcado pelos avanços em pesquisas de riscos sobre a internet das coisas e também pela enorme repercussão da violação de dados do site Ashley Madison. Veja o que aconteceu de mais relevante em 2015:
Janeiro
Finalmente chegou o final do suporte ao Windows 2003, o que não impede que diversas organizações continuem a utilizar este sistema operacional vulnerável até mesmo em aplicações externas, para a alegria de hackers e angústia dos profissionais de segurança.
Fevereiro
A Lenovo se envolve em polêmica pela descoberta que seus notebooks vinham com o adware Superfish instalado, o qual além da desagradável publicação de anúncios indesejados na navegação, ainda abria as portas para ataques contra o usuário. E no segundo semestre, foi a vez da Dell repetir o feito.
Março
Nova vulnerabilidade no OpenSSL é descoberta. Ainda que não fosse tão grave quando o Heartbleed por se limitar a permitir ataques de negação de serviço, qualquer vulnerabilidade no OpenSSL sempre merece atenção, pela larga utilização deste componente.
Abril
Chega a vez da primeira grande vulnerabilidade do ano em servidores Microsoft, a qual possibilita ataques contra servidores web. Organizações que não possuem processos estruturados para garantir a atualização dos seus servidores passaram por problemas por isto.
Maio
Segundo o FBI, um hacker teria demonstrado a capacidade de comandar em pleno vôo certos sistemas da aeronave a partir da conexão do seu laptop com a rede do sistema de entretenimento à bordo. Além dos óbvios riscos, o assunto também gerou polêmica sobre os limites éticos de certos testes de segurança não-solicitados (e com outros passageiros à bordo).
Julho
Bem-vindo Windows 10! Ainda que com alguns questionamentos sobre segurança e privacidade, o Windows 10 resolve vários dos problemas do Windows 8. O upgrade gratuito vai até o ano que vem, mas a taxa de adoção dá sinais de cansaço, e o Windows 7 segue sendo o sistema operacional mais usado ainda.
E depois dos aviões, chega a vez dos automóveis, com as radicais demonstrações dos riscos de conectar tudo na internet. Afinal, se seu carro acessa a internet, a internet também pode acessar seu carro.
Agosto
O mês foi marcada pela bombástica notícia do vazamento da lista de usuários e dados pessoais do site Ashley Madison, voltando para encontros extra-conjugais. O vazamento pode inclusive ter levado a casos de suicídios, mostrando que o impacto do vazamento de dados de clientes traz consequências dramáticas. Há relatos também de tentativas de extorsão dos usuários.
O site já não traz mais o selo de “100% discreto”
Setembro
Embora ainda seja a opção de smartphone mais seguro no geral, o iPhone também não fica livre de sustos. Uma versão pirata da plataforma de desenvolvimento de aplicativos foi usada por diversas empresas e incluía código malicioso sem o conhecimento dos programadores na hora da compilação. Mais de 300 aplicativos perigosos foram banidos da Apple Store como consequência.
Outubro
O Ransomware ganha seus minutos de fama, com uma reportagem no Fantástico falando sobre estas ameaças virtuais e chamando a atenção para pequenas empresas que nem sempre tem os recursos no ar para se recuperar com facilidade do sequestro de seus dados.
Novembro
Boatos sobre condutas antiéticas em torneios de hackers levam a uma ação de vingança contra o Exército Brasileiro, que teve servidores invadidos e senhas divulgadas. Além do vazamento de dados, os hackers teriam deixado para trás alguns “presentes”. Pouco se sabe sobre como isto foi tratado internamente.
Dezembro
A Juniper comunica a descoberta de um backdoor no código fonte do seu sistema operacional seguro ScreenOS, usando em appliances de firewall. A grande suspeita é que o backdoor tenha sido introduzido por algum agente de estado, possivelmente a NSA. A notícia ainda segue tendo desdobramentos.
A Microsoft entra novamente nas manchetes, com uma vulnerabilidade que permite o controle remoto de servidores DNS rodando Windows Server, no que se espera seja o último grande bug do ano. Mas ainda temos alguns dias!
