Um ataque precisa realmente se destacar para ganhar o nome de “desastre”.
Qualquer pessoa que segue a segurança cibernética está ciente do ritmo constante de violações e ataques de dados. Portanto, um ataque precisa realmente se destacar para ganhar o nome de “desastre”.
Reunimos oito falhas de segurança de TI verdadeiramente desastrosas na última década, com o objetivo de encontrar não apenas hacks inteligentes, mas erros reais por parte das vítimas. Espero que você saia com algumas idéias sobre como não sofrer um desastre próprio.
2012: Court Ventures recebe engenharia social
Hieu Minh Ngo provou que você não precisa de muito conhecimento técnico para quebrar a segurança de um importante corretor de dados e ter acesso a muitas informações privadas das pessoas. Às vezes, tudo o que é preciso é uma deturpação descarada e habilidades de engenharia social . Ainda com 20 e poucos anos, Ngo convenceu a Court Ventures, uma corretora de dados posteriormente comprada pela Experian, de que ele era um investigador particular em Cingapura. Ele então comprou informações de identificação pessoal (PII) da Court Ventures como parte de seu “trabalho”.
Esses dados se tornaram a base para um elaborado mercado de dados que ele promoveu para ladrões de identidade. Ao todo, ele ganhou quase US $ 2 milhões antes de ser preso e se declarar culpado. Enquanto Ngo de fato começou como um hacker comum, seu golpe “não técnico” provou ser o mais lucrativo.
2014: Mt. Gox desmorona
Hoje, estamos acostumados a todos os tipos de hacks e trapaças e erros no reino criptográfico (o ” todos os meus macacos desapareceram ” soa um sino?). Mas 2014 foi relativamente cedo na era das criptomoedas, e o mundo ficou fascinado com o drama de uma exchange japonesa de Bitcoin chamada Mt. Gox. Originalmente desenvolvido como um site para negociação de cartões Magic: The Gathering, em 2013 o Mt. Gox estava lidando com algo como 70% de todas as transações de Bitcoin.
A Mt. Gox teve um problema com um hack em 2011 e conseguiu consertar as coisas de uma forma que satisfez a maioria dos clientes. Mas em 2014, a empresa rapidamente se tornou insolvente , cortando milhões de dólares em valor de bitcoin de seus legítimos proprietários. Embora a história completa do que aconteceu ainda não seja totalmente clara, parece que o hack de 2011 nunca realmente terminou, que os bitcoins estavam sendo roubados por invasores há anos, e a empresa pode estar operando essencialmente como um esquema de pirâmide, apenas capaz de pagar para saques com novos depósitos, já em 2013. Dentro da empresa, uma variedade de práticas terríveis de segurança e gerenciamentoestavam causando uma implosão, sem sistema de controle de versão para atualizações de software e todas as alterações passando pelo CEO corporativo, o que significa que os patches de segurança podem levar semanas para serem implementados. Você pensaria que tudo isso pode fazer com que as pessoas pensem duas vezes antes de colocar milhões de dólares em instituições financeiras não regulamentadas baseadas em criptografia, mas esse não foi o caso.
2014-7: Os grandes hacks chineses: Starwood, OPM e Equifax
Em meados dos anos 10, três grandes instituições foram atingidas por violações de dados: os sistemas de reservas para as marcas de hotéis de luxo Starwood em 2014; O Escritório de Gestão de Pessoal dos EUA , a agência que administra a força de trabalho civil do governo, em 2015; e Equifax, uma das três grandes agências de classificação de crédito, em 2017. Todos os três ataques foram resultado de várias falhas de segurança em cada instituição, cujos detalhes foram extremamente embaraçosos quando foram divulgados. Por exemplo, o OPM completou com confiança uma redefinição do sistema “big bang” que eles pensavam ter eliminado os invasores de sua rede, sem saber que o mesmo grupo havia conquistado outro ponto de apoio em outro lugar; A Equifax não conseguiu identificar dados criptografados sendo exfiltrados por seus invasores porque eles haviam esquecido de renovar um certificado SSL ; e o hack da Starwood só foi detectado quatro anos depois do ocorrido, depois que a empresa foi comprada pela Marriott.
Todas essas violações de dados resultaram no roubo de PII de milhões de pessoas pelos invasores e, no caso das violações de OPM e Equifax, muitas delas eram bastante confidenciais. As organizações hackeadas forneceram monitoramento de crédito aos indivíduos afetados – e se prepararam para um grande ataque de roubo de identidade que nunca aconteceu. As autoridades agora acreditam que os ataques foram perpetrados por hackers empregados pelo governo chinês que buscavam construir um “lago de dados” de indivíduos associados ao governo dos EUA.
2016: O hack da campanha de Clinton
Se há uma coisa que podemos lembrar sobre a campanha de Hillary Clinton 2016, é que era sobre e-mails, de alguma forma, e os e-mails eram ruins. Os e-mails em questão pareciam dar voltas e reviravoltas à medida que a campanha prosseguia — originalmente eles eram armazenados em seu servidor pessoal enquanto ela era secretária de Estado, embora devessem ter sido mantidos mais seguros nos computadores do governo. Mas nas semanas que antecederam a eleição, os e-mails que dominaram as notícias eram os de dentro de sua campanha, cheios de fofocas internas que ganharam manchetes embaraçosas quando foram divulgadas pelo Wikileaks.
E como eles se tornaram públicos? Graças a um esquema de phishing clássico , combinado com um dos erros de digitação mais importantes da história política dos EUA. Em 2016, Clinton havia mudado de seu servidor caseiro para um serviço hospedado pelo Google, e o gerente de campanha John Podesta recebeu um e-mail que parecia ser do Google, dizendo que alguém havia tentado acessar sua conta e ele deveria redefinir sua senha clicando em em um link bit.ly encurtado. O técnico de campanha Charles Delavan, em seu relato, tentou enviar a Podesta uma mensagem dizendo “este não é um e-mail legítimo” – mas infelizmente deixou de fora o “não”.Aumentando a confusão, ele pediu a Podesta para redefinir sua senha de qualquer maneira, apenas como precaução, e embora a mensagem de Delevan incluísse o link apropriado para isso, Podesta clicou no link bit.ly no e-mail original e entregou seu login credenciais para a inteligência russa.
2016: O assalto ao Banco de Bangladesh
O sistema SWIFT para transferências bancárias internacionais deve ser inacessível, mas é claro que esse é um objetivo impossível. No caso da SWIFT, os pontos fracos visados pelos hackers podem ser encontrados nos bancos centrais administrados pelo governo de países em desenvolvimento, onde a segurança é muitas vezes subfinanciada. Um grupo de hackers – quase certamente o Lazarus Group da Coréia do Norte – tentou realizar um assalto audacioso ao Banco de Bangladesh, criando malware personalizadoviolar os sistemas do banco e eventualmente ter acesso ao terminal SWIFT, que, contrariamente à prática recomendada, não estava segregado do resto da rede. Eles também cronometraram habilmente seu ataque para que o menor número possível de olhos humanos estivesse em seus movimentos: o fim de semana de Bangladesh é na sexta e no sábado, enquanto Nova York (onde o Federal Reserve Bank que lida com a maioria das transações SWIFT está localizado) tem folga no domingo; no fim de semana específico em que eles planejaram o assalto, os bancos nas Filipinas, para onde grande parte de seu dinheiro ilícito foi direcionado para que pudesse ser lavado em cassinos, seriam fechados para o Ano Novo Lunar. Não havia uma “linha direta” entre os bancos que pudesse servir como canal de comunicação fora do horário normal .
Mas, por mais espertos que fossem os ladrões, eles foram tropeçados por alguns erros elementares e por pura sorte. O objetivo deles era que as transações fossem concluídas automaticamente antes que qualquer humano pudesse dar uma olhada nelas, mas um dos bancos intermediários pelos quais eles estavam transferindo parte de seu dinheiro tinha “Júpiter” em seu nome, que também era o nome de uma transportadora. empresa sob sanções por negociar com o Irã, e assim as transferências acionaram um alerta automático e foram inspecionadas por alguém em Nova York. E uma vez que uma pessoa olhava os detalhes, eles obviamente suspeitavam: o Banco de Bangladesh nunca havia iniciado transações dessa magnitude, e também havia vários erros de ortografia e outros erros na documentação que não resistiram ao escrutínio. Os ladrões cibernéticos acabaram fugindo com US$ 20 milhões, mas poderiam ter acabado com quase um bilhão se não tivessem tropeçado. Acontece que a segurança automatizada só pode fazer muito.
2016: Ataques Mirai e Dyn
Em 21 de outubro de 2016, grandes áreas da Internet ficaram indisponíveis por horas para usuários em grande parte da Europa e América do Norte. As preocupações iniciais eram de que um grupo de hackers ou estado-nação estivesse lançando uma tentativa de derrubar completamente a internet. Na verdade, o motivo do ataque foi muito mais absurdamente surreal, e os motivos pelo qual foi bem-sucedido ilustram os pontos fracos que ainda existem em toda a nossa infraestrutura de internet.
Os ataques DDoS dependem de botnets , grandes coleções de computadores invadidos que podem ser comandados para tentar acessar um único site de uma só vez, derrubando-o com uma onda de tráfego na web. Com os PCs cada vez mais protegidos por softwares de segurança integrados, os hackers estão recorrendo a dispositivos IoT, que tendem a ser negligenciados e não atualizados. O pacote Mirai botnet foi escrito por um estudante de Rutgers e tinha um meio de propagação simples e inteligente: ele pesquisou na Internet por dispositivos com portas telnet abertas e tentou fazer login usando uma lista codificada de 61 nomes de usuário e senhas padrão que vêm com vários Dispositivos IoT.
O exército de gadgets – principalmente câmeras de CFTV – assim reunido foi alistado em uma guerra que a maioria das pessoas não sabe que está sendo travada: vários hosts de servidores Minecraft tentando derrubar uns aos outros offline para roubar os clientes uns dos outros. A primeira onda de ataques Mirai teve como alvo sites que vendiam ferramentas que ofereciam proteção contra DDoS, um tanto ironicamente. Em poucos dias, porém, o código-fonte do Mirai foi postado online e outro invasor o usou contra a Dyn, que fornece serviços de DNS para alguns servidores de jogos, mas também para dezenas de outros sites. Foi isso que trouxe a luta do mundo Minecraft para a vida real.
2021: Parler trai seus usuários
O Parler foi lançado como um site no estilo Twitter destinado a conservadores que sentiam que suas opiniões políticas eram censuradas pela “big tech”. Suas políticas de moderação sem intervenção rapidamente o tornaram um ímã para usuários de extrema direita e, após o ataque de 6 de janeiro ao Capitólio dos EUA – durante o qual muitos dos invasores coordenaram e documentaram suas atividades no Parler – a Apple e o Google mudaram para retire o aplicativo de suas lojas e a Amazon o expulsou de seus servidores AWS.
Um hacker conhecido como donk_enby tentou preservar o máximo de dados possível do Parler antes que ele fosse completamente desligado, uma tarefa que foi surpreendentemente facilitada pela postura de segurança verdadeiramente atroz de Parler. Ainda não está claro se a API do Parler não tinha nenhuma autenticação ou apenas a autenticação ignorada com muita facilidade, mas donk_enby conseguiu usá-la para raspar 99% do conteúdo do Parler antes do desligamento da AWS. E esse conteúdo era um verdadeiro tesouro . Acontece que a função de exclusão realmente não funcionou (o conteúdo foi rotulado como excluído, mas não foi realmente removido do banco de dados) e os metadados não foram removidos do conteúdo de imagem ou vídeo (muitos dos quais registrados indivíduos cometendo crimes durante o ataque mencionado acima em a capital).
2021: Colonial Pipeline tem uma crise complexa (e ofuscada)
Em 2021, a Colonial Pipeline, empresa responsável por distribuir até 45% de toda gasolina e outras formas de combustível na costa leste dos EUA, foi atingida por um ataque de ransomware e fechada por seis dias, causando um efeito cascata de escassez de gás e picos de preços. A Colonial Pipeline foi inicialmente um pouco cautelosa sobre quais sistemas foram afetados, e a suposição imediatamente após o desligamento foi que o ransomware havia encerrado os sistemas de tecnologia operacional que executavam o próprio pipeline.
No entanto, uma vez que o problema foi resolvido, surgiram mais detalhes e os insiders revelaram que o ransomware não afetou os sistemas físicos; em vez disso, atingiu os sistemas de faturamento da empresa . Em outras palavras, embora a Colonial fosse fisicamente capaz de fornecer combustível, não seria capaz de cobrar de ninguém por isso, o que do ponto de vista corporativo era igualmente ruim, levando ao desligamento. Isso foi um conforto frio para todos que precisavam de gasolina durante aquela semana caótica, o que pode ter sido o motivo pelo qual Colonial foi cauteloso sobre isso. O incidente acabou ilustrando a interdependência da tecnologia operacional e da informação, e como sistemas complexos têm muitos pontos potenciais de falha que alguém com uma perspectiva puramente de engenharia pode não ver a princípio.
