No século XXI, descrições detalhadas e provas de conceito não são suficientes para chamar a atenção geral para uma vulnerabilidade. Você precisa de um nome de marketing atraente, um logotipo e um pacote de memes impossíveis de evitar no Twitter. Todos os pesquisadores, jornalistas de TI, trabalhadores da indústria e usuários simpáticos se divertem com imagens engraçadas o tempo todo.
E, em geral, funciona: depois de ver um meme, muitas pessoas leem sobre o que aconteceu e às vezes até tomam medidas para consertar a vulnerabilidade — ou pelo menos fazem o que podem para evitar cometer o mesmo erro e aparecer em um novo meme. Além disso, ao considerar o número de memes após um incidente, podemos ter uma ideia da extensão de um problema. Se dependêssemos exclusivamente de memes para aprender as últimas notícias sobre cibersegurança, lembraríamos de 2021 mais ou menos assim:
Janeiro: atualização da política de privacidade do WhatsApp
O ano começou com milhões de usuários do WhatsApp repentinamente sabendo de uma atualização na política de privacidade do serviço. O resultado foi um êxodo em massa para o Telegram e, por sugestão de um famoso doge breeder, para o Signal, ambos obtendo um crescimento significativo de audiência. Achamos que este meme é o que melhor resume a situação com a nova política de privacidade do WhatsApp:
Basically this is what Whatsapp is doing pic.twitter.com/3p7wZoEYl6
— Lekompo (@Onka_Shole) January 10, 2021
Fevereiro: Falha de segurança épica das câmeras FootfallCam 3D Plus IoT
A segurança dos dispositivos IoT é notoriamente ruim, mas quando você pensa que já viu de tudo, alguns fabricantes de dispositivos inteligentes conseguem superar todas as expectativas. Este tópico no Twitter explica tudo (é de cair o queixo):
By the way, that little “nubbin” on the outside in the WLAN dongle. It’s just a standard Pi dongle literally painted white.
The device instantly crashes when you pull it out.
19/18 pic.twitter.com/0nc6fVo7QT
— OverSoft (@OverSoftNL) February 4, 2021
Março: vulnerabilidade ProxyLogon
No início de março, a Microsoft lançou patches para o Exchange relacionadas a várias vulnerabilidades graves no sistema. Essa é uma ocorrência bastante comum, mas o problema é o seguinte: os invasores vinham explorando ativamente algumas das vulnerabilidades, supostamente desde janeiro ou mesmo antes. Quando o patch foi lançado, mais de 30.000 organizações nos Estados Unidos haviam sido hackeadas.
Poor kid #ProxyLogon pic.twitter.com/1MlUwBRUAU
— Florian Roth (@cyb3rops) March 10, 2021
Abril: Signal trola Cellebrite
Para quem não sabe, a Cellebrite produz equipamentos utilizados por forças policiais, permitindo que os funcionários invadam smartphones de forma fácil e conveniente e recuperem informações que lhes interessam. É por isso que a empresa ocupa um lugar especial no coração dos defensores da privacidade. No final de 2020, a Cellebrite anunciou que seus produtos estavam começando a oferecer suporte ao Signal. Em resposta, a equipe do Signal publicou um estudo de vulnerabilidades no software Cellebrite e usou um teaser incomparável para acompanhá-lo:
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite's software:
"Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective"https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
— Signal (@signalapp) April 21, 2021
Maio: Ataque de ransomware ao Colonial Pipeline
Um ataque de ransomware ao Colonial Pipeline, o maior sistema de oleoduto dos Estados Unidos que transporta produtos de petróleo, interrompeu o fornecimento de gasolina e diesel ao longo da costa sudeste do país. O incidente gerou muita discussão sobre como proteger essas empresas, e o anúncio da empresa em busca de um novo gerente de cibersegurança viralizou nas mídias sociais, com o comentário “Eles provavelmente têm um orçamento decente agora”.
They probably have a decent budget now pic.twitter.com/ptUDOgHjZN
— Justin Elze (@HackingLZ) May 12, 2021
Junho: Congressista publica acidentalmente a senha do e-mail e código PIN
O congressista norte-americano Mo Brooks, membro do Comitê de Serviços Armados da Câmara dos Estados Unidos e, especificamente, de um subcomitê que lida com cibersegurança, fez uma contribuição incomum para popularizar o armazenamento seguro de senhas. Usando sua conta pessoal no Twitter, ele postou uma foto de seu monitor junto com um adesivo que tinha a senha de sua conta do Gmail e um código PIN nele. Isso é que é clássico! O tweet repercutiu por várias horas e viralizou. Embora Brooks finalmente o tenha excluído, era tarde demais:
https://twitter.com/Josh_Moon/status/1401678401946243073
Julho: vulnerabilidade PrintNightmare
Os pesquisadores parecem ter publicado por engano sobre o ataque de prova de conceito do GitHub usando as vulnerabilidades CVE-2021-34527 e CVE-2021-1675 no Windows Print Spooler. Temendo que os invasores adotassem rapidamente o método publicado, a Microsoft lançou um patch urgente sem nem mesmo esperar pela terça-feira de atualização. Além disso, até mesmo o Windows 7 e o Windows Server 2012 desatualizados foram corrigidos. No entanto, os patches não resolveram o problema completamente e algumas impressoras pararam de funcionar após a instalação.
That’s one way to remediate #PrintNightmare pic.twitter.com/HjRs579cJM
— TechxSigil☣️ (@techxsigil) July 25, 2021
Agosto: Black Hat e DEF CON
Agosto foi bem tranquilo para os padrões de 2021. Claro, alguns incidentes provaram ser dignos de imortalidade-via-meme, mas talvez o mais memorável tenha sido o sofrimento dos frequentadores regulares do BlackHat e DEF CON, que sob as restrições relacionadas ao COVID-19 não puderam ir a Las Vegas este ano.
https://twitter.com/Djax_Alpha/status/1423741831968342016
Setembro: vulnerabilidade OMIGOD
Os usuários do Microsoft Azure ficaram sabendo que, ao selecionar certos serviços, a plataforma instalava um agente de infraestrutura de gerenciamento aberto (Open Management Infrastructure agent) na máquina virtual Linux ao criá-lo. Isso não seria tão assustador se, primeiro, o agente não tivesse vulnerabilidades conhecidas há muito tempo, segundo, se os clientes fossem notificados sobre a instalação do agente; terceiro, pelo fato de a OMI ter um sistema normal de atualização automática e quarto, pelo fato de a exploração de vulnerabilidades ter sido tão fácil.
#OMIGod #Azure #OMIAgent #CVE202138647 pic.twitter.com/2CDDuCF2ty
— Florian Roth (@cyb3rops) September 16, 2021
Outubro: Facebook se retira da Internet
O Facebook ter saído do ar fez de outubro um mês realmente memorável. De acordo com os relatórios das equipes de emergência, uma atualização deixou os servidores DNS do Facebook indisponíveis na Internet. Como resultado, os usuários da rede social e de uma série de outros serviços da empresa, incluindo Facebook Messenger, Instagram e WhatsApp, não conseguiram fazer login por mais de seis horas. Enquanto usavam redes alternativas e outros aplicativos de mensagens (sobrecarregando-os) para reclamar, rumores selvagens circulavam pela Internet — como os de que os administradores da empresa não conseguiam chegar aos servidores porque seu sistema de acesso estava vinculado ao Facebook.
Mark Zuckerberg fixing the WhatsApp, Instagram and Facebook crash #instagramdown pic.twitter.com/3yoVhyYdM7
— Kr$hna (@Obviously_KC) October 4, 2021
Novembro: passaportes de vacinação falsos
As falsificações validadas de certificados de vacinas digitais europeus que tiveram mais impacto ficaram conhecidas no final de outubro, mas a surpresa geral veio mesmo em novembro. O que aconteceu: os falsos passaportes de vacinação (Green Passes) foram colocados à venda na Internet — e, como exemplos, os vendedores exibiam passaportes de Adolf Hitler, Mickey Mouse e Bob Esponja. A julgar pelas notícias recentes, o problema da disseminação de Green Passes falsificados segue sendo relevante.
As of Thursday morning Eastern time, Adolf Hitler and Mickey Mouse could still validate their digital Covid passes, SpongeBob Squarepants was out of luck, and the European Union was investigating a leak of the private key used to sign the EU’s Green Pass vaccine passports. pic.twitter.com/kdpJmfp3WX
— astig0spe (@astig0spe) November 5, 2021
Dezembro: vulnerabilidade Log4Shell
Quase todo o mês de dezembro passou sob o signo do Log4Shell, uma vulnerabilidade crítica na biblioteca Apache Log4j. O uso generalizado dessa biblioteca em aplicativos Java tornou milhões de programas e dispositivos vulneráveis. A Apache Foundation lançou vários patches e os pesquisadores encontraram maneiras de contornar as contramedidas várias vezes. Poucos dias após a publicação inicial, os botnets começaram a varrer a Internet em busca de programas vulneráveis e autores de ransomware tiraram proveito da vulnerabilidade. Tantos memes bem-sucedidos com o tema Log4Shell apareceram que alguém até criou um site de compilação.
https://twitter.com/secbro1/status/1469328495847346177
Esperamos que o próximo ano seja bem mais tranquilo. Feliz Ano Novo para vocês, queridos leitores!