Academia WordPress

Os 5 Vulnerabilidades Mais Devastadoras de Segurança em 2015

– espero que ninguém invente uma nova no Natal.

Não existe segurança impenetrável na internet de hoje. Não importa o nível de segurança aplicada na plataforma –  ou quão bem construída ele foi – alguém em algum lugar vai encontrar uma forma de quebrar, entrar e fazer alguma coisa que geralmente não trará boas notícias. É uma realidade dura para os negócios online. O melhor que você pode fazer é eliminar ao máximo as chances e tentar dificultar a vida dos invasores.

Parece que ouvimos sobre uma proeza nova a cada dia, à medida que as semanas passam, a cada dia existe um novo apocalipse digital no horizonte sendo avistado. Você estaria certo de pensar que essas vulnerabilidades tem aparecido na superfície com grande frequência! Elas estão, muito mais do que em 2014 e com certeza menos ainda do que em 2016.

Ainda que não seja legal ver essas notícias de novas invasões ou vazamentos de dados, melhor que a gente saiba e tome conta do problema do que permanecer na ignorância, não é?

Bom, ninguém está aqui para discutir teorias de um possível apocalipse digital, certo? Eu e a minha equipe – seja na Braising ou em outros projetos – trabalhamos diretamente com segurança da informação todos os dias. Esse artigo foi inspirado em algumas informações que a WiredTree publicou no blog deles, vale a pena conferir o que eles publicam sempre. Nós utilizamos alguns produtos da WiredTree em nossos projetos e também da Digital Ocean – um serviço de primeira linha para cloud hosting. Então se você ficou interessado e quer se prevenir contra esses ataques, acompanhe os blogs deles também!

Vamos começar.

O Apptastrophe

O primeiro tópico dessa lista é referente ao Dispositivos Móveis – mobile – em geral. O ecossistema de aplicativos na maior parte da grade de consumidores SaaS. É basicamente um poço fundo no momento, como revelado pela pesquisa feita em Maio pelo Fraunhofer Institute for Secure Information Technology e pela Darmstadt University of Technology.

seguranca-no-mobile

“Em quase qualquer categoria, nós encontramos apps que possuem falhas na forma que armazenam dados online,” explica o pesquisador Siegfried Rasthofer, enquanto o líder da equipe Eric Bodden estima que o número total de afetados pelo registro possa estar na casa dos bilhões. Segundo Bodden, o problema está na forma que os apps armazenam dados online.

“A maioria dos apps usam serviços como Amazon Web Services ou Facebook Parse para armazenamento, compartilhamento ou backup de dados do usuário,” diz  Reuters “Enquanto esses serviços oferecem formas para que o desenvolvedor proteja seus dados, a maioria escolhe as opções padrão, baseados em uma linha de letras e números embutidos no código do software, chamado de token. Atacantes, diz Bodden, podem facilmente extrair e alterar os tokens no app, o que então permite acesso a dados privados de todos os usuários que o app armazena no servidor.”

Dado o quão proeminente os apps dos consumidores estão em espaços empresariais nos dias de hoje, deve ser obvio o quão preocupante isso é. Por fim, inúmeros aplicativos possibilitam uma tentativa ilimitada de Login e isso abre o caminho perfeitos para atentados com BruteForce ou até mesmo sobrecarregando um servidor mais fraco.

Confira a pesquisa do Instituto na integra por aqui.

HTTPS e Logjam

Com todo o barulho que o Flash tem recebido recentemente por ser inseguro e antigo, é quase desanimador ver uma vulnerabilidade no HTTPS fazer parte dessa lista.

Em Maio um novo vetor de ataque para o HTTPS veio a público, conhecido como Logjam. A vulnerabilidade – que no momento da descoberta impactou 8,4% dos top de um milhão de sites – abusa de uma falha na camada de segurança durante o protocolo de transporte dos websites.

“A Logjam é extremamente desconfortável para a FREAK , uma fraqueza que coloca em risco sites como o Whitehouse.gov” escreveu Steve Dent da Engadget. “Pesquisadores dizem que a nova fraqueza está contida no protocolo de encriptação chamado Diffie-Hellman, permitindo que seja possível diminuir certas conexões para meros 512-bits de segurança. Isso é baixo o suficiente para ser facilmente abusado por Crackers/Hackers em apenas alguns minutos, apesar de que não é claro se alguém realmente fez uso de tal fraqueza.”

Felizmente, essa é fácil de se corrigir – basta mudar as opções de cipher para o protocolo de encriptação Diffie-Hellman. 

Pawn Storm e Zero Day

Mais recentemente, uma nova fraqueza foi usada em um ataque ao governo dos Estados Unidos.

malware-analyst

 

Fazendo uso de uma função remota do Oracle Java SE, um grupo de hackers chamados de Pawn Storm lançaram um ataque digital ao United States Defense Department. Durante o momento em que esse texto foi escrito, não há correção para o problema – mas ele pode ser evitado ao baixar a versão do seu Java SE para 1.7 ou 1.6 até que haja um patch para correção.

Esse grupo também foi o responsável por expor a fraqueza do Flash descoberta na Hacking Team. Que coincidência, não?

Turbulence Warning

A maior parte das fraquezas até agora são intimidadoras, com certeza, mas não necessariamente representam uma ameaça tangível para segurança física do usuário. Não como um ataque DDOS direcionado a empresa de aviação da Polônia LOT em Junho, o que prendeu centenas de passageiros em um dos aeroportos mais movimentados do pais. Você percebe a dimensão que algo digital pode tomar no mundo off-line?

Esse ataque só impediu o início de voo das naves. Não atrapalhou aqueles que já estavam no ar. Ao mesmo tempo, se Hackers como esses chegaram as aeronaves no chão, quanto tempo levará para controlarem aviões em plano voo?

De acordo com o CEO da LOT Sebastian Mikosz, esse tipo de ataque pode acontecer a qualquer momento. E ele acredita que vai e com muito mais frequência.

O Zombie Router Apocalypse

Por último e não menos importante, outro encontrado em Maio – que pareceu ser o mês das descobertas ruins. NetUSB – um sistema implementado em instalações Linux como routersé na verdade extremamente insegura e suscetível a um ataque que permite a execução de código malicioso com permissão de nível administrador. Sec Consult, a firma que descobriu a vulnerabilidade, estimou na época que poderia impactar milhões de routers diferentes.

apocalipse_digital_by_tchuque-d4uawjg

Agora a boa notícia, se o seu router não tem uma porta USB você está provavelmente livre. A melhor forma de ter certeza, no entanto, é testando. Você pode ler o guia disponível na Computer World

Eu tenho apenas um site pequeno, devo me preocupar?

Sim, toda vez que você se arriscar com algo online – inclusive estamos falando das suas Redes Sociais – você deve se preocupar. A Era Digital é uma realidade e a Internet das Coisas não é mais um conceito, hoje você vive e respira internet por onde anda. Suas informações, suas senhas, seus dados e grande parte do que você possui estão expostos online.

Aproveite para fazer uma revisão no seu blog, na sua loja virtual ou no seu site empresarial para garantir que ao menos 90% das portas estão trancadas e os cachorros estão de guarda. Se você tiver alguma dúvida sobre o assunto ou quiser perguntar algo, deixa um comentário!

BLING
Daniel Leal

Daniel Leal

Eu já passei dos meus 25 anos e boa parte desse tempo eu estive online. WordPress, Plataformas e códigos são uma paixão grande, mas marketing, conteúdo e empreendedorismo falam mais alto. Eu vivo nesse conflito e escrevo sobre ele!

Add comment

Digital Ocean

Send this to a friend