Enquanto as organizações têm de fazer uma análise de custo- benefício sobre a protecção, incluindo factores como tempo e abrangência, em horas um hacker cria malware para explorar uma falha, assinala José Luís Antunes, consultor de pré-venda da Arrow, para tecnologia Fortinet.
José Luís Antunes, consultor de pré-venda da Arrow, para tecnologia Fortinet
Muito se tem dito nos últimos tempos sobre a falta de actualizações atempadas de software nos sistemas informáticos e das respectivas consequências em termos de vulnerabilidade a ataques massivos. A situação é um pouco mais complexa do que pode parecer à primeira vista e não existem respostas fáceis nem remédios universais.
Atualizar ou não atualizar? Esta é na verdade uma questão que não se põe, a atualização do software é indispensável em qualquer situação em que seja usado em redes com comunicação com o mundo exterior. Esta comunicação pode ser direta, está “ligado à rede”, ou algo tão simples como introduzir uma PEN USB num sistema isolado.
Em ambos os casos a exposição do sistema a ameaças exteriores dita a necessidade da sua atualização para evitar a infeção. Então como é possível que existam tantos sistemas críticos desatualizados, logo desprotegidos, no mundo informático?
Uma das razões tem a ver com a possibilidade de a própria atualização poder gerar problemas. Já todos ouvimos falar de atualizações que deixaram operacionais computadores, telemóveis e outros equipamentos.
Quando temos um parque informático de grande dimensão as consequências deste tipo de situação podem ser tão ou mais graves do que as que pretendemos evitar se a aplicação das atualizações levar à completa indisponibilidade de toda a infraestrutura em simultâneo. Imagine-se, por exemplo, um hospital em que todos os computadores param ao mesmo tempo devido a um problema deste tipo e estamos perante um cenário catastrófico.
Por esta razão nas infraestruturas de grande dimensão a aplicação de atualizações só é desencadeada depois de testes preliminares e é feita de forma faseada, o chamado rollout, para minimizar o possível impacto de algum problema com o processo e evitar a total indisponibilidade dos sistemas informáticos das organizações. Este processo pode levar dias ou mesmo semanas nas organizações de maiores dimensões.
Do outro lado da barreira, do lado de quem pretende comprometer os sistemas, a questão é bem mais simples: mesmo não havendo conhecimento prévio da vulnerabilidade que a atualização pretende mitigar, uma vez disponibilizada a solução para ela torna-se fácil perceber qual o problema inicial e como explorá-lo.
Numa questão de horas é possível criar malware capaz de alavancar as vulnerabilidades e comprometer sistemas. Esta disparidade cria uma janela de oportunidade durante a qual literalmente toda a gente conhece o problema, mas poucos implementaram a solução.
No caso de alguns ataques recentes a situação é um pouco diferente, mas o racional é o mesmo: a doença já era conhecida há umas semanas, mas ainda nem toda a gente tinha tomado a vacina. Para fazer um paralelo com o mundo que nos rodeia pensemos que pode haver quem seja alérgico à vacina em causa e acabe por sofrer consequências piores ao tomá-la do que sofreria com a doença original.
E como nos protegemos?
Para lidar com esta situação, bem como uma série de outros vetores de ataques que ameaçam os nossos sistemas informáticos, temos à nossa disposição, entre outros, dispositivos que monitorizam a nossa comunicação com o mundo exterior e nos protegem dos vários tipos de ameaças. Vamos utilizar a expressão genérica firewall para designar estes dispositivos por ser a mais divulgada mantendo em linha de vista que na verdade seria mais correto referi-los como Unified Threat Management e/ou Next Generation Firewall.
Da mesma forma que um hacker consegue num intervalo de tempo relativamente curto alavancar uma vulnerabilidade para proveito próprio um fabricante de dispositivos de segurança também consegue num tempo comparável delinear uma forma de detetar e proteger os sistemas contra essa vulnerabilidade. Uma vez que o número de firewalls numa dada organização é tipicamente muito inferior ao número de postos de trabalho e servidores da mesma torna-se possível proteger a globalidade da infraestrutura desta forma enquanto se procede ao rollout das atualizações.
Mas parece que afinal não funcionou
Exemplos recentes parecem evidenciar que qualquer coisa falhou no raciocínio acima, senão vejamos: a vulnerabilidade já era conhecida do público há várias semanas, as atualizações já estavam disponíveis e, no entanto, nem os sistemas nem as firewalls estavam defendidas contra este tipo de ataque. Vamos para já descontar o facto incontornável que as firewalls também precisam de ser atualizadas para ser eficazes e assumir que o foram assim que os respetivos fabricantes disponibilizaram informação para tal.
A falha no nosso raciocínio tem a ver com o facto de termos deixado de fora uma variável muito importante: dada a interminável variedade dos vetores de ataque que atualmente existem os administradores de sistemas, neste caso das firewalls em particular, vêem-se obrigados a escolher para onde virar as suas defesas. Ou seja, de entre todas as proteções disponíveis na sua firewall estão limitados a utilizar aquelas que consideram mais críticas devido aos limites de capacidade de processamento dos equipamentos que utilizam.
E então? Não há solução?
Certamente que sim: uma análise custo benefício das soluções de proteção, firewalls e não só, para perceber se a opção por equipamentos com mais capacidade de processamento para utilizar a totalidade dos mecanismos de defesa presentes nos equipamentos usados, é adequada. Vamos considerar um exemplo de outro tipo de infeção para ilustrar a diferença entre que por vezes nos escapa entre o mundo informático e o mundo que nos rodeia.
A varíola foi erradicada em 1980 logo ninguém nos dias de hoje é vacinado contra a varíola. No mundo informático não existe o conceito de erradicação, é sempre possível recriar uma ameaça, no entanto os sistemas de proteção tipicamente apenas nos defendem de ameaças ativas devido ao já referido número interminável de vetores de ataque passados e presentes.
Outras doenças são específicas de certas regiões do mundo e apenas quando pretendemos viajar para esses locais nos vacinamos contra elas. No mundo digital não existem estas barreiras geográficas e, literalmente, qualquer “doença” pode afetar qualquer sistema em qualquer momento. Os sistemas têm de estar protegidos contra toda e qualquer ameaça independentemente da sua origem.
É aqui que reside o desafio: quando vamos ao médico e nos queixamos de sintomas mais ou menos vagos não é de todo possível que ele nos mande fazer exames para despiste de todas as doenças conhecidas que possam resultar nos ditos sintomas. Para além da questão económica provavelmente acabaríamos por morrer de velhice, ou da doença se fosse grave, antes de terminar todos os exames.
Para complicar a questão nos sistemas informáticos as infeções propagam-se infinitamente mais depressa do que no mundo humano. Aqui residem as grandes questões de qualquer administrador de sistemas de segurança: quanto investir para ter os meios de diagnóstico e a capacidade de os utilizar, não vale a pena ter um hospital equipado se não tiver médicos, e qual a perturbação, leia-se lentidão para o utilizador, que a utilização destes meios vai introduzir.
Não existem respostas fáceis e/ou certas para estas questões, mas existe sim a necessidade de todos estarmos a par da sua existência e de alguma forma dar a nossa contribuição para a sua resolução.