Redes & Telecom

Ξ 1 comentário

Choque Cardíaco – Por que falhas antigas como o Shellshock e o Heartbleed só estão aparecendo agora?

publicado por Marcos Flávio Araújo Assunção

Choque Cardíaco - Por que falhas antigas como o Shellshock e o Heartbleed só estão aparecendo agora?Há pouco tempo atrás tivemos a divulgação do “furacão” chamado Heartbleed, que é uma falha na implementação de alguns quesitos de segurança do OpenSSL que possibilitava a captura e o entendimento do tráfego que deveria estar encriptado. Em uma notícia recente mostra-se que até hoje, alguns meses depois dessa vulnerabilidade ser publicada, ainda há milhares de servidores desatualizados.

Recentemente, veio à tona o Bashdoor, também conhecido como “Bash bug” ou simplesmente Shellshock. É uma falha de segurança no bash descoberta recentemente (12 de Setembro de 2014). Este shell é  largamente utilizado por sistemas Unix-like e, portanto, a falha afetou de cara  milhões de sistemas que usam variantes *Nix, como Linux, Mac OS X e muitos outros. Como muitos serviços de Internet, como servidores web, usam o bash para processar comandos a falha pode ser utilizada para invasão ou recusa de sistema remotos. Ataques DDoS já foram realizados usando o shellshock, causando grande estrago.

Já foram lançadas algumas correções para o problema, mas os atacantes já conseguiram (até o momento que esta coluna foi escrita) maneiras de burlá-las. Lendo sobre o impacto desta falha, imagine o seguinte então: qual o risco para serviços de instituições financeiras e governos, que não corrigiram nem o problema do Heartbleed?

O que o Heartbleed e o Shellshock tem em comum? São falhas velhas – de fato, muito velhas. Por que elas só foram divulgadas agora, se afetam a anos os sistemas?

Temos duas possibilidades: a primeira é a de que, mesmo sendo problemas relativamente básicos de se detectar, tenham passado batido pela enorme comunidade de segurança.

A segunda, na minha opinião mais palpável, é a de que essas vulnerabilidades (assim como muitas outras não divulgadas) já foram descobertas a tempos. Por que então não foram reveladas? A resposta é simples: neste nosso mundo cada vez mais conectado, uma falha 0-day (não divulgada) possui o poder de ataque uma arma de destruição em massa e o nível de barulho de uma pistola com silenciador.

Quando o escândalo da espionagem americana, realizado pela NSA, estourou no ano passado muitos ficaram imaginando como seria possível que eles capturassem tantos dados. Assim como vira e mexe aparecem notícias sobre crackers chineses causando estrago em algum sistema desavisado por aí. Estamos vivendo um período de guerra cibernética, e o País que sair na frente é justamente o que tiver as melhores armas – ou as melhores falhas 0-day.

Portanto, não é que esses problemas sejam recentes – é de que não é de interesse de muitos a divulgação dos mesmos. Você abriria mão de uma vantagem estratégica que lhe permitisse monitorar de forma praticamente oculta as possíveis ameaças contra o seu governo ou instituição? Algumas empresas, como a do ex-hacker Kevin Mitnick ,estão vendendo falhas “inéditas” a preços exorbitantes. Perigoso, não?

Um profissional de Segurança da Informação não é treinado de forma eficaz contra esse tipo de problema. Claro, ele aprende sobre mitigação de Riscos, mas são riscos conhecidos. É diferente para o indivíduo que saiba realizar um Penetration Test e consegue descobrir vulnerabilidades, em vez de só saber como corrigí-las.

Se acompanharmos notícias recentes, vemos que cada vez mais profissionais de Ethical Hacking são requisitados. Temos uma diferença entre o Hacker Ético “comum”, e o Vulnerability Researcher. O primeiro, que é o modelo seguido pela certificação CEH, treina um indivíduo para conhecer técnicas básicas e utilizar ferramentas para identificar falhas já existentes. O segundo tipo, “Pesquisador de Vulnerabilidades”, é aquele cara que tem conhecimentos profundos em redes, sistemas operacionais, programação e principal na arte do debugging para detectar novas “Falhas do Dia 0”.

Basta pesquisar quanto o Google, Facebook ou Microsoft pagam para quem descobre novas falhas em seus produtos para ver o quanto esse profissional é reconhecido. Só que ele é raro – muito raro.

Com governos estrangeiros cada vez mais abraçando tais profissionais com cargos e salários muito convidativos, o que será de nossa segurança nacional “cibernética”? Não é hora de investir em nossos próprios Power Rangers?

[Crédito da Imagem: Vulnerabilidade – ShutterStock]

Autor

Analista de vulnerabilidades, empresário, professor universitário e palestrante. Hacker Ético Certificado com 9 livros publicados sobre segurança digital. Email: mflavio@defhack.com LinkedIn: http://br.linkedin.com/in/mflavio2k/

Marcos Flávio Araújo Assunção

Comentários

1 Comment

  • Excelente artigo. Simples, direto e bem explicativo. Parabéns!

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes