27 de DEZEMBRO de 2024
Em 2024, o cenário de segurança da informação foi marcado por diversos incidentes críticos, entre esses, pode-se destacar: grandes vazamentos de dados que expuseram informações sensíveis de bilhões de usuários, um incidente global de TI causado por uma atualização automática, um ataque cibernético que resultou na explosão de diversos pagers no Líbano e a introdução de uma vulnerabilidade crítica em uma ferramenta comumente utilizada em distribuições Linux.
Ataque sofisticado à cadeia de suprimentos usando pagers explosivos
Em um complexo ataque à cadeia de suprimentos, foi descoberto que os serviços de inteligência israelenses secretamente embutiram explosivos nos compartimentos de bateria de dispositivos de pager. Esses pagers manipulados foram então fornecidos a membros do grupo militante Hezbollah, com a capacidade de serem detonados remotamente. O ataque destacou a possível ameaça de comprometimentos em uma cadeia de desenvolvimento, onde atacantes podem sutilmente adulterar o hardware utilizado para permitir a exploração remota.
Crowdstrike gera interrupções globais após atualização
Em julho de 2024, uma falha catastrófica originada por uma atualização automática providenciada pela CrowdStrike causou uma interrupção global nos serviços de diversas áreas. Uma série de problemas técnicos resultaram em falhas de conectividade, afetando o acesso à internet, serviços online e sistemas críticos em vários países ao redor do mundo.
A interrupção durou mais de 36 horas e paralisou setores essenciais, como comércio eletrônico, bancos, transporte e comunicação. Durante o pico do incidente, as perdas econômicas globais ultrapassaram US$4 bilhões por hora. Investigações anteriores apontaram que a causa inicial foi uma atualização de software defeituosa que sobrecarregou os sistemas principais do provedor. Essa falha foi ainda mais agravada por problemas de design e pela falta de redundância na infraestrutura.
Mas o que realmente causou a interrupção?
A origem do problema estava no software CrowdStrike Falcon. O Falcon se conecta ao Windows como um processo no kernel do sistema, o que lhe dá acesso privilegiado para monitorar operações em tempo real. Uma falha no sensor do Falcon, causada pela atualização, fez com que ele parasse de funcionar e, como o ele trabalha fortemente integrado ao kernel do Windows, essa falha gerou um erro crítico no sistema, resultando na temida tela azul, impossibilitando o sistema de ser usado.
Mother of All Breaches - O maior vazamento de dados de todos os tempos
A "Mother of All Breaches" (MOAB) foi o maior incidente de vazamento de dados pessoais e credenciais da história, reunindo 26 bilhões de registros em um único repositório. Essa violação contém 12 terabytes de dados de diversas fontes (LinkedIn, Twitter e Canva, entre outros), incluindo nomes, e-mails e senhas.
Com esses dados vazados, criminosos conseguem realizar ataques em massa, como phishings e fraudes. A MOAB destaca o aumento do risco de roubo de identidade e credenciais reutilizadas, reforçando a necessidade de práticas de segurança aprimoradas, como autenticação multifatorial (MFA) e senhas exclusivas, possivelmente geradas e armazenadas em um cofre de senhas, como o Bitwarden, por exemplo.
XZ Utils
Uma vulnerabilidade crítica foi descoberta na biblioteca de compressão de arquivos, XZ Utils, que é comumente usada em diversas distribuições Linux. O problema foi introduzido por um atacante, que, após dois anos de contribuições legítimas ao repositório Github do projeto, fez um upload que introduziu uma falha identificada como uma brecha que possibilita a execução remota de código (RCE).
A vulnerabilidade foi introduzida na versão 5.6.0 da biblioteca e já foi corrigida desde então, sendo rapidamente detectada após sua introdução por outro usuário. Esse caso destaca os potenciais riscos e vantagens de aplicações open source, com quase qualquer usuário podendo fazer contribuições ao projeto, permitindo potenciais contribuições maliciosas, como neste caso, porém, em contraste, aplicações open source também se tornam mais seguras por terem uma maior quantidade de usuários fazendo manutenção em seu código, assim mais eficazmente detectando falhas e vulnerabilidades.
Independentemente do cenário da cibersegurança, a Integrasul possui um portfólio robusto de serviços e parceiros estratégicos, preparados para apoiar a sua empresa na proteção de dados, mitigação de riscos e fortalecimento da segurança digital.
