Saiba como funciona um ataque de Dia Zero

[ Reportagens ]

PC WORLD » Reportagens » Saiba como funciona um ataque de Dia Zero » paginador

Por Ryan Singel, PC World EUA

02-04-2007

Crackers se aproveitam de falhas ainda não corrigidas para atacar o seu computador; entenda o funcionamento da tática

Em janeiro um pesquisador anunciou a descoberta de uma falha do QuickTime quando ele trabalha com vídeos streaming, que permitia ao hacker controle real sobre o computador da vítima.

Uma vulnerabilidade mostrada em novembro de 2006, no controle de browser Adobe ActiveX, apresentou risco similar.

O crescimento desse tipo de incidente reflete o grande aumento no número anual de falhas relatadas em softwares. Em 2006, pesquisadores e programadores catalogaram cerca de 7247 falhas, 39% a mais do que em 2005 (dados do Internet Security Systems Xforce).

Contudo, a maioria desses bugs não abre caminho para um ataque de Dia Zero. As empresas de software recebem frequentemente relatórios de bugs e erros de seus usuários que levam à descoberta dos buracos na segurança, logo corrigidos.

Quando pesquisadores de fora da empresa descobrem a brecha, eles (ao menos a maioria) aderem a um conjunto de procedimentos, conhecido como “descoberta ética”, especificamente projetado para evitar ataques de Dia Zero.

Na “descoberta ética” os pesquisadores primeiramente contactam o fabricante do programa para relatar as descobertas. A empresa não divulga o problema até que a correção fique pronta, quando dá os créditos publicamente aos pesquisadores originais que encontraram a falha.

Mas alguns pesquisadores, frustrados pelo ritmo lento da investigação por parte do fabricante, vão a público com os detalhes da brecha enquanto ela ainda não possui cobertura.

Certos especialistas consideram essa tática um mal necessário para forçar as empresas mais relutantes a cobrir uma falha; outros condenam a prática como uma violação sem ética dos procedimentos da indústria.

As pessoas que defendem publicamente o ato argumentam que se um pesquisador sabe sobre a falha, logo algum criminoso também deve saber; e os violadores mais espertos farão ataques pequenos e específicos de modo a evitar chamar a atenção e acelerar o processo de correção.

Infelizmente, as revelações públicas de uma vulnerabilidade estimulam ataques de Dia Zero.

Outra prática controversa é a caça de recompensas. Algumas organizações, incluindo a iDefense e a Zero Day Initiative (da 3Com), pagam para que pesquisadores relatem explorações de Dia Zero à elas.

A iDefense oferece 8 mil dólares de recompensa por informações sobre vulnerabilidades do IE 7 e do Vista. Depois, as empresas de segurança secretamente comunicam suas descobertas às empresas de software.

Por mais que esses programas não sejam admirados, eles colocam dinheiro no bolso dos programadores, um resultado que muitos preferem a um simples “obrigado”.

Talvez mais importante: as recompensas das empresas de segurança competem com o crescente mercado negro dos ataques de dia zero.

O indivíduo que vendia a falha do Vista relatado anteriormente pode ou não ter encontrado alguém disposto a pagar os 50 mil dólares cobrados, mas relatórios da eWeek.com e de empresas de segurança dizem que os ataques ao Windows Metafile começaram imediatamente após a venda, por 4 mil dólares, de detalhes relevantes de um bug.

Para encontrar falhas comercializáveis, os pesquisadores e criminosos usam ferramentas automatizadas chamadas fuzzers para localizar onde um programa aceita entradas (input) e depois, sistematicamente, passam a inserir bizarras combinações de dados nela.

Não raro esse teste resulta numa falha explorável chamada de superfluxo de buffer.

As empresas de software, incluindo a Microsoft, costumam usar ferramentas pró-ativas para encontrar falhas em seus próprios produtos.

Mas os criminosos agem da mesma forma: Moss (organizador da BlackHat) e outros especialistas afirmam que o crime organizado do Leste europeu, grupos chineses de hackers e outros usam fuzzers para encontrar brechas.

Quem descobrir pode tanto iniciar ataques como vender a descoberta no mercado negro, como no caso do incidente WMF.

Quando um fabricante de programas consegue corrigir uma brecha de segurança antes que qualquer ataque aconteça, tanto a equipe de TI quanto os usuários têm tempo de atualizar seus sistemas e assim ficar um passo à frente.

Mas logo que os ataques de Dia Zero têm início, o relógio começa a correr, e algumas vezes demora um pouco até que a correção chegue.

Segundo o relatório de ameaças de internet da Symantec, no primeiro semestre de 2006 a Microsoft empatou com a Red Hat Linux no quesito de maior rapidez no desenvolvimento de correções para sistemas operacionais comerciais - 13 dias, em média.