Zero-Day (ou 0-Day… ou ainda “Dia Zero”) é pura e simplesmente a
estratégia por trás de grande parte dos mais bem elaborados ataques
a sistemas computacionais da atualidade !!!
Sua definição é simples… os cenários de uso e o comportamento de quem
os descobre (ou produz) é que potencializam os estragos de sua
utilização e o tornam uma ameaça constante e perigosa.
Zero-Day é tão somente uma falha de segurança
não explorada e não documentada, ou seja, um vetor de ataque (ferramenta
e/ou método de exploração) contra a qual não existe correção conhecida
(patches, service packs, hotfixies, recomendações técnicas) uma vez que o
próprio desenvolvedor da solução ou quaisquer soluções de detecção e/ou
correção de vulnerabilidades – a priori – não conhecem, ainda, a falha.
É algo como um vírus para o qual nenhuma empresa de anti-vírus tem
vacina, ou uma falha explorável em um serviço de acesso remoto que,
caso explorada, não vai ser reportada por nenhum sistema de detecção de
intrusões uma vez que sua “assinatura” (identificação da
vulnerabilidade) não é, ainda, conhecida.
Pois bem, se até agora você ainda não associou o termo Zero-Day às
manchetes recentes vamos elencar somente algumas grandes “catástrofes”
dos últimos tempos que usaram (ou cujas falhas por trás podem ter sido
utilizadas):
HeartBleed
A vulnerabilidade na mais utilizada implementação do protocolo SSL (o
OpenSSL) existiu por mais de 2 anos (isso mesmo!!! 2 ANOS) e, até
ter sido divulgada e corrigida – no início de 2014 – pode ser
considerada um Zero-Day disponível para todos os que dela tiveram
conhecimento prévio.
ShellShock (BashDoor)
Divulgada em setembro/2014 essa gravíssima falha no Bash – interpretador
de comandos (shell) mais utilizado em sistemas Unix/Linux – afetou (na
verdade ainda afeta todos os sistemas que não a corrigiram) milhões de
equipamentos em todo o mundo.
Em
outros cenários o uso do Zero-Day tem sido ainda mais preocupante, como
o uso na CyberWar (guerra cibernética entre países). Um dos primeiros
ataques de grandes proporções (e consequências) envolvendo países, o
StuxNet
– onde um vírus/worm foi produzido para encontrar e comprometer
equipamentos de controle de usinas atômicas do Irã – utilizou pelo menos
4 (quatro) Zero-Days !!! que exploravam falhas ainda não reportadas em
sistemas Microsoft Windows para comprometer sistemas e realizar
operações internas – nesse caso em específico acesso ao sistema de
controle das usinas israelenses baseados no software Scada da Siemens.
Depois disso, utilizando a mesma estratégia, vieram outros ataques do tipo como o
Duqu e o
Flame…
variam os interesses, os países envolvidos, os alvos, as estratégias,
mas por trás de tudo, fazendo “o serviço pesado” está (ou estão) um ou
mais Zero-Days .
Uma
polêmica recente é o uso – por empresas que fazem pentests (testes de
intrusão autorizados) – de exploits (softwares de exploração de
vulnerabilidades) baseados em zero-day. O argumento é o de que caso o
pentest tradicional não consiga comprometer o sistema do cliente, o
pentester utiliza zero-days desenvolvidos (ou adquiridos) especialmente
para essas situações.
Essa estratégia é contestável uma vez que os clientes que contratam
pentests querem saber se seus sistemas estão vulneráveis a ataques
“tradicionais” e, quando uma empresa de pentest não consegue por vias
normais comprometer o sistema-alvo e utiliza-se de zero-days para isso,
apesar de deixar uma “boa impressão” (já que mostrou que tem
expertise
para comprometer o sistema do cliente) a técnica utilizada, em si,
comprometeria praticamente qualquer sistema, descaracterizando a
essência da prática de pentests.
Polêmicas à parte, o fato é que com a utilização cada vez maior de
Zero-Days nas mais diversas atividades relacionadas à busca de
comprometimento de sistemas a coisa está virando literalmente “um
mercado” atraindo desenvolvedores de exploits baseados em Zero-Days, e
até o comportamento de pessoas conhecidas como “caçadores de
vulnerabilidades” – que, em sua maioria, ao descobrir falhas procuravam
os desenvolvedores dos códigos para reportá-las recebendo por vezes
apenas os créditos da descoberta ou no máximo uma gratificação de
empresas afetadas – vem mudando, uma vez que é mais lucrativo (embora de
ética contestável) descobrir e vender (ou usar !?) por milhares de
dólares a empresas, governos ou quaisquer interessados em utilizá-los em
ataques.
Esse artigo não é conclusivo… a polêmica existe e está longe de
terminar! O fato é que o Zero-Day chegou pra ficar (já existia, mas
ficou mais evidente e lucrativo) o que termina por aquecer ainda mais o
mercado de Segurança da Informação.
Fonte:
Segurança de Redes
