Nosso novo blogueiro convidado, Byron V. Acohido, comenta hoje sobre suas apostas digitais.
Em 2004, quando escrevi conjuntamente uma reportagem de capa do USA TODAY sobre redes zumbi que espalhavam spam, lembro-me de ter dito para o meu editor que a segurança cibernética se tornaria um tópico de relevância dentro de um ou dois anos, no máximo.
Eu estava errado. A cada ano, na última década e meia, um padrão de causa e efeito enraizou-se de maneira mais profunda no tecido da sociedade moderna. Todo e qualquer grande avanço do comércio centrado no acesso à internet, do e-mail às redes sociais e à computação móvel, e, agora, à Internet das Coisas, resultou em uma expansão exponencial da superfície de ataque disponível para os cibercriminosos.
E os hackers mal-intencionados se aproveitaram totalmente disso, sejam eles motivados por lucros criminosos, apoiados por agentes governamentais ou simplesmente para se gabar. Ano após ano, a inovação dos criminosos superou em muito o esforço das empresas e dos governos para defender suas redes empresariais, bem como preservar a inviolabilidade de nossos dados privados.
Público imune a choques
2018 não foi uma exceção. O ano terminou com a Starwood Properties, controladora da rede de hotéis Marriott, divulgando que perdeu dados pessoais de 500 milhões de clientes em um vazamento que durou uns quatro anos. Divulgações de grandes vazamentos de dados não chocam mais o público. Ao longo dos anos, grandes perdas de dados foram divulgadas pela Equifax, Yahoo, Target, Anthem, Premera Blue Cross, Sony Pictures, Sony PlayStation, Home Depot, Deloitte, JP Morgan Chase, CitiBank e pelo Departamento de Gestão de Pessoas dos EUA, só para citar alguns exemplos.
Enquanto isso, aprendemos no ano passado que dados roubados podem ser a menor das nossas preocupações. Testemunhamos o CEO do Facebook, Mark Zuckerberg, desculpar-se no Congresso americano por tornar os dados comportamentais de 87 milhões de usuários do Facebook acessíveis à empresa de consultoria britânica Cambridge Analytica, que usou essas informações sigilosas para manipular os eleitores norte-americanos a apoiarem Donald Trump.
Por falar no presidente dos Estados Unidos, com Trump dominando as manchetes dos jornais, a maioria das pessoas deu pouca atenção a uma mudança tectônica no panorama cibernético. Em 2018, enquanto as empresas competiam para combinar os serviços em nuvem fornecidos pelo Amazon Web Services (AWS), Microsoft Azure e Google Cloud, falhas imprevistas nos sistemas clássicos de segurança de rede começaram a aparecer. E, com certeza, os cibercriminosos empreendedores não perderam tempo para tirar proveito disso.
Os cibercriminosos foram mais fundo na plataforma AWS da Uber. Eles obtiveram de alguma forma, e depois utilizaram, as credenciais de login no AWS de um dos desenvolvedores de software da Uber, que deixou essas credenciais acessíveis no GitHub. “Git” é um sistema usado para controlar as versões mais recentes de programas de software e GitHub é um repositório online no qual os desenvolvedores publicam códigos para avaliação por seus pares, etc.
O contexto mais amplo? Imagine quanto a Uber depende de software para se conectar aos serviços hospedados pela Amazon, Google, Facebook, Twitter, iPhone e Android. A Uber é um excelente exemplo de uma empresa centrada no acesso à Internet, composta por um conjunto de ferramentas e serviços hospedados por inúmeros parceiros. Pense em quanto o processo de desenvolvimento de software deve ser frenético para manter a Uber em funcionamento. Imagine todos os novos vetores de ataque.
Malwares de última geração
A direção em que isso está indo não é nada boa. Um relatório da gigante de seguros Lloyd's of London e de uma empresa de consultoria para modelagem de riscos, a Air Worldwide, demostrou como uma interrupção de três dias dos principais provedores de serviços na nuvem causaria um prejuízo de 15 bilhões de dólares à economia dos EUA. Tal cenário devastaria empresas de pequeno e médio porte, que dependem dos serviços na nuvem.
Enquanto isso, depois de presumivelmente desfrutar de umas boas férias, os melhores e mais inteligentes cibercriminosos estão entrando em 2019 com as energias renovadas. Um ladrão de informações de última geração, chamado Vidar, foi projetado para retransmitir dados roubados para um servidor zumbi de comando e controle, assim como faziam as redes zumbis de que falei em 2004. O Vidar, no entanto, pode identificar as especificações do navegador e do computador em nível granular. Isso o torna capaz, por exemplo, de roubar criptomoedas de carteiras digitais.
Também existe um novo tipo de ataque direcionado ao hardware dos computadores afetados, em vez dos aplicativos de software. A “Meltdown” e a “Spectre” abriram caminho para os chamados “hacks de microcódigo” no início de 2018. No início de 2019, uma nova iteração, chamada de “ataque ao cache da página”, apresenta uma nova maneira insidiosa de os invasores contornarem os sistemas de segurança e adicionarem janelas de phishing em aplicativos legítimos.
“Esta classe de ataque apresenta uma barreira de complexidade significativamente menor do que os ataques anteriores baseados em hardware e pode ser facilmente colocada em prática por criminosos, tanto governamentais quanto de gangues cibernéticas”, disse Mounir Hahad, chefe do Laboratório de Ameaças na Juniper Networks. “Não há muito que o usuário final possa fazer atualmente para se proteger contra esse tipo de ataque, exceto não executar nenhum software de fontes desconhecidas, mesmo que não levante nenhuma suspeita por parte do antivírus”.
Fardo compartilhado
O Vidar e o hack de microcódigo são dois grãos de areia no campo inimigo das ameaças cibernéticas de 2019. Fazer um resumo completo das exposições cibernéticas seria assustador. Claramente, não há como voltar atrás na nossa vida digital centrada no acesso à internet. Vai demorar um bom tempo até que possamos resolver essa caixa de Pandora de problemas técnicos e sociais que abrimos.
A boa notícia é que há um crescimento sem precedentes nas pesquisas, a começar pelas arquiteturas de rede de próxima geração, incluindo bancos de dados distribuídos, criptografia avançada, dataficação e inteligência artificial. Além disso, os principais órgãos normativos do setor e os regulamentadores governamentais estão plenamente conscientes dos desafios. Eles deram largada a uma lenta marcha em direção a padrões e protocolos consensuais.
Mas levará alguns anos até que tudo isso seja resolvido. No futuro próximo, o ônus de se manter informado e praticar hábitos saudáveis de segurança e privacidade recairá sobre cada indivíduo: cada consumidor, funcionário, proprietário de empresa, executivo sênior, diretor.
Farei minha parte para manter a discussão em aberto. Até a próxima.
Byron Acohido é um blogueiro convidado do Avast Blog onde você pode acompanhar todas as notícias de segurança mais recentes. A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo com o seu antivírus gratuito premiado e mantendo suas atividades online privadas com a sua VPN e outros produtos de privacidade. Participe dessa conversa com a Avast no Facebook e no Twitter.
