Como comemorar o dia da segurança da informação

Hoje é o trigésimo dia internacional da segurança da informação. Falamos sobre a história do feriado e maneiras de celebrá-lo.


/ foto Joe Grand CC BY

Precipitação dos anos 80: as origens do feriado

Em 1988, a organização sem fins lucrativos ISSA (Information Systems Security Association) declarou 30 de novembro como Dia Internacional da Segurança da Informação. Sua idéia principal é lembrar a importância da cibernética.

O feriado nasceu em 1988 não por acaso - então ocorreu a primeira distribuição em massa do vírus worm. Trinta anos atrás, os usuários do APRANET , uma rede que era o protótipo da Internet moderna, descobriram que os programas em seus computadores começaram a carregar lentamente, enquanto as máquinas não respondiam nem aos comandos mais simples. O culpado do colapso, que "paralisou" 6 mil computadores (10% de toda a rede), foi o worm da rede Morris. Este foi o primeiro ataque cibernético em massa bem-sucedido.

O ataque não foi deliberado, foi o resultado de um experimento que saiu do controle. O criador do malware é o estudante de graduação da Universidade de Cornell, Robert Morris. Ele trabalhou em um programa que explorava várias vulnerabilidades conhecidas da época.

O vírus Morris atacou contas de e-mail de usuários da rede ARPANET, selecionando senhas para o dicionário. O dicionário era pequeno - cerca de quatrocentas palavras - mas era o suficiente. Naquela época, poucas pessoas pensavam em segurança de computadores e, para muitos, o nome de usuário geralmente coincidia com uma senha.

Tendo obtido acesso à conta, o worm usou uma vulnerabilidade no servidor de email do Sendmail para se copiar pela rede. No entanto, um erro lógico foi cometido no código, o que levou ao fato de que os computadores foram infectados pelo worm muitas vezes. Tudo isso reduziu a velocidade do trabalho, esgotando os já pequenos recursos dos sistemas de computador da época.

Eles começaram a resolver o problema no Instituto Berkeley. Os melhores especialistas em proteção de dados da América se reuniram lá. Eles começaram a analisar o código do worm e neutralizar as consequências. Hoje, o disquete de malware está no Science Museum, em Boston, e o código pode ser encontrado em domínio público .

O dano total infligido pelo verme Morris chegou a cem milhões de dólares. Além de danos financeiros, o incidente de novembro teve outras consequências:

• Robert Morris foi o primeiro réu na nova Lei de Fraude e Abuso de Computadores , aprovada apenas quatro anos antes do incidente do worm. Morris recebeu três anos de liberdade condicional.
• O ataque do worm primeiro atraiu a atenção dos principais meios de comunicação americanos para ameaças à rede.
• A organização CERT (Computer Emergency Response Team) foi criada. Ele funciona até hoje, aceitando informações sobre possíveis buracos e hacks no sistema e publicando recomendações para sua prevenção.

Ao mesmo tempo, o ataque do worm Morris revelou o principal problema (que não perdeu sua relevância até hoje) - as pessoas usam senhas simples. Tornou-se claro que era necessário aumentar a conscientização sobre os problemas de segurança da informação. Portanto, foi proposto um novo feriado internacional sobre o tema segurança da informação.

Como comemorar este dia

Embora o feriado não esteja no calendário de eventos da ISSA, ele costuma ser usado como desculpa para atualizar o conhecimento de segurança cibernética entre os funcionários da empresa e "incutir" a higiene cibernética. Por exemplo, aqui estão algumas “atividades” que devem ser realizadas no trabalho (e em casa):

• Atualize todo o software. Este passo simples ajuda a reduzir o risco de invasão do sistema, pois na maioria dos casos, os hackers exploram vulnerabilidades conhecidas. Por exemplo, uma violação maciça de dados do departamento de crédito da Equifax poderia ter sido evitada - um patch para a vulnerabilidade que os cibercriminosos usavam foi lançado dois meses antes do ataque .
• Alterar senhas. A senha mais comum ainda é "123456". Vale a pena usar uma senha com letras de registros diferentes, além de números e caracteres especiais. Para definir e lembrar senhas complexas, era mais fácil, você pode recorrer a aplicativos especiais como LastPass ou 1password.
• Discuta as regras para trabalhar com correio e mensagens instantâneas. Por exemplo, fale sobre a importância de separar correspondência pessoal e profissional e discuta os perigos da engenharia social. Como referência, você pode usar esta história em Habré .

Se você for um pouco mais longe

Antes, o Information Security Day tinha um site no qual os entusiastas reuniam idéias para eventos corporativos para o feriado. Uma opção é fazer uma apresentação e discutir questões de segurança de computadores em uma escola ou universidade local. Juntamente com os alunos, você pode assistir a filmes ou programas de TV relacionados a problemas de segurança da informação.

Algumas empresas usam o Information Security Day como uma oportunidade para compartilhar informações de proteção de dados não apenas com os alunos, mas com o mundo. Por exemplo, a Springer publica acesso gratuito à literatura relacionada neste dia.


/ foto Travis Isaacs CC BY

Se houver um desejo de fazer algo "incondicional", o dia da segurança da informação pode ser uma ocasião para organizar competições para invadir sistemas de computadores no estilo do Capture the Flag (CTF) .

Nessas competições, duas equipes recebem um servidor ou laptop com vários aplicativos e serviços. Esses serviços têm um certo número de vulnerabilidades. Sabendo disso, os participantes devem proteger as informações em seu sistema e capturar dados do computador do inimigo.

Também são realizadas competições de velocidade de hackers. Por exemplo, um evento semelhante é realizado na conferência de hackers DEFCON. Este ano, os participantes foram convidados a invadir equipamentos de votação conectados a cópias de sites oficiais. A vitória deste ano foi conquistada por Audrey Jones, de onze anos, contornando a defesa em 10 minutos.

Em geral, essa atividade ajudará a chamar mais atenção para a alfabetização cibernética e lembrará a importância da higiene digital.

---

PS Várias postagens relacionadas em nosso blog corporativo:

• Recursos da autenticação de dois fatores: funciona na nuvem IaaS
• Efeito GDPR: como a nova regulamentação afetou o ecossistema de TI
• Como testar a segurança das soluções em nuvem

PPS Sobre tecnologias de nuvem e virtualização do nosso canal Telegram:

• Por que um bom provedor de IaaS não constrói seu data center
• Como escolher um provedor de IaaS
• Como lidar com DP na Rússia e na Europa