Mais um ano chega ao fim, e com ele, algumas tendências na área da Segurança da Informação que prometiam muito, cumpriram pouco
Com tecnologias cada vez mais avançadas – adotadas e descartadas com a mesma velocidade – prever o que será a “grande coisa” para o próximo ano é cada vez mais difícil. Mas, estudando com cuidados as necessidades, anseios e escolhas de seus mais de 200 milhões de usuários ativos, e seus outros milhões de usuários em potencial, a AVG Technologies apresenta algumas tendências que devem surgir com força em 2016 quando o assunto é viver uma vida conectada cada vez mais segura, tranquila e privada.
Confira abaixo seis tendências apontadas por Michael McKinnon, Diretor de Conscientização de Segurança da Informação da AVG, como as grandes questões que devem movimentar usuários e empresas de tecnologia no próximo ano.
1. A Inteligência Artificial nos mantem seguros on-line
Sistemas como os de estacionamento automático em carros anunciam um momento único na história, no qual softwares irão nos manter cada vez mais seguros. E isso também está acontecendo on-line!
No caso da AVG, nosso último antivírus lançado contém diversos recursos sofisticados de aprendizagem neural e coleta de dados em nuvem desenvolvidos para encontrar malwares mais cedo do que nunca.
Para criar esse novo algoritmo de detecção de surtos e reputação de arquivos foram anos de pesquisa e desenvolvimento. Desta forma, durante o próximo ano, a corrida contra agentes maliciosos na Internet terá um impulso considerável, fornecendo uma resposta mais rápida e destruindo ameaças com mais agilidade do que nunca.
E o melhor: esses avanços em sistemas de aprendizado e Inteligência Artificial estão cada vez mais acessíveis!
2. Autoridades de certificação: o começo do fim
A necessidade de criptografar com segurança todo o tráfego de websites via HTTPS é um problema crescente, e em 2016, diante de novos padrões abertos e opções mais simples e baratas, pode se tornar uma realidade global.
Os ‘Certificate Authorities’ estão sob crescente análise nos últimos anos, já que notícias como falta de gestão de certificados, desafios de segurança, e vazamento de dados têm atormentado alguns destes certificadores.
Também brotam histórias sobre o modelo de confiança do certificado SSL, com suspeita de que o estado patrocinou agentes que podem estar infiltrados em comunicações supostamente seguras.
O papel de uma Autoridade de Certificação é validar a identidade e legitimidade de um proprietário de website antes de emitir um certificado SSL. Ainda é uma ótima ideia para as empresas que podem pagar, pois ainda oferecem seguro e proteções adicionais. Mas para a maioria dos pequenos blogs ou páginas de pequenas empresas, pagar a uma autoridade e se submeter a sua regras é complicado e desnecessário. É ai que algumas alternativas surgem, como o Let’s Encrypt (atualmente em beta).
Além disso, o Projeto Google’s Certificate Transparency continuará a verificar certificados SSL falsos por meio de detecções modernas para navegadores, e a pressionar as Autoridades de Certificação contra esse tipo de fraude.
Finalmente, com a promessa de outras soluções, como a Internet Society’s proposed DANE protocol, que possibilita que qualquer dono de site valide seu próprio certificado SSL, sem a necessidade de uma Autoridade, 2016 será um ano para se prestar atenção!
3. ‘Malvertising’ e redes de anúncios: adaptar ou cair fora!
Malvertising é o que acontece quando um malware é oferecido para visitantes desavisados nos mais variados sites, e está acontecendo com frequência por conta da combinação de relações questionáveis de terceiros e segurança fraca, afetando diversas redes de anúncios online no mundo todo.
2016 é o momento das redes de anúncio se moldarem ou desaparecerem, antes que destruam a economia digital que ajudaram a construir e contribuam para ruir pontuações de websites que dependem do retorno com anúncios para sua sobrevivência.
Na raiz deste problema estão os complexos “scripts” de rastreamento e publicidade fornecidos pelas redes de anúncios e adicionadas por publishers (as vezes às cegas) em seu websites. Essa nova variável, quando combinada a ataques tradicionais, pode ser usada para infectar milhares de usuários de sites legítimos. Apesar de muitas redes de anúncios maiores já responderem com rapidez durante um incidente de Malvertising, alguns minutos são o suficiente para afetar milhares, até mesmo milhões usuários.
Para piorar, pergunte a alguém que instalou um adblocker recentemente e ele te dirá o quão rápido suas páginas preferidas estão carregando agora. A triste verdade é que, muitos sites ricos em conteúdo, e que contam com a receita de publicidade, tornaram-se pesados e lentos.
De fato, uma pesquisa realizada pelo The New York Times mostra que nos websites mais populares para mobile, mais da metade da largura de faixa é usada para carregar anúncios. São mais dados de rede para carregar anúncios, scripts e códigos de rastreio, do que o conteúdo que você realmente quer ver na página!
No entanto, adblockers não são uma solução de longo prazo para o problema, e representam um desastre econômico potencial que pode representar o colapso no modo como a Internet é monetizada hoje.
Além disso, uma recente declaração do Interactive Advertising Bureau reconheceu que os anunciantes tinham ‘perdido a noção sobre a experiência do usuário’ ao desenvolver conteúdo. Para combater o uso de bloqueadores de anúncios, o IAB desenvolveu os princípios L.E.A.N: Light (Leve), Encrypted (Criptografado), Ad Choice Supported (Com apoio à opção pelo anúncio) e Non-Invasive (não invasivo). Esses princípios ajudarão a guiar os princípios de uma nova fase para fornecedores de anúncios digitais em todo o mundo.
Mas não importa qual é a solução, uma coisa é certa: as redes de anúncio precisam se moldar para atender as novas necessidades de segurança do usuário, caso contrário 2016 pode ser lembrado como o ano no qual um grande caso de Malvertising afetou milhões de nós em um só golpe.
4. Desculpe, mas as senhas não vão a lugar nenhum!
Senhas são um conceito, não uma tecnologia, e ainda estarão entre nós por muitos anos. A grande maioria de nós ainda usa para muitas atividades, seja na vida privada ou no trabalho. Mas mesmo que a senha não vá desaparecer em 2016, isso não significa que ela é perfeita e que não devemos pensar em alternativas.
Esse ano o Yahoo anunciou uma solução de segurança que usa recursos mobile além da senha para autorizar o acesso, e também vimos o Google incluir funcionalidades de Smart Lock que podem usar a presença de outro dispositivo para desbloquear seu smartphone.
Um conceito de controle em grande crescimento, e muito útil é a autenticação em duas etapas (two-factor authentication) e continuará a se popularizar para o uso de recursos na nuvem. Se for oferecida, é altamente recomendável, principalmente se você não tem os melhores hábitos na hora de escolher senhas.
Além disso, senhas são gratuitas. Qualquer outra solução oferecida como alternativa geralmente vem com um custo – seja um custo em tecnologia ou em complexidade, e é por isso que as senhas estão aqui para ficar.
Entretanto, em 2016, fraquezas associadas às senhas, como a reutilização ou a armazenagem incorreta, sem dúvida irão continuar, e esperamos manter o consumidor e as empresas cientes e educados sobre os riscos para que possamos lidar com esse problema da melhor forma.
5. IoT – a necessidade de segurança atingirá o ponto de ebulição
Embora pareça divertido possuir uma cafeteira com WiFi habilitado, que permite controlar a produção do seu café pelo smartphone, sem mesmo ter que sair da cama, a mesma cafeteira tem o poder de fornecer sua senha de Wi-fi . E esse é só um exemplo de falha de segurança muito comum em soluções pensadas por designers, não por desenvolvedores de sistema.
Todo aparelho ou aplicativo sem proteção -Smart TV e rádio, sistemas de iluminação e segurança, as geladeiras “inteligentes” e os carros “auto-conduzíveis” – tudo o que pode ser conectado pode te abrir ao hacking. Cibercriminosos estão sondando o hardware, a digitalização das ondas, e colhendo senhas e outros dados de identificação pessoal de onde quer que consigam.
O perigo desse novo e aberto mundo IoT é agravado com a nova era da tecnologia. A maioria de nós já configurou computadores e dispositivos móveis para atualizações automáticas, mas ninguém está pensando sobre manter os aplicativos domésticos seguros e usando sempre a versão mais recente. Precisamos ver esses equipamentos e aplicações como um computador e protege-los da mesma forma como fazemos hoje com PCs e celulares.
Continuaremos a ver, nos próximos anos, muitos aparelhos estranhos conectados à internet sem uma preocupação real dos designers com a segurança, e o problema tende a aumentar porque muitas fabricantes não pararam para analisar os riscos que esses dispositivos conectados podem representar.
Pensando sob a perspectiva de uma empresa, por exemplo, ao comprar uma smart-cafeteira nenhum funcionário vai hoje questionar a área de TI sobre o assunto. Por isso, para nos mantermos seguros, precisamos redefinir como pensamos e entendemos esses aparelhos em um nível fundamental.
6. Atualização ou morte!
Atualizar todos os seus softwares, devices, gadgets e equipamentos nunca foi tão importante – e será uma questão de vida ou morte em 2016.
Fabricantes de carros auto-conduzíveis, como o Google, já anteciparam que irão assumir a responsabilidade por infrações de trânsito, e também por possíveis acidentes e danos causados por seus carros – um pequeno conforto, já que você pode morrer por ter esquecido de atualizar o seu carro para o software mais recente!
Conforme sistemas inteligentes começam a permear nossas vidas de maneiras ainda inimagináveis, esses mesmos softwares podem tomar uma decisão que potencialmente coloque sua vida em perigo. Se tornará fundamental garantir a atualização deles e de todos os seus aparelhos, pois sua vida pode depender disso. Ok, talvez não em 2016, mais certamente nos próximos anos!
[blockquote style=”2″]Acreditamos que, mais importante do que oferecer ferramentas de segurança da informação, é preciso educar sempre o usuário para os perigos da rede, questões sobre privacidade e também sobre como tirar o melhor de cada aparelho conectado”, explica Leandro Mantovam, Country Manager da AVG no Brasil. “[/blockquote]
Por isso estas previsões tem como intuito alertar e despertar o senso crítico do usuário comum para as questões de segurança da informação que permeiam nosso dia a dia”.
Michael McKinnon, CISSP | Social Media & Security Awareness Director at AVG Technologies
Leandro Mantovam | SMB Sales Director at AVG Technologies