O ano passado foi agitado para área de segurança de TI. Houve vários incidentes, começando com as vulnerabilidades globais que afetaram milhões de computadores em todo o mundo a confrontos com os cibercriminosos locais. Por sua vez, cada um destes eventos foi de uma forma ou de outra relacionados com as redes sociais, especialmente com o Twitter, uma vez que esta rede é um dos principais serviços de notícias na atualidade. Por conta disso, decidimos lembrar os 10 tweets que estiveram relacionados com estes fatos.
1. Em março de 2014, um cibercriminoso que agia em nome do grupo de hackers “Pump Water Reboot”, iniciou uma série de ataques DDoS em muitos serviços web russos, desde comunidades online populares a alguns bancos. Cada vítima foi “convidada” a pagar 1.000 dólares de resgate para parar o ataque.
Neste tweet específico, o cibercriminosos ameaça m dos banqueiros russo, Oleg Tinkov, fundador da Tinkoff Credit Systems, um banco online especializado.
@olegtinkov На ваш сайт ведется DDoS – атака. Мы предлагаем решение этой проблемы. Атака прекратится если Вы готовы заплатить 1 000$.
— Pump Water (@PumpWaterReboot) March 24, 2014
(Tradução do russo: Seu site está sob ataque DDoS. Oferecemos uma solução para este problema, o ataque parará se você pagar U$ 1.000.)
O efeito não demorou muito para repercutir: um vilão cibernético foi pego pela polícia no verão e em um par de meses depois, foi condenado a 2 anos e meio de liberdade condicional, com pena de 12 milhões de rublos (cerca de 400 mil dólares naquele momento).
2. Heartbleed – uma vulnerabilidade que ameaçou dois terços de toda a Internet. Você pode aprender todos os detalhes nos nossos posts. A versão resumida da explicação sobre o que aconteceu e como ela funciona está melhor descrita pelo autor dos comics xkcd:
Heartbleed http://t.co/wxVnw6YK6Q http://t.co/j1iYb4DC7l pic.twitter.com/ekr3nFr1oW
— XKCD Comic (@xkcdComic) April 9, 2014
As consequências do Heartbleed nos assombraram por um longo tempo: há dezenas de milhares de servidores vulneráveis que ainda não foramatualizados. E muitos deles nunca serão capazes de se livrar dessa vulnerabilidade.
3. Em nossa opinião, o melhor do tweet do ano foi criado pelas pessoas da – você não vai acreditar! – CIA. É bom ver que mesmo esses caras durões tem senso de humor.
We can neither confirm nor deny that this is our first tweet.
— CIA (@CIA) June 6, 2014
4. Em meados de agosto, ocorreu o que mais cedo ou mais tarde ia acontecer com quase todos os políticos modernos. Alguém invadiu a conte de Twitter do primeiro ministro da Rússia, Dmitry Medvedev e o hacker se divertiu muito com isso.
(Tradução do russo: Eu renuncio. Tenho vergonha das ações do governo. Sinto muito.)
Ao mesmo tempo, outras contas de Medvedev também foram hackeadas. Isso causou um vazamento de fotos privadas e correspondência dos dispositivos móveis de Medvedev. No entanto, todos os tweets escritos pelos hackers foram subsequentemente removidos. O que aconteceu (se é que realmente aconteceu) com os cibercriminosos ainda é desconhecido.
5. Duas semanas mais tarde, houve outro vazamento, desta vez muito mais massivo: alguém postou na Internet de fotos privadas de várias celebridades nuas, incluindo Jennifer Lawrence.
https://twitter.com/YahoodiSaazish/status/506139424426446848
Estes vazamentos imediatamente abalaram o mundo inteiro. As celebridades tiveram mais atenção do que de costume e os servidores da web que publicaram estas fotos tiveram um bom benefício dos seus anúncios. Um site em particular, chamado Reddit, em poucos dias ganhou tanto dinheiro, o suficiente para apoiar o projeto por um mês.
6. Outono foi especialmente agitado. Em Setembro, uma nova vulnerabilidade foi encontrada em Bash shell. Agora ele é conhecido como Bashdoor ou Shellshock. Foi a segunda vez em um ano que milhões de computadores, a maioria deles servidores, foram comprometidos. O homem que descobriu esse bug não postou nada imaediatamente na sua conta de Twitter. Mas depois que ele postou o tweet que valia a pena ler, explicando que esta vulnerabilidade havia sido provavelmente originada em 1989, ou seja, há 25 anos.
Shellshock was actually introduced in bash-1.03 (1989, 25y ago), not 1.13 as Chet, I and others have said earlier (http://t.co/LC5TEqpqkx)
— Stephane Chazelas (@SChazelas) October 4, 2014
Um bug Bushdoor e Heartbleed nos assustaram durante muito tempo.
7. Um par de semanas depois, o mundo descobriu outra ameaça global: no início de outubro dois pesquisadores anunciaram que cada dispositivo USB no planeta eram vulneráveis. Por algumas razões, esses caras não falaram sobre essa descoberta, mas nós sim:
BadUSB research: "You can’t trust anything you plug into your PC, not even a flash drive" https://t.co/kOkdrw8dEZ pic.twitter.com/ANYpF01EY6
— Eugene Kaspersky (@e_kaspersky) October 3, 2014
Ainda não está claro o que devemos fazer a nível mundial para nos proteger deste bug. Há apenas uma conhecida boa prática: não use dispositivos USB que não sejam de confiança, incluindo, mas não limitada a isso, os teclados e mouses.
8. Em meados de outubro, houve outro vazamento, desta vez as vítimas foram os usuários doDropbox. Os representantes da empresa prontamente declararam que o serviço não foi hackeado e que a informação filtrada havia sido coletada de outra maneira.
Reports claiming we’ve been hacked aren’t true. Your stuff is safe. More info on our blog: http://t.co/vI6sfNjC4Z
— Dropbox Support (@DropboxSupport) October 14, 2014
Muitas pessoas acreditam que o DropBox foi hackeado, mas a empresa preferiu “negociar” com os invasores, em vez de perder sua reputação.
9. O fim do mês de outubro foi marcado por eventos que muitas pessoas não prestaram a atenção suficiente (erradamente). O Twitter anunciou que planejava substituir as senhas por um sistema de autenticação mais avançado. E não só as senhas das contas de seus próprios usuários: Twitter oferece aos desenvolvedores de terceiros usar a plataforma Digits para autenticar os usuários nos seus aplicativos.
https://twitter.com/digits/status/524977241780805632
Houve várias tentativas para desaparecer com as senhas, mas ninguém foi capaz de conseguir isso até agora. É possível que o Twitter tenha sucesso e, em poucos anos, vamos finalmente parar de usar esse velho método de autenticação.
10. Com relação às senhas: nunca armazene-as em arquivo não criptografado no seu PC. Caso contrário, você terá de enfrentar a mesma coisa que aconteceu com a Sony Pictures. A empresa foi massivamente atacada por hackers do grupo GOP. Antes do ataque começar, os cibercriminosos roubaram uma das contas de Twitter da Sony Pictures e ameaçaram com um futuro ataque o CEO da empresa.
Infelizmente, os hackers não se limitaram a ameaças e Sony Pictures tem vivido um inferno com um vazamento que eles não estavam preparados para lidar, como vimos. No nosso blog, você pode ler mais sobre o ataque à Sony.
Tradução: Juliana Costa Santos Dias