(In)segurança em 2018 e previsões para 2019

Introdução

Estes últimos anos têm sido marcados por vagas de ataques informáticos conduzidos numa larga escala e causando tremendo impacto na sociedade, nos negócios, nas empresas e também nos serviços públicos e governamentais. As ameaças têm sido apetrechadas pelos criminosos com uma dose de sofisticação incrível e ao mesmo tempo inteligente.

As soluções tradicionais de prevenção e defesa estão a ser testadas constantemente com os novos desafios que o cibercrime proporciona. Dentro desse leque de soluções podem ser destacados os Security Information and Event Management (SIEM), Intrusion Detection System (IDS) e Intrusion Prevention System (IPS), Plataformas de Threat Hunting, Soluções de Anti-malware e também Sistemas Baseados na Deteção Inteligente de Ameaças (Threat Intelligence).

É inegável que o investimento em tecnologia tem sido gigantesco, mas o desafio relativo aos custos de implementação, manutenção e suporte é demasiado para a grande maioria das organizações. Em contrapartida, o elo mais fraco continua a cometer erros crassos que colocam em risco o ecossistema em que este se insere no dia a dia. Falamos do ser humano, do treino e da consciencialização contínua dos funcionários das organizações e da população em geral.

Retrospectiva sobre 2018

Apesar da aposta evidente na cibersegurança por parte das gigantes tecnológicas e também das organizações com uma envergadura mais reduzida, o ano de 2018 foi marcado como um dos piores da história no que toca a ataques informáticos.

Vulnerabilidades em 2018

Se debruçarmos um olhar atento sobre o ano de 2018 facilmente percebemos que foi um ano onde vários recordes foram atingidos. No número de vulnerabilidades, onde foram registadas 16555 só no agregador CVE details — uma base de dados gratuita de vulnerabilidades de segurança.

Figura 1: Total de vulnerabilidades registadas no CVE details.

Como apresentado na Figura 2, das 16555 vulnerabilidades apontadas, podemos observar que 2408 (14.5%) tem uma classificação de 7-8 de criticidade, 87 (0.50%) uma classificação de 8-9 e um total de 1481 (8.90%) vulnerabilidades foram classificadas com um grau de 9-10 quanto ao nível de severidade.

Figura 2: Total de vulnerabilidades agrupadas por criticidade.

Existiu um decréscimo significativo respeitante ao número de determinadas categorias de vulnerabilidades expostas entre o ano de 2017 e 2018. No que toca a falhas de condições Denial of Service (DoS), registou-se uma descida acentuada de 3154 em 2017 para 1852 registos em 2018. O mesmo aconteceu para falhas de overflow (2805 para 2451). Já as falhas de corrupção de memória teve quase uma redução de 50% — em 2017 foram registadas 745 entradas contra 400 em 2018.

Figura 3: Total de vulnerabilidades de 2017 e 2018 por categoria.

Por outro lado, foi distribuído um maior número de falhas do tipo Cross-site scripting (XSS) em 2018 em relação a 2017 (um total de 1516 em 2017 contra 2001 em 2018), e o mesmo panorama para a categoria Cross-site Request orgery (CSRF), de um total de 327 para 461 em 2018.

Figura 4: Total de vulnerabilidades por vendedor.

Ao nível dos vendedores do mercado (Figura 4), a Microsoft aparece em primeiro lugar com 6108 vulnerabilidades expostas em 504 dos seus produtos. É seguida pela Oracle, com 5511 vulnerabilidades registadas, e o top 3 é fechado pela IBM que registou 5279.

Figura 5: Total de vulnerabilidades agrupadas por grau de criticidade.

Quanto ao nível de severidade, a Microsoft domina o top 10 com 2098 vulnerabilidades classificadas com um grau de severidade entre 9-10 — o mais alto e crítico.

A Microsoft, em especial no Q4 do ano 2018, foi fustigada com 4 vulnerabilidades de dia zero publicadas pelo investigador autodenominado SandboxEscaper — falhas publicadas entre agosto e dezembro.

Em agosto, lançou o exploit PoC para uma falha de escalonamento de privilégios local no Agendador de Tarefas do Microsoft Windows. Em outubro, publicou o código de exploração de prova de conceito do Microsoft Data Sharing que permitia que um utilizador com poucos privilégios excluísse ficheiros críticos do sistema. Já em dezembro, o investigador lançou um exploit que permitia a leitura de ficheiros arbitrários e que podia ser explorada por utilizadores com poucos privilégios no sistema de forma a ler conteúdo de qualquer sistema do Windows. Ao terminar o ano de 2018, o investigador lançou mais uma prova de conceito relativa a uma race condition. A falha foi revelada dois dias depois do Natal.

Também a Oracle foi obrigada a atualizar uma série de vezes o seu produto Adobe Flash Player com uma previsão para a saída por completo do mercado em 2020. Uma vulnerabilidades no VirtualBox que permitia “escapar” código da máquina virtual para o host foi também corrigida, entre outras que receberam uma classificação crítica ao longo do ano.

Brechas de segurança

De acordo com a breachlevelindex.com, e que ainda tem disponível os registos relativos ao Q1 e Q2 de 2018, foram registados 3,3 biliões de registos expostos online, com uma média de 214 registos vazados a cada segundo — uma média baseada entre os meses de janeiro e junho de 2018. Os registos respeitantes ao Q3 e Q4 de 2018 ainda não estão disponíveis na plataforma.

Figura 6: Total de brechas de segurança no Q1 e Q2 de 2018.

 

Derivado ao grande número de vulnerabilidades anotadas durante 2018, os criminosos vazaram grandes quantidades de dados em grandes companhias a nível mundial, e isso fez com que recordes também fossem atingidos neste contexto.

Figura 7: Total de brechas de segurança agrupadas por categoria no Q1 e Q2 de 2018.

 

O setor mais sacrificado foi o da saúde, onde a maior parte dos sistemas são ainda antigos, estão envelhecidos e não utilizam, por isso, os recursos de segurança adequados e efetivos que permitam uma segurança, confiabilidade e privacidade ajustada às necessidades atuais da cibersegurança.

O número de brechas de segurança tem crescido de forma extraordinária nos últimos anos, e a prova disso é o ano de 2018. Empresas como o Facebook, a Atlas Quantum, a Dell, a US Postal Service, a Vision DirectGoogle Plus, a gigante aérea British Airways — a lista de violações não abrandou e continua a crescer em 2019.

Esta não é, de facto, uma lista em que as empresas querem aparecer, quanto mais nos primeiros lugares. No entanto, poucas semanas antes do final do ano foi atingido o top 2 por uma empresa devido à quantidade de informação vazada — o grupo hoteleiro Marriott International.

Figura 8: Brechas de segurança com maior impacto desde que há registo.

 

No dia 30 de novembro, foi atingido um novo record de 2018. Foi revelado que os registos de até 500 milhões de clientes do grupo Marriott International foram envolvidos numa violação de dados. Na verdade, não é apenas a maior violação de 2018: é também a segunda maior violação de dados da história.

 

Agentes de ameaça

O malware e o phishing foram também uma ameaça em ascensão e difícil de conter. Um grande número de ataques de malware como o WannaCry, Bad Rabbit, Magecart APT fizerem manchete pelos piores motivos. Não existe dúvida que o dano causado por este tipo de ataques nas organizações e mesmo ao nível das nações e estados é devastador e preocupante.

De acordo com a Europol, o ransomware, carding e skimming e ainda cryptojacking representam algumas das ameaças que tornaram o sonhos dos IT managers em pesadelos.

Do ponto de vista de negócio, os números de ameaças são assustadoras e isso pode ter um custo elevado para as organizações derivado ao nível de sofisticação em que estes ataques se enquadram.

O spam e os scams de phishing acabaram por dominar e causar impacto global de alguns bilhões na economia. Está previsto que os Business Email Compromise (BEC) ataques tenham causado um prejuízo de 9 biliões de dólares em 2018 (não existindo ainda número concreto e final sobre esse horizonte).

 

Em Portugal foram também registados durante 2018 dois scams com aparente impacto e origem portuguesa. A primeira foi publicada no blog Segurança Informática a 20 de setembro depois de uma denúncia. Este esquema consistia num scam relativo ao investimento numa criptomoeda denominada THRON. As vítimas eram aliciadas a contratar um serviço (uma farsa) e os atacantes deslocavam-se fisicamente à morada da vítima como forma de recolher o dinheiro. Ao longos dos últimos meses foram registados vários casos deste scam e que foram endereçados às respetivas autoridades.

Em outubro surgiu uma nova campanha referente a registos de DNS fictícios. As vítimas receberam emails em que o objetivo dos criminosos era fazer as vítimas registrarem novos domínios top-level através de um serviço malicioso e irreal.

É também sem surpresa que o email e os ficheiros PDFs continuam a ser o principal vetor de ataque utilizado pelos criminosos para distribuir malware e chegar junto das vítimas.

 

Previsões para 2019

Os autores de malware continuam a inovar, a encontrar novos vetores de infecção e a ofuscar de forma efetiva os seus produtos maliciosos. Em 2019 os cibercriminosos farão de tudo ao seu alcance para se tornar ainda mais eficazes e virulentos.

Segundo as previsões, as 10 principais tendências de malware a serem observadas no ano novo são:

Wipers
Shamoon, Black Energy, Destover, ExPetr/Not Petya and Olympic Destroyer: Todos estes malwares têm um propósito singular de destruir sistemas e dados. Geralmente eles causam prejuízos financeiros e de reputação incalculáveis às empresas.

Filelessmalware
filelessmalware infecta os computadores das vítimas, sem deixar para trás qualquer artefato no disco rígido local, facilitando, assim, a exclusão das ferramentas tradicionais de segurança e forense baseadas em assinatura.

Emotet
Emotet já foi considerado um simples trojan banker – mas evoluiu para se tornar um serviço para disseminar malware e com a capacidade de utilizar bibliotecas de códigos open-source de terceiros. Recentemente, foi adicionado pelos criminosos um módulo para recolher e-mails em massa e uma ofuscação de macros. Ele foi um dos os malwares mais comuns em 2018. Espera-se que continue a evoluir em 2019.

Botnets
Em 2018, as botnets evoluíram para atingir diferentes tipos de dispositivos, como o hardware MikroTik e também houve uma série de novos tipos de atividade criminosa, com arquiteturas modulares para fazer tudo, desde alvos DDoSing até espalhar malwares secundários.

Ransomware
Os criminosos por trás dos incidentes de ransomware estão a tornar-se mais inteligentes e mais experientes – como vimos em 2018, nos casos do ataque Atlanta ransomware e do ataque de ransomware Onslow Water and Sewer Authority (OWASA). Esta é uma ameaça esperada para 2019 e que grande impacto tem causado nas organizações.

Crytomining malware
Os cryptominers dominaram o crescimento de malware em 2018, com os ataques a aumentarem em mais de 83%, de acordo com os investigadores da Kaspersky Lab. Os criminosos estão a utilizar este tipo de malware em websites de organizações como Make-A-WishInternational ou LA Times. São esperados ataques desta natureza em 2019 com novas variantes como MassMiner e o malware Kittycryptomining a entrar em cena.

Card-skimming malware
Malware baseado em Card-skimming foi muito popular em 2018 e continuará em 2019, de acordo com os investigadores da RiskIQ, que acompanham de perto o grupo Magecart. Em 2018, 45,8 milhões de registos foram roubados de transações de cartões de crédito usando skimming e violações de ponto de venda (POS). Os agentes de ameaças visaram empresas como retalhistas, hotéis e restaurantes – incluindo a Scratch Kitchen, da Chili’s e Cheddar, que foram atingidas por violações de dados envolvendo cartões de crédito.

Esteganografia
Também a esteganografia tem ganhado força de acordo com Simon Wiseman, diretor de tecnologia da Deep Secures. Os criminosos irão em 2019 utilizar esta técnica como meio de esconder payloadsmaliciosos dentro de imagens, documentos ou pixeis. Em 2018 foi identificada uma recente ameaça baseada em esteganografia envolvendo imagens disponibilizadas na rede social Twitter.

Durante 2019 são também esperados desenvolvimentos sobre seguintes tópicos:

Um maior número de ataques estado-nação e surveillance de indivíduos
Figuras públicas continuarão a ser alvo de ataques informáticos conduzidos por estados e a serem politicamente motivados. O pior cenário possível será uma nação conduzir vigilância sobre os seus próprios cidadãos.

A biometria continuará a substituir as palavras-passe
Uma “morte” prevista há mais de 10 anos. As palavras-passe continuarão a ser substituídas por biometria, nomeadamente reconhecimento facial. O reconhecimento facial está tornar-se predominante em grande parte devido ao iPhone X’s Face, que usa varrimentos de luz infravermelha para identificar um rosto de maneira exclusiva. A tecnologia realmente reconhece mudanças num rosto, ou até se o utilizador altera sua aparência, como o crescimento de um bigode ou utilizando um chapéu.

A segurança dos dados na Cloud continuará a ser um desafio
Com mais organizações a utilizar cada vez mais serviços e soluções na Cloud, a proteção de dados torna-se mais desafiante e mais difícil. As organizações precisarão considerar tecnologias baseadas em inteligência artificial, bem como contratar equipas SecDevOps para desenvolver software seguro e baseado na Cloud.

Usar a automação para defender
Recursos, tecnologias e ferramentas mais sofisticadas e baseadas em inteligência artificial serão observadas em 2019 devido à crescente necessidade da proteção das redes e infraestruturas contras ciber ameaças cada vez mais destrutivas. Os autores de malware demoram apenas alguns minutos para encontrar uma vulnerabilidade e desenvolver uma prova de conceito. Ferramentas para correção automatizada são essenciais para detetar ameaças e implantar correções e atualizações em grandes infraestruturas digitais de forma rápida e efetiva.

Conclusão

Com o início do novo ano, há muitas especulações de tendências e tecnologias que terão um grande impacto na indústria. Com a constante introdução de novas tecnologias e redes, a segurança é vista como uma alta prioridade para todos os setores.

Embora os avanços na tecnologia tenham sido úteis de várias maneiras em toda a indústria, novas ameaças vão ganhando forma e desenvolvem-se de forma destrutiva. É necessário olhar para este tema e desenvolver estratégias e planos de cibersegurança nas organizações, olhar para o tema de forma transversal e fazer disso agenda de reunião durante 2019.

Um artigo de Pedro Tavares com o apoio da RISEMA.