Vulnerabilidades

Olá pessoal!

Diz-se que a perfeição é algo que pertence ao mundo divino e não ao humano, e que nossas lógicas são sempre falhas, pois não temos o conhecimento pleno de tudo (a oniciência também é um atributo divino)
Concordo.
E você?

Se você também concorda, podemos afirmar que tudo o que nós, humanos, fazemos é falho, ou contém falhas.
E os programas que fazemos também.
Todos.
Sem exceção.
Costumo dizer que encontrar estas falhas é questão de tempo e motivação.

Sendo então a condição falha dos programas uma realidade, é preciso levantar duas situações:
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?

Vamos analisar 2 casos?

Em 22/12/2010 a Microsoft emitiu um comunicado reconhecendo uma falha no Internet Explorer que permitia execução remota de código, ou seja, alguém poderia executar qualquer comando remotamente em uma máquina, e para isso era necessário apenas que esta máquina acessasse um site especialmente preparado para explorar a vulnerabilidade.
Em 08/02/2011 a Microsoft publicou um boletim de segurança contendo a correção para esta falha, e todas as pessoas que instalassem esta correção não estariam mais vulneráveis.
O Internet Explorer permaneceu vulnerável por 47 dias, certo?
Errado.
Esta mesma vulnerabilidade havia sido noticiada em 14/10/2010 por uma entidade chamada CVE, então o número sobe de 47 para 115.
Deixamos ainda de computar o tempo em que esta vulnerabilidade não foi divulgada no CVE, e era de conhecimento apenas de um grupo (talvez mal intencionado...).
Em 08/12 já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.

Quer um caso mais recente?
Vamos lá.

Eric Romang descobriu arquivos suspeitos num servidor em 14/09 e publicou dia 16/09 em seu blog a vulnerabilidade.
A 1 semana atrás (17/09/2012) a Microsoft emitiu um comunicado reconhecendo a falha no Internet Explorer que permitia execução remota de código, e neste mesmo dia já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.
O CVE publicou mais informações no dia seguinte (18/09).
Dia 19/09 a Kaspersky disponibilizou atualização de seu produto que bloqueia acesso a sites que contenham código para explorar a vulnerabilidade.
Segundo a agencia StatCounter 41% dos internautas americanos estão vulneráveis. Entre 17/09 e 21/09, a solução apontada pelos pesquisadores para o problema foi: Temporariamente use outro navegador.
Dia 21/09 a Microsoft publicou uma correção para a vulnerabilidade.

Lembra das duas questões que propusemos antes?
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?
Vou arriscar algumas respostas.
Os responsáveis têm se tornado mais responsáveis. Percebo que as grandes empresas de software, em geral, têm tratado as vulnerabilidades com mais agilidade, mas as boas empresas com foco em segurança são ainda mais ágeis, e oferecem medidas mitigatórias ou de contenção mais rapidamente.
E para se proteger das falhas a receita não muda:
- Atualize tudo, sempre, e o mais rápido possível;
- Tire o seu da reta, ou seja, evite usar programas que estão na mira dos códigos maliciosos, não seja parte do alvo;
- Esteja atento à divulgação de falhas e vulnerabilidades.

Até o próximo!