Marcelo Bezerra
A espada de Dâmocles Certo dia o poderoso rei de Siracusa, Dionisio, decidiu dar a um de seus conselheiros, o invejoso Dâmocles, a experiência de ser rei por um dia. O pacote incluía o banquete à noite, onde o conselheiro poderia usufruir das comidas e bebidas mais caras do reino. Porém, ao sentar-se, Dâmocles perdeu o apetite. Sobre sua cabeça pairava uma brilhante e afiadíssima espada pendurada no teto por um único fio de crina de cavalo. Virou-se para o rei, que explicou que aquilo era para lhe lembrar, todos os dias, que mesmo uma posição tão poderosa como a dele é também vulnerável. Não deixo de pensar nas dezenas (serão centenas?) de espadas de Dâmocles balançando sobre nossas cabeças à medida que vamos avançando em nossa sociedade e economia digitalizada. Mais cedo ou mais tarde um ataque ou uma falha nos lembra que, apesar de tudo e de todo o investimento em tecnologia, residimos sobre bases frágeis e não podemos descansar. Ou podemos, mas sempre preparados para reagir rapidamente, embora pareça ser esta uma tarefa a cada dia mais complexa. Não bastam os problemas técnicos, como vulnerabilidades e ameaças, temos ainda que lidar com a falta de profissionais, assunto que irei tratar em um próximo artigo. A espada da vez foi a vulnerabilidade publicada no final de 2021 pela Apache em sua biblioteca Log4j para versões anteriores a 2.15.0, e que recebeu o código CVE-2021-44228 pelo MITRE. Seria mais uma falha dentre tantas se a biblioteca não fosse tão largamente utilizada, e a brecha considerada crítica Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
e fácil de ser explorada. O nível de criticidade é alto por ela permitir a execução arbitrária de código pelo atacante. Vimos nas últimas semanas uma série de tentativas, bem-sucedidas ou não, em explorar a vulnerabilidade. O Cisco Talos e a Checkpoint apontaram um backdoor do PowerShell criado pelo grupo iraniano APT35, conhecido há vários anos como um ativo em invasões para roubo de informações e espionagem. Nessas situações, a pergunta é sempre a mesma: “O que fazer?”. O fato é que não temos controle sobre as vulnerabilidades e muito menos sobre os grupos de invasores, alguns inclusive
Deposit Photos
SEGURANÇA
58 – RTI – JAN 2022
A espada de Dâmocles balançando sobre a cabeça do profissional de segurança: apesar de todo o investimento em tecnologia, um ataque ou uma falha podem acontecer a qualquer momento suspeitos de serem mantidos por entidades governamentais em seus países, com orçamentos de pesquisa maiores do que os de muitas empresas usuárias. Dessa forma, seja para esta ou para qualquer outra falha, o primeiro passo é obter informações sobre a vulnerabilidade, sistemas afetados, correções, entre outros. Estas informações podem ser encontradas em diversos sites de inteligência. Eu recomendo sempre o do Mitre (cve.mitre.org) porque centraliza dados de diversos sites (https://cve.mitre.org/cgi bin/
cvename.cgi?name=CVE-2021-44228). As principais empresas de segurança mundiais também mantêm seus próprios sites, como o Talos da Cisco, X-Force da IBM e vários outros. Nos artigos, além dos detalhes da vulnerabilidade, instruções para mitigação, indicadores de comprometimento (IOCs) e a cobertura por produtos ou tecnologias de segurança. Com os detalhes da vulnerabilidade, o próximo passo é executar as mitigações ou correções nos sistemas afetados. A tarefa pode ser, e normalmente é, mais complicada do que parece, pois primeiro é necessário identificar quais sistemas estão expostos, não esquecendo dos utilizados por terceiros. Há uma praxe de mercado em que os fabricantes de software devem ser os mais transparentes possível em avisar seus clientes sobre exposições de seus códigos. Há softwares que ajudam na tarefa, mas tampouco é definitivo. Assim, a complexidade dessa etapa irá variar, podendo ser até impossível em alguns casos, e exigindo medidas de mitigação através de produtos de segurança. Outro ponto importante a lembrar é que nos primeiros dias de divulgação e exploração de uma vulnerabilidade, os diversos blogs podem ser atualizados a qualquer momento, sendo necessário um acompanhamento constante. Mas mesmo as empresas que conseguirem fazê-lo em tempo precisarão de uma ação de contenção, seja durante a correção enquanto nem todos os sistemas estão atualizados, seja para variantes que surjam com o foco de grupos hackers no estudo das técnicas de exploração, ou mesmo para evitar uma invasão no futuro, quando inadvertidamente alguém use uma versão antiga com a falha, algo que com certeza irá ocorrer. Hoje há registros de invasão por vulnerabilidades descobertas há dez anos. É nesse ponto que ocorrem falhas de interpretação capazes de permitir uma invasão. Algumas tecnologias de segurança são completamente inócuas para alguns tipos de ataques, enquanto outras fornecem apenas uma visão
