Por que “Apenas aplique a correção!” não é tão fácil como parece

Na Zero Day Initiative (ZDI), vemos correções de um jeito pouco convencional. Recebemos o relatório inicial de um pesquisador, verificamos o problema internamente, notificamos o fornecedor e, por fim, publicamos alguns detalhes depois quando uma correção é lançada. Essas correções representam o melhor método para prevenir ataques cibernéticos. Recentemente, uma edição corrigida pela Microsoft em março de 2017 foi usada por um malware, conhecido como Wanna,  Wannacry, ou Wcry, para infectar sistemas em todo o mundo com o ransomware.

Como é possível que algo que podia ser corrigido há 60 dias tenha causado tanto estrago ao redor do mundo? Por que as pessoas simplesmente não aplicam correções? Algumas vezes aplicar as correções não é tão fácil quanto parece — principalmente para empresas.

1º Passo: Se preparar para a correção

Para estabelecer uma estratégia completa de aplicação de correções, as organizações precisam identificar seus próprios ativos. Esta tarefa é geralmente mais difícil do que parece. As empresas podem usar um software de Open Source (OSS) ou ferramentas comerciais para identificar e catalogar todos os sistemas e dispositivos em sua rede. Mesmo que o software usado seja gratuito, implementar a solução é algo custoso. Depois da empresa determinar o que precisa ser protegido, ela precisa criar e documentar um processo para atualizar esses dispositivos. Esse processo precisa incluir não apenas as estações de trabalho e os servidores, mas também os dispositivos de networking tais como roteadores e switches. As decisões precisam ser tomadas.

Um sistema automatizado será usado ou o administrador precisará fisicamente trabalhar na máquina? Como as correções de segurança geralmente precisam reiniciar o sistema ou de algum outro tipo de interrupção do fluxo de trabalho, em que horário as correções serão aplicadas? A documentação da estratégia de correção garante a uniformidade e a consistência da correção em toda a empresa.

2º Passo: Encontrar a correção

Agora tudo que você precisa fazer é encontrar algumas correções. Ter uma estratégia robusta é um bem inútil caso os responsáveis ​​não estejam inscritos nas listas de e-mail certas, feeds RSS, contas do Twitter e outros métodos usados ​​pelos fornecedores para anunciar o lançamento de uma nova correção. Alguns fornecedores se comunicam de forma mais eficaz que outros. Depois de encontrar a correção, você deve decidir como vai instalá-la. Pequenas empresas podem fazer isso manualmente. Mas empresas com um número maior de máquinas devem investir em ferramentas automatizadas. Semelhante às ferramentas para identificar ativos, há muitas opções com preços diversos. Mesmo assim, o custo de um sistema automatizado é bem maior do que a instalação manual.

3º Passo: Testar a correção

Há apenas um passo final que uma empresa deve levar em consideração antes de implantar qualquer correção: teste. Corrigir e restaurar sistemas afetados por uma correção defeituosa custa tempo e dinheiro. Para impedir que isso aconteça, há várias formas de testar. Se os recursos existem, o teste básico deve incluir aplicar a correção em um sistema semelhante em um ambiente que não esteja em produção para se certificar de que as funções da empresa continuem normais depois da correção ser instalada.

4º Passo: Corrigir!

Depois de identificar seus ativos, documentar seus processos, encontrar correções relevantes, implementar a implantação automatizada de correções e testar o patch – parabéns! Agora você pode instalar essa correção!

Além da complexidade de aplicar correções na empresa, há também uma barreira psicológica com relação às correções que muitas pessoas precisam superar. Simplificando, as pessoas têm medo de correções de segurança por várias razões.   As correções de segurança têm como objetivo eliminar falhas que acabam gerando problemas em softwares ou até mesmo deixando o sistema inteiro inutilizável. Como alternativa, há momentos em que a correção não soluciona o problema original.

Alguns fornecedores optaram por incluir um software adicional ou recursos não desejados pelos usuários – como trocar o navegador padrão por um software de troca de mensagens instantâneas não relacionado. Talvez no pior cenário, algumas correções de segurança acabaram introduzindo mais vulnerabilidades de segurança.

Embora a indústria como um todo tenha melhorado ao longo dos anos, os problemas – incluindo medos antigos – permanecem.
A vulnerabilidade usada no Wcry foi listada em um despejo de ferramentas supostamente usadas pela NSA juntamente com algo chamado EwokFrenzy. Conhecemos o EwokFrenzy no programa ZDI como ZDI-07-011 – quando foi descoberto há 10 anos. Isso significa que o exploit ainda funcionava 10 anos depois do fornecedor ter liberado uma correção? Parece que sim. É também o ponto de dados mais recente em mais de duas décadas que está implorando para ser regularmente corrigido e para ter políticas mais fortes de backup.

Não é fácil. Não é simples. E geralmente não é barato. Mas o custo em potencial (tanto financeiro quanto para a reputação da organização) de deixar vulnerabilidades sem correção é muito maior do que o custo de aplicar a correção. A recuperação após os ataques é muito mais difícil, mais complexa e mais cara – está na hora de admitir que as correções são muito importantes.