segunda-feira, 13 de outubro de 2014

Novas falhas antigas: A necessidade de nos preocuparmos com falhas de segurança que aparecem há muito tempo



Tento sempre focar em minha coluna aqui na comunidade a necessidade de se preocupar primeiramente com a Segurança da aplicação ou do recurso antes da funcionalidade da mesma, ou de realizar a integração entre aplicações distintas. Existe uma razão para isso: com todas as aplicações sendo integradas em ambientes web, os pontos de falha tornam-se maiores a partir que um número cada vez maior de variáveis é considerado.



Para exemplificar: pouco tempo atrás tivemos a divulgação do “furacão” chamado Heartbleed, que é uma falha na implementação de alguns quesitos de segurança do OpenSSL que possibilitava a captura e o entendimento do tráfego que deveria estar encriptado. Em uma notícia recente mostra-se que até hoje, alguns meses depois dessa vulnerabilidade ser publicada, ainda há milhares de servidores desatualizados.

Um pouco mais recente, tivemos também a notícia sobre o Bashdoor, também conhecido como “Shellshock”. É uma falha de segurança descoberta recentemente . Este shell é largamente utilizado por sistemas Unix-like e, portanto, a falha afetou de cara milhões de sistemas que usam variantes *Nix, como Linux, Mac OS X e muitos outros. Como muitos serviços de Internet, como servidores web, usam o bash para processar comandos a falha pode ser utilizada para invasão ou recusa de sistema remotos. Ataques DDoS já foram realizados usando o shellshock, causando grande estrago.

Já foram lançadas algumas correções para o problema, mas os atacantes já conseguiram (até o momento que esta coluna foi escrita) maneiras de burlá-las. Lendo sobre o impacto desta falha, imagine o seguinte então: qual o risco para serviços de instituições financeiras e governos, que não corrigiram nem o problema do Heartbleed?

O que o Heartbleed e o Shellshock tem em comum? São falhas velhas – de fato, muito velhas. Por que elas só foram divulgadas agora, se afetam há anos os sistemas?

Temos duas possibilidades: a primeira é a de que, mesmo sendo problemas relativamente básicos de se detectar, tenham passado batido pela enorme comunidade de segurança.

A segunda, na minha opinião mais palpável, é a de que essas vulnerabilidades (assim como muitas outras não divulgadas) já foram descobertas há tempos. Por que então não foram reveladas? A resposta é simples: neste nosso mundo cada vez mais conectado, uma falha nova, ainda não divulgada, possui o poder de ataque uma arma de destruição em massa e o nível de barulho de um silenciador..

Não é que esses problemas sejam recentes – é de que não é de interesse de muitos a divulgação dos mesmos. Você abriria mão de uma vantagem estratégica que lhe permitisse monitorar de forma praticamente oculta as possíveis ameaças contra o seu governo ou instituição? Algumas empresas, como a do ex-hacker Kevin Mitnick ,estão vendendo falhas “inéditas” a preços exorbitantes. Perigoso, não?

Um profissional de Segurança da Informação não é treinado de forma eficaz contra esse tipo de problema. Claro, ele aprende sobre mitigação de Riscos, mas são riscos conhecidos. É diferente para o indivíduo que saiba realizar um Penetration Test e consegue descobrir vulnerabilidades, em vez de só saber como corrigí-las.

Se acompanharmos notícias recentes, vemos que cada vez mais profissionais de Ethical Hacking são requisitados. Temos uma diferença entre o Hacker Ético “comum”, e o Vulnerability Researcher. O primeiro, que é o modelo seguido pela certificação CEH, treina um indivíduo para conhecer técnicas básicas e utilizar ferramentas para identificar falhas já existentes. O segundo tipo, “Pesquisador de Vulnerabilidades”, é aquele cara que tem conhecimentos profundos em redes, sistemas operacionais, programação e principal na arte do debugging para detectar novas “Falhas do Dia 0”.

Basta pesquisar quanto o Google, Facebook ou Microsoft pagam para quem descobre novas falhas em seus produtos para ver o quanto esse profissional é reconhecido. Só que ele é raro – muito raro.

Não seria hora de aprendermos a valorizar melhor estes raros profissionais e reconhecer a profissão de Hacker Ético como mais do que uma mera "brincadeira adolescente"?

Nenhum comentário :

Postar um comentário