Os brindes, triunfos e as maiores vitórias de segurança do ano
À medida que 2022 chega ao fim, o O Daily Swig está revisitando algumas das vitórias de segurança na web mais notáveis do ano e falhas flagrantes de infosec.
Ontem, apresentamos as maiores falhas do ano – os desastres de segurança, calamidades da indústria e o surgimento de vulnerabilidades tão estúpidas que vão faça você revirar os olhos.
Hoje, estamos comemorando os tempos em que organizações, governos e a comunidade de segurança da informação demonstraram habilidade, julgamento e compromisso louváveis para proteger melhor a esfera cibernética em 2022.
Mudanças do CCFA
Este ano houve um grande progresso na proteção do hacking ético contra consequências legais injustas. As leis atuais em todo o mundo geralmente permitem processar pesquisadores de segurança motivados a proteger, em vez de prejudicar os usuários, criando riscos para os hackers éticos no decorrer de seu trabalho.
Nos EUA, o Departamento de Justiça (DoJ) anunciou que não processará mais pesquisadores de segurança que agem de “boa fé” em uma revisão histórica de sua política em relação às leis de crimes de computador.
A emenda, anunciada em May, estabeleceu mudanças nos critérios de acusação sob a Lei de Abuso e Fraude de Computador (CFAA).
A boa-fé neste caso refere-se a um indivíduo acessando um computador apenas para fins de teste de boa-fé, investigação ou correção de uma falha de segurança ou vulnerabilidade.
RELACIONADO Segurança estúpida 2022 – falha na infosec deste ano
Descriminalização dos hackers éticos do Reino Unido
Do outro lado do oceano, legisladores do Reino Unido propuseram uma emenda à Segurança do produto e Infraestrutura de Telecomunicações (PSTI) em junho, que daria aos profissionais de segurança cibernética uma defesa legal para suas atividades sob a Lei de Uso Indevido de Computadores (CMA).
Os críticos argumentam que a lei, que entrou em vigor em 1990, está desatualizado e processa indevidamente pesquisadores de segurança, hackers éticos e pen testers que procuram ou relatam vulnerabilidades de forma responsável.
Ativistas continuam pedindo esclarecimentos legais sobre atividades legítimas de hackers, que eles argumentam incluir pesquisa de vulnerabilidade responsável e divulgação, inteligência de ameaças proporcional, melhor prática de varredura na Internet, enumeração, uso de open d listas de diretórios e honeypots.
O governo do Reino Unido continua conversando sobre as mudanças propostas na lei. Um pedido de informações foi encerrado em setembro.
Facilitando a divulgação
Também houve progresso em ajudar os pesquisadores de segurança a tornar o processo de divulgação de vulnerabilidades mais tranquilo.
HackerOne encorajou os clientes a adotar sua nova política padrão, lançada em novembro, que vai além para proteger os hackers de problemas legais.
O acordo Gold Standard Safe Harbor “é uma declaração de porto seguro curta, ampla e de fácil compreensão que é simples para os clientes adotarem”, disse HackerOne.
“Essa padronização também reduz a carga dos hackers para analisar várias instruções de programas diferentes.”
Acompanhe as últimas notícias sobre recompensas de bugs
Enquanto isso, os mantenedores de repositórios de código aberto agora pode receber relatórios de vulnerabilidade privados, corrigi-los e emitir CVEs via GitHub, a plataforma de desenvolvimento de software de propriedade da Microsoft anunciada no GitHub Universe con conferência em novembro.
As notícias caíram bem com pelo menos um profissional de infosec, com pesquisador de vulnerabilidade e The Daily Swig entrevistado Alex Chapman ligando é um “recurso incrível”.
Em defesa da Ucrânia
A invasão russa da Ucrânia dominou as manchetes este ano e, à medida que indivíduos em todo o mundo se aproximaram para ajudar, o mesmo aconteceu com a comunidade de hackers.
Em março, Hackers Without Borders ( HWB), uma organização não governamental (ONG) com sede em Genebra, foi lançada para oferecer assistência de segurança de informações de emergência a outras ONGs e provedores de serviços críticos afetados por conflitos em todo o mundo.
Equipada por hackers voluntários e especialistas em segurança de informações, a organização ajuda indivíduos ou organizações a lidar com as consequências de ataques cibernéticos, proteja-os de novos ataques e reforce sua resiliência cibernética – gratuitamente.
Em uma entrevista com The Daily Swig, co-fundador Florent Curtet disse: “Estamos aqui para ser como bombeiros para pessoas, empresas, instituições que não têm dinheiro, habilidades ou informações para se proteger das ameaças digitais de hoje.”
Também falando em defesa de Ucrânia, Mikko Hyppönen, da WithSecure, disse aos participantes da primeira conferência da empresa de segurança cibernética este ano que “a Rússia está tentando, mas está falhando em grande parte. ng”, em seus esforços para iniciar a guerra cibernética.
Falando na Sphere 2022 na vizinha Finlândia, Hyppönen disse: “Tomar uma posição aqui é realmente simples, é realmente óbvio. Acho que todos nós escolhemos ficar com a Ucrânia. Nós escolhemos ficar com a democracia, e nós escolhemos ficar contra o mal.”
De volta ao Hacker Summer Camp
Este ano viu o retorno das conferências presenciais, em particular Black Hat , que foi realizado online em anos anteriores devido à pandemia de coronavírus.
Em maio, os participantes do Black Hat Asia em Cingapura ouviram palestrador principal Samir Aran alertam que “para que a democracia sobreviva, a tecnologia terá que ser domada”.
No Black Hat USA, realizado em Las Vegas em agosto, o ex-diretor do CISA Chris Krebs também falou sobre as tensões geopolíticas, instando organizações em todo o mundo a reforçar sua infraestrutura online em meio às tensões de Taiwan.
E no Black Hat Europe, realizado em Londres em novembro, o renomado pesquisador de segurança Daniel Cuthbert < a href="https://portswigger.net/daily-swig/black-hat-europe-2022-a-defendable-internet-is-possible-but-only-with-industry-makeover" target="_blank" rel ="noopener">disse aos participantes que uma internet defensável é possível – “mas apenas com a reformulação da indústria”.
O co nferences também viu o lançamento de vários ferramentas de hacking criadas pela comunidade para a comunidade.
Protegendo o ecossistema de código aberto
Finalmente, esforços para proteger a cadeia de suprimentos de código aberto foram aumentados para 2022, com uma série de novas iniciativas lançadas.
O O esquema Secure Open Source Rewards (SOS.dev) foi criado para recompensar desenvolvedores e pesquisadores de segurança que fazem melhorias para infraestrutura crítica baseada em tecnologia de código aberto.
O programa irá “reforçar projetos críticos de código aberto” e ajudar a proteger contra ataques de aplicativos e cadeia de suprimentos de software, incentivando pesquisadores e desenvolvedores a sugerir melhorias de segurança.
< p>As recompensas variam de $ 505 para pequenas melhorias até $ 10.000 ou mais para “melhorias complicadas, de alto impacto e duradouras que quase certamente evitam grandes vulnerabilidades”.
A Open Source Security Foundation (OpenSSF) também lançou um projeto para melhorar a segurança do ecossistema de software de código aberto, apoiado por um investimento de US$ 5 milhões da Microsoft e do Google.
E uma cúpula realizada no Casa Branca resultou em um plano para proteger melhor a cadeia de suprimentos de software do governo, após a Log4j inc ident em 2021.