sexta-feira, 15 de junho de 2012

Opinião: Flame é fichinha perto do estado atual da cibersegurança

A estratégia de ataque do vírus Flame é muito interessante, não posso negar. É incrivelmente complexa, explora conceitos de distribuição em cadeia, se aproveita de vulnerablidades dos certificados digitais de empresas e das vulnerabilidades do WPAD (Web Proxy Auto-Discovery Protocol). Ele certamente vai entrar para a história. Ainda assim eu não consigo me preocupar exageradamente com o Flame. A Microsoft, empresa para quem trabalho em tempo integral, revogou o certificado digital fraco que abria a brecha e a vulnerabilidade do WPAD foi contornada.

Existem jeitos mais fáceis de conseguir o mesmo tipo de ataque, como por exemplo o truque do pass-the-hash. Alem disso, o Flame não se disseminou largamente. Mas a principal razão para eu não estar tão apavorado com ele é que a segurança em TI já estava em mau estado mesmo antes. O chamado 'supervírus' pode ter jogado mais lenha na fogueira, mas o inferno já está queimando há um bom tempo. Se você me perguntar o quanto está ruim, eu respondo com alguns itens do cenário pré-Flame:
  1. Mais de 1 milhão de computadores são atacados com sucesso por dia. Isso representa um computador invadido a cada 14 segundos.
  2. Quase 40% de todos os computadores mundiais estão infectados por algum tipo de vírus.
  3. No cenário corporativo, 90% das empresas mundiais tiveram suas redes invadidas no ano passado.
  4. Um em cada sete adultos tem sua conta bancária, identidade ou senha comprometida todo ano, segundo a Privacy Rights. Isso dá o número recorde de 280 milhões de casos de ataques nos últimos oito anos.
  5. Cerca de 80% dos sites maliciosos de web estão hospedados ou hackeados em sites legítimos.
  6. Já é comum que um único ataque de hacking cause mais de 100 milhões de dólares em perdas. O ataque contra a rede da PSN (Sony) é um bom exemplo.
  7. Grupos de hackers como o Anonymous rotineiramente invadem grandes empresas globais e até mesmo as autoridades que os investigam.
  8. Hacks que capturam e vazam informações de milhões de senhas já estão tão numerosos que quase nem mais são notados. O ataque ao Linkedin é um exemplo.
  9. Um único worm (vírus autorreplicável), o SQL Slammer, conseguiu infectar praticamente todos os computadores desprotegidos que ele alvejou em menos de dez minutos, e isso era em 2003.
  10. Vírus estão se multiplicando em plataformas móveis de uma forma que até parece que não aprendemos nada nesses últimos 25 anos de ataques a PCs.
  11. Taxas de spam estão acima de 65% e já faz quase dez anos que a lei CAN-SPAM de 2003 foi assinada para regular email comercial.
  12. Um em cada 14 downloads de internet é malicioso.
  13. O custo anual do crime cibernético está estimado em 114 bilhões de dólares.
  14. A taxa de sucesso para prisões e processos contra cibercriminosos é menor que 0,01%.
  15. O hacking entre países é tão subversivo que o Google agora está alertando automaticamente os usuários sobre possíveis ataques movidos por governos.
  16. Stuxnet, Duqu, e agora o Flame provam que vírus complexos podem atravessar qualquer sistema de segurança de um computador.
Com tanta coisa ruim rolando, eu me pergunto qual seria o acontecimento dramático que faria finalmente as pessoas se levantarem e dizerem um basta. Cheguei a pensar que poderia ser um ataque ao Google ou a derrubada da Bolsa por um dia, mas agora duvido que mesmo eventos de tal magnitude ocupariam mais do que uma semana as manchetes dos noticiários. Na medida em que o mundo e as aplicações de missão-crítica continuam crescendo, prevejo que alguém, algum dia, vá cometer um cibercrime tão hediondo a ponto de causar essa ruptura. Se a história serve como referência, um evento global poderia acontecer por acidente se um programador mal intencionado perdesse o controle sobre sua criação, como foi com o worm Robert Morris em 1998, o SQL Slammer, ou o vírus Melissa Word.

Mas acidente ou não, alguém vai passar da linha e causar um grande estrago de forma muito rápida . Um dia vamos atingir esse ponto de virada e o mundo vai enlouquecer por um tempo. Os canais de notícia vão lotar de "especialistas" nos dizendo o que aconteceu e o que precisa ser feito para evitar que se repita. Vamos finalmente colocar em prática o que deveriámos ter feito há 20 anos e tirar a internet desse clima de "Velho Oeste". Eu não sei se aguento esperar porque está demorando demais para as pessoas acordarem.

Como disse antes, há formas de consertar a internet de hoje. Podemos faze-la um lugar bem mais seguro para computadores e isso nos levaria a uma internet 2.0, na qual os participantes são identificados e verificados antes mesmo de se envolver em alguma atividade que possa fazer mal a eles ou aos outros. É um passo importante, mas seria o fim do anonimato por default. Pessoas que precisassem mesmo ficar anônimas poderiam ainda navegar e trabalhar na internet original, mas aqueles de nós que quisessem mais segurança poderiam usar a nova versão. Podemos fazer isso usando protocolos já existentes rodando na infraestrutura atual.

Eu abordo essa idéia no meu plano para consertar a internet [PDF]. Meu empregador, a Microsoft, tem oferecido sua visão para uma internet mais segura com a iniciativa End-to-End Trust. E eu sempre amei as idéias da Trusted Computing Group, que há muito tem trabalhado na construção dos blocos básicos necessários para construir um mundo mais seguro. Mas voltando ao meu assunto original e por que eu não fico assim tão incomodado com o Flame e sua colisão MD5: Os problemas reais estão ligados à infraestrutura e não a um worm específico ou à exploração de uma falha na segurança. Não se distraia do problema real por conta do Flame. Se tirá-lo do contexto, vai ver que todos os fatos que eu relatei continuam reais. Nada mudou. Mas precisa mudar.

Fonte: Roger Grimes

Roger Grimes é colunista de segurança do InfoWorld desde 2005. Ele possui mais de 40 certificados de computação e é autor de oito livros sobre segurança de computadores. Tem combatido vírus e hackers desde 1987, no início desmontando vírus para DOS. Palestrante frequente em eventos do mercado, Roger atualmente trabalha para a Microsoft como Principal Security Architect. 

Nenhum comentário: