Quando uma atualização é divulgada, um criminoso utiliza uma técnica chamada engenharia reversa para descobrir qual foi o erro corrigido. Ele faz isso para conseguir explorar o problema nos sistemas dos usuários que, por algum motivo, não instalaram a atualização.
Uma brecha dia zero, porém, é aquela que ficou sendo conhecida publicamente antes mesmo que o desenvolvedor do software (ou hardware) lançasse uma atualização para corrigi-la.
Pesquisadores de segurança éticos avisam as empresas antes de divulgarem qualquer informação a respeito de um problema de segurança. Assim, os detalhes que permitiriam que a brecha fosse explorada são apenas conhecidos pelo desenvolvedor, pelo menos até o dia em que a atualização for publicada.
No entanto, criminosos não têm interesse em melhorar a segurança dos programas, mas apenas explorar os erros que existem. Por isso, em vez de avisar a empresa ou indivíduo responsável, eles irão tentar usar a falha para ganho próprio. Assim, a vulnerabilidade estará sendo explorada antes mesmo que uma correção esteja disponível. A falha então vira "dia zero".
Em outros casos, um pesquisador de segurança pode decidir publicar as informações técnicas detalhadas de uma brecha que ele descobriu. Isso pode acontecer porque o pesquisador não gostou do tratamento que recebeu da empresa em casos anteriores, não conseguiu contato com a equipe de segurança, ou simplesmente quer ganhar atenção, por exemplo. Nesse caso, os detalhes da brecha estarão disponíveis para que um malfeitor utilize. A brecha também recebe o nome de "dia zero".
O primeiro caso – quando a brecha é descoberta pelo desenvolvedor com ela já em uso por criminosos – é certamente mais preocupante. E foi justamente assim com os problemas no Reader e no PowerPoint corrigidos na semana passada. Arquivos maliciosos nos formatos PDF e PPT capazes de instalar vírus nos sistemas que usam esses programas foram encontrados em computadores infectados, sem que nenhuma informação ou solução a respeito do problema estivesse disponível publicamente na web.
Tanto em um caso como no outro, o desenvolvedor precisa correr contra o tempo para lançar uma atualização que elimine a vulnerabilidade. As informações técnicas disponibilizadas pelos pesquisadores são geralmente suficientes para o desenvolvimento do “exploit” – o código malicioso que explora a falha, ou seja, mesmo que o problema ainda não esteja sendo usado por criminosos, isso provavelmente não irá demorar para acontecer.
>>>> Como se proteger
Brechas dia zero são um grande risco, especialmente para empresas e governo, que podem ser alvos de ataques de espionagem. E é muito difícil lutar contra o desconhecido.
Desenvolvedores de sistema como a Microsoft têm adicionado recursos aos programas que dificultam a exploração das brechas de segurança. Mesmo que um criminoso descubra um problema, ele não consegue tirar proveito do mesmo com facilidade. Tecnologias como o Modo Protegido do Internet Explorer e o Controle de contas de usuário (UAC) do Windows Vista reduzem a frequência com que um ataque dia zero possa ser executado com 100% de sucesso.
Talvez você já use uma ferramenta de proteção contra ataques dia zero sem saber: o firewall. Ao bloquear as conexões que chegam no seu computador, um firewall impede que uma brecha ainda não corrigida – talvez porque ela seja dia zero e nem exista uma correção – danifique seu sistema.
Durante o período que uma falha dia zero é conhecida publicamente – quando ela é noticiada pela mídia, por exemplo – até o lançamento de uma correção, softwares antivírus podem prestar um importante auxílio na identificação de arquivos maliciosos que tentarão tirar proveito da falha.
Como sempre, cuidados básicos ajudam muito. Em empresas é muito difícil, por exemplo, pedir que o setor de Recursos Humanos não abra um “currículo” (que pode explorar uma falha dia zero; este é um exemplo que acontece realmente). Mas, em casa, você dificilmente recebe arquivos inesperados e de desconhecidos. Se isso acontecer, basta não abrir, ou, se o arquivo é suspeito, confirme com o remetente que o referido arquivo foi enviado a você.
Se o seu software que exibe imagens tiver uma falha dia zero que fará com que a abertura de uma foto instale vírus – o que, normalmente, não é possível –, você estará em risco, sim. Mas esse risco somente será concretizado se você de fato abrir uma figura maliciosa. E o arquivo provavelmente virá de alguém desconhecido ou que apenas tenta se passar por um conhecido seu.
O uso de contas limitadas no Windows pode ajudar a reduzir os danos causados por vírus e por muitas falhas de segurança. Um criminoso precisaria duas brechas para tomar o controle total de um computador com usuário limitado: uma para conseguir executar programas no PC da vítima, e outra para burlar as restrições de usuário limitado.
É claro que de nada adianta proteger-se contra falhas desconhecidas se você não se proteger nem daquilo que é conhecido! Atualizar o sistema operacional e os aplicativos para eliminar vulnerabilidades como as que foram corrigidas na semana passada é o mínimo a se fazer, sempre.
>>>> Curiosidade: por que “dia zero”
“Dia zero” é semelhante a “dia D”, pois marca um momento, uma data. O “zero” refere-se à data de publicação das informações sobre a falha, ou do uso da mesma em um ataque.
O dia da publicação de uma correção é o “dia um”. O “dia zero”, portanto, é qualquer tempo antes que a solução esteja disponível, ou seja, do “dia um”. Isso não quer dizer que a correção será disponibilizada no dia seguinte à sua exploração, é claro – estamos falando aqui apenas da origem do termo.
Há vários anos o termo “0day” (“zero day”, “dia zero” em inglês) é empregado por grupos de pirataria que vazam filmes, músicas e softwares antes da data de lançamento oficial. O mesmo estilo de escrita, com o zero em numeral, é usado por algumas pessoas no ramo da segurança. É especialmente comum entre baderneiros digitais, embora a maioria dos especialistas conheça a expressão.
Fonte: Altieres Rohr
Nenhum comentário:
Postar um comentário