dezembro 27, 2018

[Segurança] Retrospectiva 2018

2018 foi o ano da privacidade (para o bem e para o mal).

No Brasil e no mundo, o cenário de segurança da informação em 2018 foi dominado pelas notícias incessantes de vazamentos de dados. Nos Estados Unidos o ano acabou com um mega-vazamento de dados de 500 milhões de clientes da rede de hotéis Marriott, e já tem quem estime que o prejuízo pode alcançar 600 milhões de dólares. No Brasil, onde raramente víamos notícias de vazamentos de dados, neste ano fomos surpreendidos com uma avalanche, que incluiu bancos, lojas de e-commerce, etc. Vítimas incluiram a Boa Vista SCPC, Banco Inter, Stone Pagamentos, Movida, Netshoes, C&A, etc.

OBS (adicionada em 27/12): Nos EUA, até a NASA sofreu vazamento de dados!!!

Quem diria, a revista Veja criou uma página só para centralizar as Notícias sobre Vazamento de Dados!!!

Aqui no Brasil, o Ministério Público do Distrito Federal e Territórios (MPDFT) tomou as dores e começou a investigar e punir tais vazamentos (por exemplo, no caso da FIESP, da Stone, da C&A, e até mesmo da Marriott!). A propósito, recentemente soubemos que o Banco Inter fechou um acordo com o MPDFT para encerrar uma ação civil pública por vazamento de dados de clientes, e aceitou pagar 1,5 milhão de reais em indenização.  O comprometimento dos dados cadastrais foi anunciado em agosto desse ano e atingiu de 19.961 correntistas, dos quais 13.207 eram de dados bancários, como número da conta, senha, endereço, CPF e telefone. Cá entre nós, a conta saiu muito barato, não é?

Do outro lado dessa moeda, a preocupação com privacidade nunca esteve tão em voga, graças a legislações específicas que vimos neste ano: a entrada em vigor da GDPR na Europa e a aprovação da LGPD aqui no Brasil.

Eu me arrisco a dizer que em 2018 os demais tipos de ataques seguiram um ritmo "suave", sem grandes destaques nem grandes sustos. O ano começou muito mal, com o anúncio das vulnerabilidades Meltdown e Spectre, que prometiam causar o caos em toda a indústria de tecnologia. #SQN. O ano seguiu sem grandes notícias de infecção por ransomware, nem botnets formadas por dispositivos IoT causando tanta dor de cabeçaa quanto tivemos em 2017. Surpreendentemente, também falamos pouco sobre os ataques de negação de serviço (DDoS), que vinham em uma marcha crescente nos últimos anos. Essesataques continuam existindo, claro, e os ciber criminosos continuam ganhando muito dinheiro aqui e mundo afora, mas não tivemos um cenário de ameaças tão volumoso quanto nos anos anteriores.

Muito se falou sobre o surgimento de malwares especializados em mineração de moedas virtuais, mas provavelmente a grande queda constante da cotação do bitcoin durante 2018 deve ter desanimado essa galera e fez essa tendência não se concretizar.


Do ponto de vista do mercado corporativo de segurança, se falou como nunca de Blockchain e Machine Learning, mas na minha opinião, neste ano tivemos uma grande preocupação em como garantir uma melhor autenticação dos usuários. Os bancos parecem estar apostando em tecnologias de biometria facial, embora elas ainda precisem amadurecer um pouco bastante. Mas a busca por novas tecnologias de autenticação é o caminho que eu vejo os bancos seguirem atualmente para tentar reduzir o volume de fraudes e, ao mesmo tempo, fornecer uma solução que seja de fácil uso ou transparente para os clientes. No mundo corporativo, os Tokens FIDO estão ganhando espaço, e os tokens Yubikey viraram objeto de desejo dos profissionais mais antenados.

No mercado brasileiro, não podemos esquecer algumas coisinhas a mais:
  • As "fake news" foram um assunto que tiveram muito destaque em 2018, e bombaram durante as eleições presidenciais. Tá aí algo que veio para ficar :(
  • As "tretas" continuaram a todo o vapor! Muito ainda se zoou com a discussão sobre quem foi o fundador da H2HC e com o concurso "Competente Leaders" promovido pelo SecOps Infosec Army. Até a coincidência de data da Nullbyte e do Roadsec SP foi usado por alguns para tentar criar uma polarização entre os "profissionais rootz" e os mais lammers.

Para saber mais:

Um comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.