Vulnerabilidades em softwares são presença constante no noticiário ultimamente. Heartbleed e Shellshock deixaram os setores de TI pelo mundo preocupados e em correria para proteger servidores que acreditavam estar seguros. Essas vulnerabilidades começaram a abalar a confiança que os usuários tinham de que sites e outros aplicativos que se diziam seguros, são de fato seguros. O fato é que os desenvolvedores de softwares não estão muito preocupados com a segurança. Sempre haverá uma vulnerabilidade de dia-zero a ser descoberta a qualquer momento, de forma que não existe nenhum ambiente 100% seguro.

Mas, o que podemos aprender disso?

  1. Softwares possuem bugs

A internet funciona sobre várias camadas de softwares que foram escritos (e são mantidos) por milhares de engenheiros. Muitos desses códigos podem ser instrumentos para o seu negócio, contudo, ainda sim podem conter falhas críticas que podem ser utilizadas para comprometer sua segurança.

  1. Se seu sistema está vulnerável, provavelmente esteve vulnerável desde a implantação

Em segurança da informação, é preciso estar certo 100% das vezes, enquanto um hacker só precisa acertar uma única vez para conseguir o acesso. Entretanto, no caso das grandes vulnerabilidades, nem estando 100% certo pode ser o suficiente para proteger a infraestrutura.

Por um longo período de tempo, você esteve vulnerável mesmo que tenha realizado todos os patches em tempo hábil e tenha se posicionado por trás de uma complexa defesa de rede com as últimas regras de IPS. Isso porque ninguém “sabia” sobre essas vulnerabilidades, não existiam patches nem regras de IPS que poderiam detê-las. Até o momento em que o Heartbleed e o Shellshock foram divulgados publicamente, os hackers que possuíam esse conhecimento estavam explorando essas vulnerabilidades sem ninguém saber. Explorando essas vulnerabilidades inclusive em ataques direcionados e persistentes. Um atacante que possuí uma vulnerabilidade ainda desconhecida e a utiliza em um ataque direcionado possuí uma arma poderosa, e virtualmente impossível de ser detectada.

  1. O risco é altíssimo logo depois das divulgações

Se o seu sistema estava vulnerável, existe uma janela de tempo entre o anúncio público das vulnerabilidades e a implementação do patch de correção. Nesse período, criminosos podem explorar a vulnerabilidade para roubar credenciais de acesso e controlar remotamente seus sistemas.

Nos dois casos, a divulgação foi seguida horas depois por testes de vulnerabilidade. Os testes auxiliam para ver se estamos seguros, mas também são ferramentas poderosas para os hackers. Logo depois que essas ferramentas são publicadas elas começam a ser utilizadas por criminosos para scanear e comprometer sistemas vulneráveis.

A verdade é que você é jogado em uma corrida que não estava esperando, e é vital para o negócio que você ganhe essa corrida.

  1. Vai haver outra vulnerabilidade

Já podemos interiorizar a noção de que outra grande vulnerabilidade será divulgada a qualquer momento. Talvez será uma vulnerabilidade de dia-zero no stack da Microsoft, ou talvez será no código aberto. Não importa onde e como vai ser, o que importa é que em algum momento vai acontecer.

wireless-attack