Redes & TelecomChoque Cardíaco - Por que falhas antigas como o...

Choque Cardíaco – Por que falhas antigas como o Shellshock e o Heartbleed só estão aparecendo agora?

-

Publicidade

Choque Cardíaco - Por que falhas antigas como o Shellshock e o Heartbleed só estão aparecendo agora?Há pouco tempo atrás tivemos a divulgação do “furacão” chamado Heartbleed, que é uma falha na implementação de alguns quesitos de segurança do OpenSSL que possibilitava a captura e o entendimento do tráfego que deveria estar encriptado. Em uma notícia recente mostra-se que até hoje, alguns meses depois dessa vulnerabilidade ser publicada, ainda há milhares de servidores desatualizados.

Recentemente, veio à tona o Bashdoor, também conhecido como “Bash bug” ou simplesmente Shellshock. É uma falha de segurança no bash descoberta recentemente (12 de Setembro de 2014). Este shell é  largamente utilizado por sistemas Unix-like e, portanto, a falha afetou de cara  milhões de sistemas que usam variantes *Nix, como Linux, Mac OS X e muitos outros. Como muitos serviços de Internet, como servidores web, usam o bash para processar comandos a falha pode ser utilizada para invasão ou recusa de sistema remotos. Ataques DDoS já foram realizados usando o shellshock, causando grande estrago.

Já foram lançadas algumas correções para o problema, mas os atacantes já conseguiram (até o momento que esta coluna foi escrita) maneiras de burlá-las. Lendo sobre o impacto desta falha, imagine o seguinte então: qual o risco para serviços de instituições financeiras e governos, que não corrigiram nem o problema do Heartbleed?

O que o Heartbleed e o Shellshock tem em comum? São falhas velhas – de fato, muito velhas. Por que elas só foram divulgadas agora, se afetam a anos os sistemas?

Temos duas possibilidades: a primeira é a de que, mesmo sendo problemas relativamente básicos de se detectar, tenham passado batido pela enorme comunidade de segurança.

A segunda, na minha opinião mais palpável, é a de que essas vulnerabilidades (assim como muitas outras não divulgadas) já foram descobertas a tempos. Por que então não foram reveladas? A resposta é simples: neste nosso mundo cada vez mais conectado, uma falha 0-day (não divulgada) possui o poder de ataque uma arma de destruição em massa e o nível de barulho de uma pistola com silenciador.

Quando o escândalo da espionagem americana, realizado pela NSA, estourou no ano passado muitos ficaram imaginando como seria possível que eles capturassem tantos dados. Assim como vira e mexe aparecem notícias sobre crackers chineses causando estrago em algum sistema desavisado por aí. Estamos vivendo um período de guerra cibernética, e o País que sair na frente é justamente o que tiver as melhores armas – ou as melhores falhas 0-day.

Portanto, não é que esses problemas sejam recentes – é de que não é de interesse de muitos a divulgação dos mesmos. Você abriria mão de uma vantagem estratégica que lhe permitisse monitorar de forma praticamente oculta as possíveis ameaças contra o seu governo ou instituição? Algumas empresas, como a do ex-hacker Kevin Mitnick ,estão vendendo falhas “inéditas” a preços exorbitantes. Perigoso, não?

Um profissional de Segurança da Informação não é treinado de forma eficaz contra esse tipo de problema. Claro, ele aprende sobre mitigação de Riscos, mas são riscos conhecidos. É diferente para o indivíduo que saiba realizar um Penetration Test e consegue descobrir vulnerabilidades, em vez de só saber como corrigí-las.

Se acompanharmos notícias recentes, vemos que cada vez mais profissionais de Ethical Hacking são requisitados. Temos uma diferença entre o Hacker Ético “comum”, e o Vulnerability Researcher. O primeiro, que é o modelo seguido pela certificação CEH, treina um indivíduo para conhecer técnicas básicas e utilizar ferramentas para identificar falhas já existentes. O segundo tipo, “Pesquisador de Vulnerabilidades”, é aquele cara que tem conhecimentos profundos em redes, sistemas operacionais, programação e principal na arte do debugging para detectar novas “Falhas do Dia 0”.

Basta pesquisar quanto o Google, Facebook ou Microsoft pagam para quem descobre novas falhas em seus produtos para ver o quanto esse profissional é reconhecido. Só que ele é raro – muito raro.

Com governos estrangeiros cada vez mais abraçando tais profissionais com cargos e salários muito convidativos, o que será de nossa segurança nacional “cibernética”? Não é hora de investir em nossos próprios Power Rangers?

[Crédito da Imagem: Vulnerabilidade – ShutterStock]

Marcos Flávio Araújo Assunçãohttp://www.defhack.com.br
Analista de vulnerabilidades, empresário, professor universitário e palestrante. Hacker Ético Certificado com 9 livros publicados sobre segurança digital.Email: mflavio@defhack.com LinkedIn: http://br.linkedin.com/in/mflavio2k/

1 COMMENT

Latest news

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial na transformação dos Prestadores de Serviços Gerenciados (MSPs). Mais do...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.

Cibersegurança como pilar da resiliência empresarial: a abordagem estratégica dos MSPs

Na última década, a segurança cibernética deixou de ser um tema restrito às áreas de TI para se tornar...

ADDEE traz HaloPSA ao Brasil, apostando na eficiência para MSPs

Plataforma de atendimento e automação promete otimizar a gestão de serviços com funcionalidades integradas para todo o ciclo de vida...
Publicidade

Plano de conteúdo para redes sociais: o que divulgar sendo uma empresa de TI?

Não encontrar o conteúdo certo para a rede social da sua empresa é um problema que está perto de acabar. Acesse e conheça o Plano de Conteúdo!

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Must read

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.
- Advertisement -

You might also likeRELATED
Recommended to you