As vulnerabilidades de dia zero – exploits recém-descobertos que não foram identificados anteriormente – estão surgindo agora com maior frequência. O pior disso é que estas falhas tão perigosas às vezes não são identificadas até que os hackers já estejam tirando proveito delas.
Segundo uma previsão do fundador e editor-chefe da Cybersecurity Ventures, Steven Morgan, a frequência dos exploits no dia zero – que era uma ocorrência semanal em 2015 – pode aumentar para uma ocorrência diária nos próximos quatro anos.
O crescimento nos ciberataques não é nenhuma novidade – já é uma tendência na indústria de tecnologia nos últimos anos. No entanto, isto não significa que os pesquisadores e desenvolvedores não devam tomar uma atitude para diminuir o número de vulnerabilidades exploráveis presentes em softwares e sistemas de TI críticos.
Remando contra a maré: Pesquisa de Vulnerabilidade.
Por dentro da pesquisa de vulnerabilidade, uma tendência crescente que está causando uma agitação na indústria de cibersegurança. A pesquisa de vulnerabilidade é usualmente uma responsabilidade da equipe de engenharia, e supervisiona o uso de técnicas avançadas em um esforço para identificar falhar ou problemas dentro do software que poderia potencialmente ser usado para ataques, violações ou outros incidentes de segurança.
Este processo significa que as ameaças do dia zero e outros problemas de software são identificados mais cedo, com sorte, antes de cair nas mãos dos cibercriminosos. Assim, diminuem as infecções lançadas graças à novas vulnerabilidades, e diminuem também os vetores de ataque à disposição dos hackers.
Uma batalha árdua: Habilidades especiais exigidas
“A frequência dos exploits de dia zero poderia aumentar para uma regularidade diária nos próximos quatro anos”.
No entanto, como indicado pelo colaborador da Dark Reading, Rutrell Yasin, não se pode simplesmente “cair de paraquedas” neste tipo de pesquisa. A pesquisa de segurança e vulnerabilidade exige certas habilidades e capacidades, especialmente em vista da natureza acelerada do atual cenário de ameaças.
“A disciplina é requisito fundamental para aqueles que tem uma curiosidade nata de saber como o software pode ser invadido ou driblado para que seja possível fazer coisas que não eram pretendidas inicialmente”, declarou Yasin.
Além disso, os pesquisadores devem estar “mergulhados em tecnologia” e ter um grande interesse no entendimento das operações de potenciais usos malicioso de diferentes sistemas, além de entender as maneiras nas quais eles se integram.
“Os engenheiros de segurança veem o mundo de maneira diferente dos outros engenheiros”, observou o especialista em segurança da informação Bruce Sheiner. “Ao invés de se concentrarem em como os sistemas funcionam, estes engenheiros se concentram em como os sistemas falham, como podem ser levados a falhar a como prevenir que tais falhas aconteçam – ou como protegê-los delas”.
Os melhores pesquisadores são aqueles que se consideram “pau-para-toda-obra”, observou Yasin, mas que também têm certas especialidades. Desta maneira, estas habilidades específicas podem ser utilizadas no trabalho de maneira a beneficiar a pesquisa e ajudar a identificar as vulnerabilidades que podem acabar passando despercebidas.
Existem inúmeros benefícios nos dois lados da moeda.
Não é difícil enxergar as vantagens da pesquisa de vulnerabilidades. Como os ataques continuam aumentando em frequência e gravidade, a pesquisa de vulnerabilidade oferece uma oportunidade para reduzir a superfície de ataque disponível. Como observado por Morgan, esta superfície cresce em 111 bilhões de novas linhas de código anualmente, quaisquer esforços para reduzir os exploits de ataque disponíveis é uma boa notícia para os usuários, desenvolvedores de código e fornecedores de softwares para os quais trabalham.
Como apontou o analista de ameaças Weimin Wu, os fornecedores que promoveram os resultados da pesquisa de vulnerabilidade para vantagem própria podem melhorar consideravelmente as soluções que criam para os usuários e assumir uma postura proativa contra as últimas táticas dos hackers.
“Permite que os fornecedores prevejam o cenário do exploit, e criem soluções antecipadas para ele”, declarou Wu.
Isto, por sua vez, ajuda a proteger melhor os consumidores individuais e usuários corporativos, que cada vez mais dependem dos sistemas de software para gerenciar informações sensíveis e dar suporte a operações de missão crítica.
Heróis X Vilões
E não para por aí, é importante que os pesquisadores e usuários tenham em mente que se estas vulnerabilidades não forem identificadas pelos heróis, há boas de chances de que elas caíam nas mãos dos vilões, que irão usá-las para fins maliciosos uma hora ou outra.
Além disso, o trabalho feito pelos pesquisadores de vulnerabilidade para identificar os exploits dentro de um programa de software provavelmente beneficiará toda plataforma que utilizar codificações de funções similares. Desta maneira, os esforços não são únicos para o programa em questão, mas têm o potencial de beneficiar toda a indústria de software, garantindo que os mesmos erros exploráveis não sejam cometidos repetidamente.
Pesquisadores de vulnerabilidade esperam identificar exploits antes que estes sejam descobertos e promovidos pelos hackers.
A Pesquisa de Vulnerabilidade em ação: Pwn2Own
Graças a sua importância, a pesquisa de vulnerabilidade está acontecendo em uma escala maior e mais pública. Um grande exemplo disto é o evento Pwn2Own da Trend Micro, que reúne pesquisadores e especialistas em segurança dos quatro cantos do mundo e oferece prêmios e recompensas para as identificações de exploit mais bem-sucedidas.
Este ano marca o décimo aniversário do Pwn2Own, que foi iniciado originalmente em 2007. Desde então, o evento foi expandido para incluir novas áreas de pesquisa – este ano, a Iniciativa Dia Zero ofereceu mais de $1 milhão em prêmios para categorias incluindo Virtual Machine Escape, Navegador de Web e Plugins, Aplicativos Comerciais, Escalonamento Local de Privilégio e Servidor Adjacente.
O evento do ano passado testemunhou a identificação de uma ampla variedade de vulnerabilidades. Uma vez que as equipes identificavam estes itens, os organizadores da competição enviam os detalhes do resultado da pesquisa para os fornecedores para que ações sejam tomadas para melhorar a proteção dos dados.
“Portanto, conforme os fornecedores aprendem mais sobre as vulnerabilidades e seu software e dispositivo, eles podem reforçar sua cibersegurança, que por sua vez também melhoram a segurança de seus clientes”, escreveu Noah Gamer em um post publicado em 2016 no blog da Trend Micro. “Como os consumidores e empresas se livram destes bugs nos programas utilizados diariamente? A implementação de soluções de cibersegurança efetivas poderia ser a resposta para esta pergunta. Por meio do investimento nestes tipos de ferramentas, as empresas podem proteger seus sistemas e garantir que seus dados estejam seguros contra agentes maliciosos”.
O evento deste ano viu um interesse sem precedentes, e o número de registro de participantes exigiu o acréscimo de um dia a mais na competição. Os pesquisadores se envolveram em inúmeros projetos importantes de pesquisa de vulnerabilidade, incluindo um virtual machine escape completo através do Microsoft Edge, investigando o núcleo do Windows e examinando um buffer de estação de trabalho do VMware.
Em geral, a pesquisa de vulnerabilidade somente se tornará um processo cada vez mais crítico conforme o ambiente de ameaças continuar se expandindo. Qualquer esforço de reverter a maré de ataques maliciosas é benéfico para os pesquisadores, fornecedores e usuários.