5 coisas que aprendemos sobre segurança online em 2013

Propaganda

Os dias em que os apresentadores de notícias preocupam toda a Internet podem ser encerrados por um simples (mas eficaz) worm de computador, mas isso não significa que a segurança online não seja mais uma preocupação. As ameaças se tornaram mais complexas e, pior, agora vêm de lugares que a maioria nunca esperaria - como o governo. Aqui estão cinco lições difíceis que aprendemos sobre segurança online em 2013.

O governo está observando você ...

O maior ponto de discussão sobre segurança de computadores de 2013 foi, obviamente, a revelação de que partes do O governo dos Estados Unidos (principalmente a Agência de Segurança Nacional) espionou cidadãos sem restrição.

De acordo com documentos divulgados pelo ex-contratado da NSA Edward Snowden, e reforçados por outras fontes, como o ex-funcionário da NSA William Binney, os serviços de inteligência da América têm acesso não apenas aos registros telefônicos e às redes sociais metadados, mas também pode acessar uma ampla gama de serviços, incluindo chamadas de telefone celular, e-mails e conversas on-line, por meio de escutas diretas ou servindo informações mandados.

O que isso significa para você? É difícil dizer, porque a NSA insiste que o programa é um segredo de segurança nacional. Embora os denunciantes tenham apontado que o tamanho dos data centers da NSA implica que o governo está gravando e mantendo um volume bastante grande de dados de vídeo e áudio, não há como saber com certeza o que foi gravado e armazenado, enquanto os espiões-mestres da América continuarem a obstruir o público.

A conclusão perturbadora é que há nada que você possa fazer garantir sua privacidade, porque a extensão em que ela pode ser comprometida e como pode ser comprometida é apenas meio conhecida.

… E todo mundo também

Não apenas o governo está interessado em espionar pessoas. Os indivíduos também podem fazer uso de vídeo ou áudio secreto retirado do computador da vítima. Muitas vezes, tem menos a ver com fraude do que com brincadeiras e pornografia, embora os dois possam convergir.

O mundo subterrâneo de assistir vítimas inocentes, chamado de "ratting", foi brilhantemente exposto em um artigo de Ars Technica. Embora ligar a webcam de uma pessoa e gravá-la remotamente seja considerado hacking, agora isso pode ser realizado com relativa facilidade usando programas com nomes como Fun Manager. Após a instalação de um cliente que ratifica no PC da vítima, os assinantes podem acessar e ver o que está acontecendo.

Muitas vezes, "o que está acontecendo" se traduz diretamente na chance de ver mulheres inocentes sem roupas, embora o software também possa ser usado para fazer brincadeiras, como abrir imagens perturbadoras aleatoriamente para ver a vítima reação. Nos piores casos, a ratificação pode se traduzir diretamente em chantagem, pois o classificador captura imagens embaraçosas ou nuas de uma vítima e ameaça libertá-las se não receberem um resgate.

Suas senhas ainda não são seguras

A segurança da senha é uma preocupação comum e por boas razões. Contanto que uma única sequência de texto seja o que existe entre o mundo e sua conta bancária, manter esse texto em segredo será da maior importância. Infelizmente, as empresas que solicitam o login com uma senha não estão preocupadas e as estão perdendo a um ritmo alarmante.

A maior violação deste ano veio como cortesia da Adobe, que perdeu mais de 150 milhões de senhas em um grande ataque isso também (de acordo com a empresa) permitiu que os atacantes fugissem com o código do software ainda em desenvolvimento e roubassem informações de cobrança para alguns clientes. Enquanto as senhas eram criptografadas, elas eram tudo protegido usando um método de criptografia desatualizado e a mesma chave de criptografia. O que significa que decodificá-las foi muito mais fácil do que deveria ter sido.

Embora violações semelhantes já tenham ocorrido antes, a Adobe é a maior em termos de número de senhas perdidas, o que mostra que existem ainda empresas que não levam a segurança a sério. Felizmente, existe uma maneira fácil de saber se os dados da sua senha foram violados; apenas vá para HaveIBeenPwned.com e digite seu endereço de e-mail.

Hacking é um negócio

À medida que os computadores se tornam mais complexos, os criminosos que procuram usá-los como um meio de obter lucro ilegal também se tornam mais sofisticados. Os dias de um hacker solitário lançando descaradamente um vírus apenas para ver o que acontece parece ter acabado, substituídos por grupos que trabalham juntos para ganhar dinheiro.

Um exemplo é o Paunch, um hacker na Rússia que liderou as vendas de um kit de exploração conhecido como Blackhole. O kit, criado por Paunch e vários co-conspiradores, foi desenvolvido táticas de negócios parcialmente inteligentes. Em vez de tentar criar explorações de dia zero por conta própria, o grupo de Paunch comprou explorações de dia zero de outros hackers. Estes foram então adicionados ao kit, que foi vendido como uma assinatura por US $ 500 a US $ 700 por mês. Uma parte dos lucros foi reinvestida na compra de mais explorações, o que tornou a Blackhole ainda mais capaz.

É assim que qualquer empresa funciona. Um produto é desenvolvido e, se for bem-sucedido, parte do lucro é reinvestida para tornar o produto melhor e, com sorte, atrair ainda mais negócios. Repita até ficar rico. Infelizmente para Paunch, seu esquema acabou sendo rastreado pela polícia russa, e agora ele está sob custódia.

Até o seu número de Seguro Social está a alguns cliques de distância

A existência de botnets é conhecida há algum tempo, mas seu uso é frequentemente associado a ataques relativamente simples, mas maciços, como negação de serviço O que é um ataque DDoS? [MakeUseOf explica]O termo DDoS passa despercebido sempre que o ciberativismo levanta sua cabeça em massa. Esses tipos de ataques são manchetes internacionais por várias razões. Os problemas que impulsionam esses ataques DDoS geralmente são controversos ou altamente ... consulte Mais informação ou spam por e-mail, em vez de roubo de dados. Uma equipe de hackers adolescentes em russo nos lembrou que eles podem fazer mais do que encher nossas caixas de entrada com anúncios de Viagra quando conseguiram instalar uma botnet nos principais intermediários de dados (como LexisNexis) e roubar volumes de dados confidenciais.

Isso resultou em um "serviço" chamado SSNDOB, que vendia informações sobre residentes nos Estados Unidos. O preço? Apenas alguns dólares por um registro básico e até US $ 15 dólares por crédito total ou verificação de antecedentes. Está certo; se você é cidadão dos EUA, seu número de previdência social e informações de crédito podem ser obtidos por menos do que o preço de uma refeição no The Olive Garden.

E fica pior. Além de armazenar informações, algumas empresas de corretagem de dados também são usadas para autenticá-las. Você pode ter se deparado com isso se já tentou solicitar um empréstimo, apenas para ser recebido por perguntas como: "O que era seu endereço há cinco anos? Como os próprios intermediários de dados estavam comprometidos, essas perguntas poderiam ser respondidas com facilidade.

Conclusão

2013 não foi um ótimo ano para segurança online. Na verdade, foi um pesadelo. Espionagem do governo, números de segurança social roubados, chantagem de webcam por estranhos; muitos os imaginam como os piores cenários que só poderiam ocorrer nas circunstâncias mais extremas, mas este ano provou tudo o que foi dito acima com um esforço surpreendentemente pequeno. Felizmente, em 2014, serão tomadas medidas para resolver esses problemas flagrantes, embora eu pessoalmente duvide que tenhamos tanta sorte.

Crédito de imagem: Flickr / Shane Becker, Flickr / Steve Rhodes