Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.

O zero day, que é literalmente dia zero, é um bug ou exploração de software que não foi corrigido. Por exemplo, a desatualização de um aplicativo que você não notou, ou que continua ignorando a notificação aí no seu celular ou computador.

Você pode não perceber, mas tenha certeza: um criminoso está só esperando a oportunidade para explorar essa brecha e obter suas informações.

Você que nos acompanha aqui no blog, já sabe que estamos sempre falando de vulnerabilidades, brechas e riscos. Tantos as mais conhecidas, como as novas estratégias utilizadas em ataques cibernéticos.

Por isso hoje conversaremos sobre a Zero Day, uma vulnerabilidade que não é nova, mas que muitas vezes é ignorada.

No artigo de hoje, a nossa conversa será sobre zero day, ajudando você:

  • Entender o que é e como essa vulnerabilidade é explorada;
  • Conhecer os exemplos de ataques ocorridos;
  • Saber quem são os alvos e como manter sua empresa segura.

O que gera uma Zero Day?

Para que não restem dúvidas, precisamos lembrar que uma vulnerabilidade de dia zero é uma falha de segurança de um software conhecida pelo fornecedor do software, mas que não possui um patch para corrigir a falha. E por não ter sido corrigida, pode ser potencialmente explorada criminosos cibernéticos.

Mas, o que seria uma vulnerabilidade de software?

Quando pensamos em segurança cibernética, precisamos lembrar que vulnerabilidades são falhas não intencionais encontradas em softwares ou sistemas operacionais.

Essas vulnerabilidades podem ser resultado de configurações incorretas do computador, de segurança e erros de programação ou ainda, falta de atualizações que corrigem e sanam as brechas.

A brecha "dia zero" refere-se a uma vulnerabilidade de software recém-descoberta. Como o desenvolvedor acabou de descobrir a falha, isso também significa que um patch ou atualização oficial para corrigir o problema não foi lançado.

Esse nome também faz referência ao fato de que os desenvolvedores têm "zero dia" para corrigir o problema que acabou de ser exposto, evidenciando a urgência da correção, que talvez já está sendo explorada por crackers.

Sendo assim, depois que a vulnerabilidade se torna conhecida publicamente, o fornecedor precisa trabalhar rapidamente para corrigir o problema para proteção dos seus usuários.

Mas, pode ocorrer que o fornecedor do software não consiga lançar um patch antes que os crackers utilizem a brecha na segurança. É basicamente isso que classifica um ataque de dia zero.

Agora que entendemos como essa vulnerabilidade funciona, veremos alguns exemplos em que ela foi utilizada em ataques.

Exemplos de ataques

Mesmo sendo uma vulnerabilidade não tão falada, o zero day é uma vulnerabilidade bastante explorada. Principalmente porque ela está diretamente ligada com um fator que é comum a todos os sistemas: as falhas.

Apesar das atualizações e modificações constantes, não existe um software infalível, por isso há um esforço constante por parte dos profissionais da segurança da informação para conhecer as falhas e desenvolver soluções para as mesmas.

Stuxnet

O Stuxnet - um tipo de vulnerabilidade de dia zero - foi uma das primeiras armas digitais usadas. O Stuxnet é um worm de computador auto-replicante e altamente infeccioso, que interrompeu as usinas nucleares iranianas.

A ameaça assumiu o controle dos computadores, alterou a velocidade das centrífugas nas plantas e as fechou. Com isso, as substituições das centrífugas aumentaram de uma forma grandiosa e duvidosa.

Ao analisarem o worm os pesquisadores da Symantec, Eric Chien e Liam O'Murchu descobriram que o Stuxnet é um worm de computador bem-criado, que somente um governo nacional poderia criar para controlar instalações industriais em larga escala.

O êxito do ataque também se deu pelo grau de dificuldade para encontrar essas vulnerabilidades e explorá-las. Dos mais de 12 milhões de malwares que os pesquisadores de antivírus descobrem a cada ano, menos de uma dúzia usa uma exploração de dia zero.

Operação Aurora: Adobe Type Windows encontram-se na mira

A operação aurora foi uma operação que começou nos meados de 2009, e veio a público em 12 de janeiro de 2010. Ela combinou uma série de ataques cibernéticos conduzidos com estratégias persistentes e avançadas, direcionadas pelo Exército de Libertação Popular, que tem sua sede em Pequim, China.

Os ataques foram direcionados a dezenas de organizações, das quais a Adobe Systems, Juniper Networks e Rackspace confirmaram publicamente terem sido alvos. Uma das técnicas utilizadas nesta operação foi, justamente, a zero day. Apesar da correção por parte da Microsoft na época, as manchetes mostram que a Adobe Systems e Windows voltam a estar na mira dos criminosos.

A Microsoft está avisando os usuários sobre uma nova exploração que existe no Windows. Em um comunicado publicado no site do MSRC no mês de março, a empresa alertou sobre a exploração tirar proveito da Adobe Type Manager Library do software que acompanha o sistema operacional.

A organização alertou que o ataque limitado e direcionado ocorre quando a Biblioteca "manipula incorretamente uma fonte multimestre especialmente criada - formato Adobe Type 1 PostScript", acrescentando que existem "várias maneiras pelas quais um invasor pode explorar a vulnerabilidade, como convencer um usuário a abrir um documento especialmente criado ou visualizá-lo no painel de visualização do Windows ".

A Microsoft declarou: “estamos cientes dessa vulnerabilidade e trabalhando em uma correção", acrescentando no documento que está compartilhando as informações para "ajudar a reduzir o risco do cliente até que a atualização de segurança seja lançada".

Medidas de prevenção contra a Zero Day

O que leva uma empresa a se tornar um alvo a ser explorado com a zero day?

Como vimos até aqui, a zero day explora as falhas de segurança em softwares que ainda não foram corrigidas. Essas vulnerabilidades de dia zero geralmente estão envolvidas em ataques direcionados; no entanto, muitas campanhas ainda usam vulnerabilidades antigas.

E muitas vezes os ataques que exploram essas falhas obtém sucesso porque as correções para segurança demoram ocorrer, sendo corrigidas, especialmente quando são consideradas críticas. No entanto, nem todas as organizações e usuários os aplicam imediatamente, e a equipe de TI geralmente fica em um estado de fluxo.

As organizações levam em média mais de 30 dias para corrigir sistemas operacionais e aplicativos padrão e meses ou anos para corrigir aplicativos e sistemas comerciais mais complexos.

Por isso, para manter seu computador e dados seguros, é inteligente tomar medidas de segurança proativas e reativas.

Antivírus

Ações de defesa contra essa vulnerabilidade precisam envolver, primeiramente ações proativas, como a utilização de um software de segurança abrangente, um antivírus bom, que proteja contra ameaças conhecidas e desconhecidas.

Atualizações constantes

A segunda ação é ser é reativo, instalando imediatamente novas atualizações de software quando elas forem disponibilizadas pelo fabricante para ajudar a reduzir o risco de infecção por malware.

As atualizações de software permitem instalar as revisões necessárias no software ou sistema operacional. Isso pode incluir adicionar novos recursos, remover recursos desatualizados, atualizar drivers, fornecer correções de bugs e, o mais importante, corrigir falhas de segurança que foram descobertas.

Não esqueça de manter os patches de software e segurança atualizados, baixando as últimas versões e atualizações de software. A instalação de patches de segurança corrige os erros que a versão anterior pode ter perdido.

Garanta a segurança da rede - Starti Security

Além de garantir a proteção e mitigação das falhas nos computadores, de maneira individual, é fundamental que a rede esteja protegida, que exista um software que garante a privacidade e controle aos acessos de uma rede, principalmente de redes corporativas.

Nesse ponto o firewall é a peça chave. O firewall é a ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores. Com esse controle, somente usuários autorizados terão permissão de acesso à rede.

O recurso impede ainda a entrada e saída de informações confidenciais, pois controla a transferência de dados do computador através da internet, prevenindo o envio de arquivos privados à rede.

Isso porque o firewall compara as informações enviadas e recebidas com as configurações de segurança definidas pelo administrador e autoriza ou bloqueia os pacotes de dados.

Nós da Starti desenvolvemos o Starti Security, uma solução desenvolvida para PMEs, capaz de mitigar vulnerabilidades e impedir acessos indevidos à rede, proteger, otimizar e controlar a navegação dos usuários e elevar a produtividade e disponibilidade do negócio.

Uma ferramenta completa para seus clientes. Clique no banner abaixo e descubra como alcançar bons resultados ofertando essa solução de segurança.

banner-parceria-12

Conclusão

Abordar vulnerabilidades como a zero day nos alerta para duas coisas: a primeira é que as vulnerabilidades sempre irão existir, porque nenhum sistema é infalível. A segunda é que os criminosos estão em constante alerta, em busca de novas falhas para explorar, portanto, além das medidas de prevenção e segurança, é necessário ter ações conscientes em relação à segurança das informações.

Não podemos “zerar” riscos, mas nossas ações podem construir uma cultura mais segura e empresas mais protegidas. Entregamos conteúdos semanais sobre cibersegurança para você.

Acompanhe outros conteúdos em nossas plataformas:

YouTube | Facebook | Instagram | LinkedIn | Podcast Brasil inSeguro

Cola com a Starti, juntos nós vamos construir um #BRASILSEGURO!

Fontes

Varonis | Cnet | Wired | Norton