Há pouco tempo atrás tivemos a divulgação do “furacão” chamado Heartbleed, que é uma falha na implementação de alguns quesitos de segurança do OpenSSL que possibilitava a captura e o entendimento do tráfego que deveria estar encriptado. Em uma notícia recente mostra-se que até hoje, alguns meses depois dessa vulnerabilidade ser publicada, ainda há milhares de servidores desatualizados.
Recentemente, veio à tona o Bashdoor, também conhecido como “Bash bug” ou simplesmente Shellshock. É uma falha de segurança no bash descoberta recentemente (12 de Setembro de 2014). Este shell é largamente utilizado por sistemas Unix-like e, portanto, a falha afetou de cara milhões de sistemas que usam variantes *Nix, como Linux, Mac OS X e muitos outros. Como muitos serviços de Internet, como servidores web, usam o bash para processar comandos a falha pode ser utilizada para invasão ou recusa de sistema remotos. Ataques DDoS já foram realizados usando o shellshock, causando grande estrago.
Já foram lançadas algumas correções para o problema, mas os atacantes já conseguiram (até o momento que esta coluna foi escrita) maneiras de burlá-las. Lendo sobre o impacto desta falha, imagine o seguinte então: qual o risco para serviços de instituições financeiras e governos, que não corrigiram nem o problema do Heartbleed?
O que o Heartbleed e o Shellshock tem em comum? São falhas velhas – de fato, muito velhas. Por que elas só foram divulgadas agora, se afetam a anos os sistemas?
Temos duas possibilidades: a primeira é a de que, mesmo sendo problemas relativamente básicos de se detectar, tenham passado batido pela enorme comunidade de segurança.
A segunda, na minha opinião mais palpável, é a de que essas vulnerabilidades (assim como muitas outras não divulgadas) já foram descobertas a tempos. Por que então não foram reveladas? A resposta é simples: neste nosso mundo cada vez mais conectado, uma falha 0-day (não divulgada) possui o poder de ataque uma arma de destruição em massa e o nível de barulho de uma pistola com silenciador.
Quando o escândalo da espionagem americana, realizado pela NSA, estourou no ano passado muitos ficaram imaginando como seria possível que eles capturassem tantos dados. Assim como vira e mexe aparecem notícias sobre crackers chineses causando estrago em algum sistema desavisado por aí. Estamos vivendo um período de guerra cibernética, e o País que sair na frente é justamente o que tiver as melhores armas – ou as melhores falhas 0-day.
Portanto, não é que esses problemas sejam recentes – é de que não é de interesse de muitos a divulgação dos mesmos. Você abriria mão de uma vantagem estratégica que lhe permitisse monitorar de forma praticamente oculta as possíveis ameaças contra o seu governo ou instituição? Algumas empresas, como a do ex-hacker Kevin Mitnick ,estão vendendo falhas “inéditas” a preços exorbitantes. Perigoso, não?
Um profissional de Segurança da Informação não é treinado de forma eficaz contra esse tipo de problema. Claro, ele aprende sobre mitigação de Riscos, mas são riscos conhecidos. É diferente para o indivíduo que saiba realizar um Penetration Test e consegue descobrir vulnerabilidades, em vez de só saber como corrigí-las.
Se acompanharmos notícias recentes, vemos que cada vez mais profissionais de Ethical Hacking são requisitados. Temos uma diferença entre o Hacker Ético “comum”, e o Vulnerability Researcher. O primeiro, que é o modelo seguido pela certificação CEH, treina um indivíduo para conhecer técnicas básicas e utilizar ferramentas para identificar falhas já existentes. O segundo tipo, “Pesquisador de Vulnerabilidades”, é aquele cara que tem conhecimentos profundos em redes, sistemas operacionais, programação e principal na arte do debugging para detectar novas “Falhas do Dia 0”.
Basta pesquisar quanto o Google, Facebook ou Microsoft pagam para quem descobre novas falhas em seus produtos para ver o quanto esse profissional é reconhecido. Só que ele é raro – muito raro.
Com governos estrangeiros cada vez mais abraçando tais profissionais com cargos e salários muito convidativos, o que será de nossa segurança nacional “cibernética”? Não é hora de investir em nossos próprios Power Rangers?
[Crédito da Imagem: Vulnerabilidade – ShutterStock]
Excelente artigo. Simples, direto e bem explicativo. Parabéns!