Com uma ampla variedade de incidentes de segurança em 2014 – de violações de dados em larga escala a vulnerabilidades na própria base da rede – é difícil saber o que é prioridade. Quais acontecimentos foram apenas interessantes e quais se referem a tendências na área de segurança online? Que ameaças são resquícios do passado e quais são indicação do que virá no futuro?

Abaixo estão os quatro acontecimentos mais importantes da área de segurança online do último ano, o que aprendemos (ou deveríamos ter aprendido) com eles, e que alerta eles enviam para o ano que vem.

A descoberta das vulnerabilidades Heartbleed e ShellShock/Bash Bug

No primeiro semestre de 2014, a vulnerabilidade Heartbleed foi descoberta. Ela é uma vulnerabilidade séria em OpenSSL, uma das implementações dos protocolos SSL e TLS mais utilizada em sites. O Heartbleed permite que os atacantes roubem informações sensíveis como dados pessoais, de login, ou mesmo chaves de criptografia que podem levar à decodificação de comunicações protegidas.

Além disso, alguns meses depois foi encontrada uma vulnerabilidade em Bash, um componente comum também conhecido como shell, que está incluído na maioria das versões dos sistemas operacionais Linux e Unix, além do Mac OS X (também baseado em Unix). Conhecida como ShellShock (ou Bash Bug), ela permite que um cibercriminoso não apenas roube dados de um computador comprometido, mas também ganhe controle sobre o aparelho em si, potencialmente obtendo acesso a outros dispositivos na rede.

As ameaças Heartbleed e ShellShock levaram a atenção à segurança de softwares de código aberto e em como elas estão no centro de tantos sistemas dos quais dependemos para e-commerce. No caso de vulnerabilidades de software proprietário, precisamos apenas contar com um único fornecedor que entregue um patch.

No entanto, quando se trata de software de código aberto, o software pode estar integrado a uma série de aplicações e sistemas, o que significa que o administrador depende de uma variedade de fornecedores para que entreguem patches. Com o ShellShock e o Heartbleed, houve muita confusão quanto à disponibilidade e eficácia dos patches e esperamos que isso sirva como um toque de despertar sobre o quanto precisamos de respostas coordenadas maiores às vulnerabilidades de código aberto, semelhante ao programa MAPP.

Ou seja, daqui em diante, novas ameaças como essas continuarão a ser descobertas em programas de código aberto. Ainda que seja uma área nova e potencialmente rica para atacantes, o maior risco continua a vir de vulnerabilidades conhecidas, nas quais os patches adequados não são aplicados. De acordo com o Relatório sobre Ameaças à Segurança na Internet deste ano, 77% dos sites legítimos tinham vulnerabilidades exploráveis. Portanto, em 2015, veremos cibercriminosos utilizarem o Heartbleed ou ShellShock, mas há centenas de outras vulnerabilidades sem patches que os hackers continuarão a explorar impunemente.

Ciberespionagem coordenada e cibersabotagem em potencial: Dragonfly e Turla

O grupo Dragonfly, que parece estar em operação desde pelo menos 2011, inicialmente visou empresas de defesa e aviação nos EUA e Canadá, antes de mudar seu foco principalmente para empresas de energia no começo de 2013. Capaz de lançar ofensivas através de diversos vetores diferentes, sua campanha de ataque mais ambiciosa comprometeu diversos provedores de equipamentos de sistemas de controle industriais (ICS), infectando softwares com um Trojan de acesso remoto.

Tal ação deu aos atacantes acesso total aos sistemas em que o software estivesse instalado, o que permitia se infiltrar nas organizações-alvo para desempenhar atividades de ciberespionagem. Muitos desses sistemas estavam rodando programas ICS utilizados para controlar infraestruturas críticas como oleodutos e redes de energia, porém não houve registro de cibersabotagem nesses ataques. Sem dúvida os criminosos tinham essa capacidade e poderiam ter lançado ataques rapidamente, mas talvez tenham optado por aguardar, sendo interrompidos antes que pudessem avançar.

O Dragonfly também empregou campanhas dirigidas de spam por e-mail e ataques de watering hole para infectar organizações-alvo. De forma semelhante, o grupo por trás do malware Turla também usa uma estratégia de ataque em múltiplas frentes para infectar as vítimas através de e-mails de spearphishing e ataques de watering hole, que exibem capacidades de comprometimento extremamente dirigidas, onde os atacantes comprometem uma série de sites legítimos e entregam o malware apenas para vítimas que acessem a partir de faixas de endereço de IP previamente selecionadas. Eles também deixavam suas ferramentas mais sofisticadas de vigilância para alvos de alto valor. Porém, a motivação do Turla é diferente da do Dragonfly. Os cibercriminosos do Turla estão executando vigilância de longo prazo contra embaixadas e departamentos governamentais, uma forma muito tradicional de espionagem.

Tanto as campanhas do Dragonfly como do Turla carregam a marca de operações patrocinadas por Estados, apresentando um alto nível de capacidade técnica e de recursos. São capazes de montar ataques através de vetores múltiplos e comprometeram diversos sites de terceiros. Seu propósito aparente seria de ciberespionagem – e sabotagem como uma capacidade secundária no caso do Dragonfly.

Essas campanhas são apenas exemplos das inúmeras campanhas de espionagem que encontramos quase diariamente. Esse é um problema global e não há sinais de trégua, com ataques como o Sandworm alavancando uma série de vulnerabilidades de dia zero. Considerando-se a evidência de profundos recursos técnicos e financeiros, esses ataques são, muito provavelmente, patrocinados por Estados.

Cartões de crédito no alvo

O lucrativo negócio de venda no mercado negro de dados de cartões de crédito ou débito roubados torna esse ramo um grande alvo para criminosos. Em 2014, ocorreram diversos ataques de destaque focados em sistemas point-of-sale (POS) para obter as informações do cartão de pagamento de consumidores. Um fator que torna os Estados Unidos o maior alvo é a incapacidade de adotar o sistema chip-e-PIN, conhecido como EMV (Europay, MasterCard e VISA), que oferece mais segurança que os cartões com faixa magnética. Os ataques utilizaram malwares que podem roubar informações da faixa magnética do cartão de pagamento enquanto ela é lida pelo computador e antes que seja criptografada. As informações roubadas podem então ser utilizadas para clonar o objeto. Como as informações de transações com EMV são criptografadas de modo único a cada vez, é mais difícil para os criminosos captar partes úteis de dados de pagamento e usá-las novamente para outra compra. No entanto, essa tecnologia é igualmente suscetível ao uso em compras online fraudulentas.

O Apple Pay, que basicamente transforma seu celular em uma “carteira virtual” através da tecnologia near-field communication (NFC), também foi lançado em 2014. O NFC é um tipo de comunicação que envolve a transmissão sem fio de dados, de um dispositivo de hardware para outro objeto físico que esteja próximo – nesse caso, a caixa registradora.

Os sistemas de pagamento de NFC já existem há algum tempo, mas esperamos ver um aumento na adoção dessa tecnologia por consumidores no próximo ano, já que mais smartphones terão suporte para esse padrão. Vale notar que os sistemas NFC são mais seguros que faixas magnéticas, mas ainda existe a possibilidade de hackers explorarem o sistema, ainda que isso exija que os bandidos se direcionem a cartões individuais e não resulte em violação ou roubo de grande escala como vimos nos EUA. No entanto, a tecnologia de pagamento utilizada não protege contra varejistas que não armazenam dados de cartões de forma segura, eles ainda precisam ser cuidadosos na proteção dos dados armazenados.

Maior colaboração com agências de segurança

Agora, uma boa notícia: em 2014, tivemos muitos exemplos de agências internacionais de segurança adotando uma posição mais ativa e agressiva contra o cibercrime, colaborando cada vez mais com o setor de segurança online para derrubar cibercriminosos.

Blackshades é um Trojan de acesso remoto (RAT) popular e poderoso, utilizado por uma série de autores de ameaças, desde hackers iniciantes até grupos cibercriminosos sofisticados. Em maio de 2014, o FBI, a Europol e diversas outras agências de segurança prenderam dezenas de pessoas suspeitas de atividades centradas no uso de Blackshades (também conhecido como W32.Shadesrat). A Symantec trabalhou junto ao FBI nesse esforço coordenado de combate, fornecendo informações que permitiram que a agência localizasse pessoas suspeitas de envolvimento.

Apenas um mês depois, o FBI, o National Crime Agency do Reino Unido, e diversas outras agências internacionais de segurança, trabalhando ao lado da Symantec e outras empresas do setor privado, interromperam significativamente duas das mais perigosas operações de fraude financeira do mundo: o botnet Gameover Zeus e a rede Cryptolocker ransomware. Com isso, o FBI apreendeu uma grande infraestrutura usada pelas duas ameaças.

Apesar de esses golpes serem parte de um esforço contínuo, não veremos o desaparecimento do cibercrime de forma rápida. Tanto o setor privado como as agências de segurança precisam continuar a colaborar para ter um impacto duradouro. Conforme a taxa e a sofisticação de ciberataques aumentam, esperamos uma continuidade dessa tendência de colaboração para localizar os atacantes e interromper sua ação.

Então, aí está, minha visão sobre os quatro acontecimentos mais importantes na segurança online em 2014. Claro, ainda temos algumas semanas antes da chegada de 2015, então podemos ver o surgimento de outros eventos.