Índice
Vulnerabilidades de dia zero
Uma vulnerabilidade de dia zero é um bug em um software . Claro, todo software complicado tem bugs, então por que um dia zero deveria receber um nome especial? Um bug de dia zero é aquele que foi descoberto por cibercriminosos, mas os autores e usuários do software ainda não sabem disso. E, crucialmente, um dia zero é um bug que dá origem a uma vulnerabilidade explorável.
Esses fatores se combinam para fazer do dia zero uma arma perigosa nas mãos dos cibercriminosos. Eles sabem sobre uma vulnerabilidade que ninguém mais conhece. Isso significa que eles podem explorar essa vulnerabilidade sem contestação, comprometendo todos os computadores que executam esse software. E porque ninguém mais sabe sobre o dia zero, não haverá correções ou patches para o software vulnerável.
Portanto, durante o curto período entre a ocorrência das primeiras explorações – e a detecção – e a resposta dos editores de software com correções, os cibercriminosos podem explorar essa vulnerabilidade sem verificação. Algo aberto, como um ataque de ransomware, é imperdível, mas se o compromisso for de vigilância disfarçada, pode demorar muito até que o dia zero seja descoberto. O infame ataque SolarWinds é um excelente exemplo.
Zero-dias encontraram seu momento
Dia zero não é novidade. Mas o que é particularmente alarmante é o aumento significativo no número de dias-zero sendo descobertos. Mais do que o dobro foi encontrado em 2021 do que em 2020. Os números finais ainda estão sendo comparados para 2021 – ainda temos alguns meses pela frente, afinal -, mas as indicações são de que cerca de 60 a 70 vulnerabilidades de dia zero foram detectados no final do ano.
O dia zero tem valor para os cibercriminosos como meio de entrada não autorizada em computadores e redes. Eles podem monetizá-los executando ataques de ransomware e extorquindo dinheiro das vítimas.
Mas os próprios dias zero têm um valor. São mercadorias vendáveis e podem valer enormes somas de dinheiro para quem os descobre. O valor de mercado negro do tipo certo de exploit de dia zero pode facilmente atingir muitas centenas de milhares de dólares, e alguns exemplos ultrapassaram US $ 1 milhão. Os corretores de dia zero compram e vendem exploits de dia zero .
Vulnerabilidades de dia zero são muito difíceis de descobrir. Ao mesmo tempo, eles só foram encontrados e usados por equipes de hackers com bons recursos e altamente qualificados, como grupos de ameaças persistentes avançadas (APT) patrocinados pelo estado . A criação de muitos dos dias zero como arma no passado foi atribuída a APTs na Rússia e na China.
Claro, com bastante conhecimento e dedicação, qualquer hacker ou programador suficientemente talentoso pode encontrar o dia zero. Os hackers de chapéu branco estão entre as boas compras que tentam encontrá-los antes dos cibercriminosos. Eles entregam suas descobertas à empresa de software relevante, que trabalhará com o pesquisador de segurança que encontrou o problema para fechá-lo.
Novos patches de segurança são criados, testados e disponibilizados. Eles são lançados como atualizações de segurança. O dia zero só é anunciado quando todas as correções estão implementadas. No momento em que se torna público, a solução já está à solta. O dia zero foi anulado.
Zero dias às vezes são usados em produtos. O polêmico produto de espionagem do Grupo NSO, Pegasus, é usado por governos para combater o terrorismo e manter a segurança nacional. Ele pode se instalar em dispositivos móveis com pouca ou nenhuma interação do usuário. Um escândalo estourou em 2018 quando Pegasus foi supostamente usado por vários estados com autoridade para realizar vigilância contra seus próprios cidadãos. Dissidentes, ativistas e jornalistas estavam sendo alvos .
Recentemente, em setembro de 2021, um dia zero afetando Apple iOS, macOS e watchOS – que estava sendo explorado pela Pegasus – foi detectado e analisado pelo Citizen Lab da Universidade de Toronto . A Apple lançou uma série de patches em 13 de setembro de 2021.
Por que o aumento repentino em dias zero?
Um patch de emergência é geralmente a primeira indicação que um usuário recebe de que uma vulnerabilidade de dia zero foi descoberta. Os fornecedores de software têm cronogramas para quando os patches de segurança, correções de bugs e atualizações serão lançados. Mas como as vulnerabilidades de dia zero devem ser corrigidas o mais rápido possível, aguardar o próximo lançamento de patch agendado não é uma opção. São os patches de emergência fora do ciclo que lidam com vulnerabilidades de dia zero.
Se você acha que tem visto mais desses recentemente, é porque sim. Todos os principais sistemas operacionais, muitos aplicativos como navegadores, aplicativos de smartphone e sistemas operacionais de smartphone receberam patches de emergência em 2021.
Existem várias razões para o aumento. Do lado positivo, fornecedores de software proeminentes implementaram políticas e procedimentos melhores para trabalhar com pesquisadores de segurança que os abordam com evidências de uma vulnerabilidade de dia zero. É mais fácil para o pesquisador de segurança relatar esses defeitos e as vulnerabilidades são levadas a sério. É importante ressaltar que a pessoa que relata o problema é tratada profissionalmente.
Também há mais transparência. A Apple e o Android agora adicionam mais detalhes aos boletins de segurança, incluindo se um problema era de dia zero e se há uma probabilidade de que a vulnerabilidade foi explorada.
Talvez porque a segurança esteja sendo reconhecida como uma função crítica para os negócios – e tratada como tal com orçamento e recursos – os ataques precisam ser mais inteligentes para entrar em redes protegidas. Sabemos que nem todas as vulnerabilidades de dia zero são exploradas. Contar todas as brechas de segurança de dia zero não é o mesmo que contar as vulnerabilidades de dia zero que foram descobertas e corrigidas antes que os cibercriminosos as descobrissem.
Mesmo assim, grupos de hackers poderosos, organizados e bem financiados – muitos deles APTs – estão trabalhando a todo vapor para tentar descobrir vulnerabilidades de dia zero. Ou eles os vendem ou eles próprios os exploram. Freqüentemente, um grupo vende no dia zero depois de ordenhada por conta própria, pois está se aproximando do fim de sua vida útil.
Como algumas empresas não aplicam patches e atualizações de segurança em tempo hábil, o dia zero pode desfrutar de uma vida útil prolongada, embora os patches que o neutralizam estejam disponíveis.
As estimativas sugerem que um terço de todos os exploits de dia zero são usados para ransomware . Grandes resgates podem facilmente pagar por novos dias zero para os cibercriminosos usarem em sua próxima rodada de ataques. As gangues de ransomware ganham dinheiro, os criadores de dia zero ganham dinheiro e continua a girar.
Outra escola de pensamento diz que os grupos cibercriminosos sempre estiveram tentando descobrir o dia zero. Estamos apenas vendo números mais altos porque há melhores sistemas de detecção em funcionamento. O Centro de Inteligência de Ameaças da Microsoft e o Grupo de Análise de Ameaças do Google, juntamente com outros, possuem habilidades e recursos que rivalizam com as capacidades das agências de inteligência na detecção de ameaças em campo.
Com a migração do local para a nuvem , é mais fácil para esses tipos de grupos de monitoramento identificar comportamentos potencialmente maliciosos em muitos clientes ao mesmo tempo. Isso é encorajador. Podemos estar melhorando em encontrá-los, e é por isso que estamos vendo mais dias-zero e no início de seu ciclo de vida.
Os autores de software estão ficando mais desleixados? A qualidade do código está caindo? No mínimo, deve estar aumentando com a adoção de pipelines CI / CD , testes de unidade automatizados e uma maior consciência de que a segurança deve ser planejada desde o início e não implementada posteriormente.
Bibliotecas e kits de ferramentas de código aberto são usados em quase todos os projetos de desenvolvimento não triviais. Isso pode levar à introdução de vulnerabilidades no projeto. Existem várias iniciativas em andamento para tentar resolver o problema das falhas de segurança no software de código-fonte aberto e verificar a integridade dos ativos de software baixados.
Como se defender
O software de proteção de endpoint pode ajudar com ataques de dia zero. Mesmo antes de o ataque de dia zero ter sido caracterizado e as assinaturas de antivírus e antimalware atualizadas e enviadas, o comportamento anômalo ou preocupante do software de ataque pode acionar as rotinas de detecção heurística em software de proteção de endpoint líder de mercado, prendendo e colocando em quarentena o ataque Programas.
Mantenha todos os softwares e sistemas operacionais atualizados e com patches. Lembre-se de corrigir os dispositivos de rede também, incluindo roteadores e switches .
Reduza sua superfície de ataque. Instale apenas os pacotes de software necessários e faça a auditoria da quantidade de software de código aberto que você usa. Considere favorecer os aplicativos de código aberto que se inscreveram para programas de verificação e assinatura de artefato, como a iniciativa Secure Open Source .
Nem é preciso dizer que use um firewall e seu pacote de segurança de gateway, se houver.
Se você for um administrador de rede, limite o software que os usuários podem instalar em suas máquinas corporativas. Eduque os membros de sua equipe. Muitos ataques de dia zero exploram um momento de desatenção humana. fornecer sessões de treinamento de conscientização sobre segurança cibernética e atualizá-las e repeti-las com frequência.
