Escolha uma Página
Um fato e uma análise mostram como estamos cada vez mais tão dependentes da  tecnologia da informação, a ponto de nem nos darmos conta:
Hotel paga resgate a hackers quando – hóspedes ficam bloqueados fora dos quartos.
Porque os programas de informática são vulneráveis, os usuários precisam se informar a respeito.
 
Romantik Seehotel Jaegerwirt, um luxuoso hotel de 4 estrelas com um belo cenário à beira do lago no Alpine Turracher Hoehe Pass, na Áustria, dispõe de um moderno sistema de tecnologia de informática que inclui cartões-chave para as portas do hotel. Os cibercriminosos, em seu terceiro ataque ao hotel, dessa vez conseguiram derrubar todo o sistema de chaves. Os hóspedes não conseguiam mais entrar em seus quartos.
 
A gerência do hotel disse que este tipo de crime tende a piorar. Colegas já sofreram o mesmo ataque. Os hackers prometeram restaurar o sistema rapidamente se redeessem 1.500 EUR (1.272 GBP) em Bitcoin.
 
Usaro Bitcoin para atividades cibercriminosas está se tornando cada vez mais comum, já que rastrear os pagamentos é muito mais difícil, devido à forma como a criptocorrência funciona.
 
O diretor Christoph Brandstaetter disse: “O hotel estava totalmente reservado com 180 hóspedes, não tínhamos outra escolha, nem a polícia nem o seguro ajudam neste caso”. “Nós não recebemos nenhum dinheiro do seguro até agora, porque nenhum dos culpados pode ser encontrado.”
 
De acordo com o hotel, os hackers deixaram uma porta aberta no sistema, e tentaram atacar os sistemas novamente.
 
Artigo original de Koen Berghuis, no jornal austríaco The Local
 Quebra de Classes
 
Há um conceito de segurança de informática conhecido como intervalo de classes. É uma vulnerabilidade de segurança específica que quebra não apenas um sistema, mas uma classe inteira de sistemas. Exemplos podem ser uma vulnerabilidade em um sistema operacional específico, que permite que um invasor assuma o controle remoto de cada computador que é executado no software desse sistema. Ou gravadores de vídeo digitais e webcams habilitados para Internet, que permitem a um invasor recrutar esses dispositivos em um botnet maciço.
 
É uma maneira particular pela qual os sistemas de computadores podem falhar, exacerbada pelas características dos computadores e do software. Basta uma pessoa inteligente descobrir como atacar o sistema. Uma vez que ele tenha feito isso, ele pode criar um software que automatize seu ataque. Ele pode fazer isso através da Internet, de forma que não tem que estar perto de sua vítima. Ele pode automatizar seu ataque para que funcione enquanto ele dorme. E então ele pode passar essa habilidade para alguém – ou para muitas pessoas – sem a capacidade. Isso muda a natureza das falhas de segurança, e subverte completamente como precisamos nos defender deles.
 
Um exemplo: Escolher uma fechadura de porta mecânica requer habilidade e tempo. Cada fechadura é um trabalho novo, e o sucesso de uma fechadura não garante o sucesso de outra do mesmo tipo. Fechaduras de porta eletrônicas, como as que você agora encontra em quartos de hotel, têm diferentes vulnerabilidades. Um atacante pode encontrar uma falha no projeto que lhe permite criar um cartão-chave que abre todas as portas. Se ele publica seu software de ataque, não apenas o atacante, mas qualquer pessoa pode agora abrir todas as fechaduras. E se essas fechaduras estiverem conectadas à Internet, os invasores podem, potencialmente, abrir fechaduras remotamente – eles poderiam abrir todas as fechaduras remotamente, ao mesmo tempo. Isso é uma quebra de classe.
 
É como os sistemas de computador falham, mas não é como pensamos a respeito de falhas. Ainda pensamos em segurança de automóvel em termos de ladrões de carro roubando, individualmente, carros. Não pensamos em hackers assumindo, remotamente, o controle de carros através da Internet. Ou, desativando remotamente cada carro pela Internet. Pensamos na fraude eleitoral como indivíduos não autorizados que tentam votar. Não pensamos em uma única pessoa ou organização manipulando, remotamente, milhares de máquinas de votação conectadas à Internet.
 
Em certo sentido, as quebras de classe não são um novo conceito na gestão de riscos. É a diferença entre assaltos a casa e incêndios, que ocorrem ocasionalmente a diferentes casas em um bairro ao longo do ano, e inundações e terremotos, que, ou acontecem com todos no bairro, ou não acontecem com ninguém. Companhias de seguros podem lidar com ambos os tipos de risco, mas eles são inerentemente diferentes. A crescente informatização de tudo está nos movendo de um modelo de risco de roubo/incêndio para um modelo de inundação/terremoto, em que uma determinada ameaça, ou afeta todos na cidade, ou não acontece de forma alguma.
 
Mas há uma diferença fundamental entre inundações/terremotos e rupturas de classe em sistemas de computadores: os primeiros são fenômenos naturais aleatórios, enquanto o segundo é dirigido por seres humanos. As inundações não alteram seu comportamento para maximizar seus danos com base nos tipos de defesas que construímos. Atacantes fazem isso com os sistemas de computador. Os atacantes examinam os nossos sistemas, procurando quebras de classe. E uma vez que um deles encontre uma, eles vão explorá-la repetidaamente até que a vulnerabilidade seja corrigido.
 
À medida que entramos no mundo da Internet das Coisas, onde os computadores permeiam nossas vidas em todos os níveis, as quebras de classe se tornarão cada vez mais importantes. A combinação da automação e da ação a distância darão aos atacantes mais poder e alavancagem do que nunca. Noções de segurança como o princípio da precaução – onde o potencial de dano é tão grande que pecamos pelo excesso ao não implementar uma nova tecnologia, sem provas de segurança – se tornará mais importante em um mundo onde um atacante pode abrir todas as fechaduras ou ou suspender todas as usinas. Não é um mundo inerentemente menos seguro, mas é um mundo segurançao de forma diferente. É um mundo onde carros sem motorista são muito mais seguros do que carros dirigidos por pessoas, até que, de repente, não sejam. Precisamos construir sistemas que assumam a possibilidade de quebras de classe – e manter a segurança apesar deles.
 
Este ensaio originalmente apareceu em Edge.org como parte de sua pergunta anual.
 
Este ano foi: “Que termo ou conceito científico ou conceito everia ser mais amplamente conhecido?”