Segurança Cibernética

Invasões, novas tecnologias e Barcelona: os últimos dias em notícias de segurança

Avast Security News Team, 6 Março 2018

Foi uma semana bem movimentada, desde as novas revelações sobre uma das piores invasões de todos os tempos até a descoberta de que não existia uma chave de segurança na verificação dos passaportes digitais.

O que aconteceu de novo no mundo da segurança? Barcelona hospedou um dos maiores eventos anuais da indústria de tecnologia, ao mesmo tempo em que a cidade espanhola lutava contra uma nevasca inesperada. Aqui está a nossa opinião sobre essas histórias.

Torna-se público que houve mais vítimas da invasão da Equifax de 2017

O vazamento na agência de análise de crédito Equifax foi uma das piores, não apenas de 2017, mas de todos os tempos.

E não apenas pelo seu tamanho total: os registros de pelo menos 145 milhões de cidadãos americanos, quase metade da população do país, foram expostos no ataque, mas também pelo impacto que essa violação teve nos clientes da organização em todo o mundo.

Números da previdência social, números da carteira de motorista e detalhes dos cartões de crédito vazaram na internet. Em sua investigação sobre o ataque, a senadora Elizabeth Warren também alegou que os números dos passaportes estavam entre os dados roubados, embora a Equifax tenha negado que esses números de passaporte tivessem sido comprometidos.

E então, quando se pensava que isso não poderia piorar, na quinta-feira, a Equifax informou que havia descoberto o vazamento de dados de outros 2,4 milhões de americanos, elevando o total atingido a 147 milhões de cidadãos estadunidenses, além dos dados de 15 milhões de britânicos e 19 mil canadenses.

Na época, a Equifax foi questionada sobre a forma como gerenciou a invasão, já que o acesso aos dados roubados significava que os criminosos poderiam realizar com mais precisão suas tentativas de roubo de identidade e de phishing, como advertiu o National Cyber Security Center do Reino Unido em outubro do ano passado.

A Equifax foi repetidamente criticada pelo site que configurou para que os clientes verificassem se haviam sido afetados pela invasão e vazamento de dados, por que não estava hospedado em seu próprio domínio principal e pelos falsos positivos que gerou. Pesquisador Troy Hunt disse na época que o site era "basicamente inútil".

A raiva contra a Equifax não diminuiu muito desde o ano passado: o senador Warren disse à Marketplace no início desta semana que o "aparato de segurança cibernética da agência era inadequado para proteger os consumidores americanos", acrescentando: "A Equifax pode realmente ter lucrado com essa brecha".

Se você é um cliente da Equifax e não foi notificado de que seus dados foram expostos no ano passado, fique atento às comunicações da agência, pois você pode ter sido incluído(a) na reavaliação do vazamento.

Os agentes da fronteira dos EUA não verificavam os passaportes eletrônicos há mais de 10 anos

Você possui um passaporte com um chip contendo dados biométricos? E você tem lido sobre os movimentos que o presidente Trump está fazendo para proteger os cidadãos americanos, impondo restrições a quem pode entrar nos Estados Unidos?

Você poderia esperar, portanto, que os agentes da fronteira americana verificavam as informações armazenadas no chip do passaporte eletrônico de cada um que entrasse, garantindo que o titular do passaporte fosse realmente que ele(a) dizia que era. Mas, na verdade, os agentes de fronteira não conseguem tomar essa medida de segurança simplesmente porque não têm um software para isso.

Um passaporte eletrônico é considerado mais seguro que um passaporte sem chip porque contém uma assinatura criptográfica que verifica os dados armazenados no chip. Mais de uma centena de países agora emitem passaportes com chips digitais, e o US Visa Waiver Program exige que qualquer pessoa que chegue a partir desses países tenha um e-passaporte.

A notícia de que os agentes de fronteira não estavam verificando os dados de identidade armazenados no chip veio em uma carta enviada na semana passada pelos senadores Ron Wyden e Claire McCaskill para Kevin McAleenan, comissário interino da Alfândega e Proteção de Fronteiras dos Estados Unidos, pedindo que a agência "aja imediatamente para utilizar recursos antifalsificação nos passaportes eletrônicos, que ainda não foram utilizados pelo desde que foram implementados em 2007".

Sabe-se desde 2010 que os agentes da fronteira não têm capacidade técnica de verificar as assinaturas criptográficas nos passaportes eletrônicos.

Na altura, um relatório do Government Accountability Office convocou o Departamento de Segurança Interna a "criar e implementar a [sic]funcionalidade e os bancos de dados dos sistemas que forem necessários para verificar completamente as assinaturas digitais dos passaportes eletrônicos nas portas de entrada dos Estados Unidos" e a "desenvolver e implementar uma abordagem para obter as assinaturas digitais necessárias para validá-las nos passaportes eletrônicos dos Estados Unidos e de outras nações".

Tal como acontece com qualquer medida de segurança, o importante não é apenas a tecnologia que você escolhe, mas como você a coloca ou não em prática o que pode afetar a sua segurança.

Este pode ser o smartphone que você estava procurando

A indústria de smartphones desembarcou esta semana em Barcelona (Espanha) para o Mobile World Congress, onde novos dispositivos, desde os últimos lançamentos da Samsung e uma sessão de nostalgia de um clássico da Nokia até dispositivos domésticos mais inteligentes, foram expostos diante de analistas, jornalistas e fãs.

Em meio aos dispositivos em exibição, havia um celular aparentemente projetado para barrar as agências de espionagem e qualquer cibercriminosos que queira espionar você. O telefone Katim, fabricado pela empresa do Oriente Médio, DarkMatter, pode franzir algumas sobrancelhas entre a comunidade de segurança cibernética, já que seu sistema operacional é baseado no Android: uma plataforma que luta contra malwares e spywares.

O CEO da DarkMatter, Faisal Al Bannai, disse à CNBC que o "modo de proteção" do dispositivo é implementado com um botão que desliga o microfone e a câmera do telefone", o que significa que, a menos que essa superorganização tenha uma maneira de mudar fisicamente esse botão de volta, não há como o microfone se ligar sozinho e ouvir o que você está dizendo". Al Bannai também disse à Bloomberg que os funcionários da empresa incluem analistas da NSA e da CIA.

Dizer que qualquer coisa tem um algo grau de segurança geralmente é como estender um pano vermelho para o touro da comunidade de hackers, por isso, ainda estamos por ver se os pesquisadores de segurança confirmarão as reivindicações da empresa sobre a segurança do telefone Katim. Mas com a crescente ansiedade sobre espionagem e os smartphones comprometidos com malwares, um dispositivo que realmente for à prova de ataques pode ser algo interessante.