O que é um exploit, e como defender-se do perigo?

O termo “Exploit” é facilmente compreensível em português, estando associado ao verbo “explorar.” Em linguagem corrente poderíamos dizer que “atletas de topo são capazes de explorar as fraquezas dos adversários” ou que “a tragédia foi explorada pelos média”. É neste contexto que um “exploit” ganha sentido.

Designa-se habitualmente como exploit o ato, independentemente da sua natureza técnica, de abusar das vulnerabilidades de um sistema em prejuízo do utilizador, proprietário, cliente, etc., e em benefício do hacker que o promove. Podem existir exploits não intencionais, mas são atualmente raros e não é com eles que o grande público se preocupa.

O objetivo do exploit é violar a chamada “tríade CID” (confidencialidade, integridade e disponibilidade). A tríade constitui o princípio básico de um conjunto de práticas de segurança, pois o objetivo é manter a confidencialidade dos dados, manter a integridade e disponibilizar os dados apenas a pessoas com autorização.

Os níveis de alcance de exploit são imprevisíveis. Um ataque de engenharia social pode ser direcionado a um funcionário com um determinado nível de permissões, havendo a possibilidade de recolher informação à qual ele tenha acesso ou injetar um vírus na respetiva máquina. Quanto mais elevado o seu nível de permissões dentro da organização, maiores os riscos. No limite, toda a rede pode ser espionada pelos hackers, infetada com malware, ou progressivamente violada até que o cibercriminoso consiga acesso “root”, com capacidade para destruir ou inutilizar dados, programas e sistemas.

Um exploit de segurança também se pode dar offline, supondo, por exemplo, que um hacker descobre os dados de acesso de um dos utilizadores a uma área restrita e, uma vez no interior, rouba dados confidenciais. O hacking não tem de se limitar ao domínio de sistemas informáticos; na base, trata-se de ludibriar o sistema de segurança, online e/ou offline.

Em termos técnicos, o exploit é um elemento de software, dados ou sequência de comandos que tira partido de uma vulnerabilidade para criar uma ação inesperada ou conceder acesso não autorizado a dados confidenciais. Logo que as vulnerabilidades são identificadas, são colocadas na base de dados CVE (Common Vulnerabilities and Exposures), ferramenta que integra o sistema de cibersegurança do governo dos Estados Unidos. A Agência da União Europeia para a Cibersegurança (ENISA) também dispõe de uma ferramenta semelhante.

Os criminosos poderão instalar malware, como spyware, ransomware, cavalos de Tróia (Trojan horses), worms ou vírus, no computador, telemóvel ou rede empresarial da vítima. Os danos poderão ser de natureza pessoal (espionagem de políticos, como sucedeu no caso Pegasus) ou poderão criar disrupção em grande escala, como se verificou no caso do ataque informático à Vodafone.

A execução de ataques DDoS, o cancelamento de um serviço ou a colocação de scripts em sites ou anúncios são outras formas de explorar vulnerabilidades de um sistema de segurança.

Como se depreende, exploit é um termo técnico simples e que pode ser usado quase como sinónimo de “ciberataque” ou “ataque informático”. É, por esse motivo, muito utilizado tanto na literatura especializada sobre informática e TIC como em artigos de jornal mais generalistas. Trata-se sempre da execução de um ataque malicioso e com potencial para prejudicar a vítima de várias formas.

Como identificar um exploit

Como estamos a falar de ciberataques, não existem sinais óbvios que possam ser detetados. O utilizador geralmente não tem forma de saber que foi atacado até ser demasiado tarde. Daí a importância de manter o software sempre atualizado e instalar as correções de segurança disponibilizadas pelo fornecedor do programa. Se, por exemplo, a Microsoft lançar uma correção para uma vulnerabilidade identificada no Windows e você não a instalar, estará a deixar uma porta aberta para hackers e criminosos.

Embora possa não perceber imediatamente a presença de um exploit, assim que o malware se infiltra, poderá sentir alguns efeitos. Deve estar atento a sinais comuns de uma infeção por malware, tais como:

• Dispositivo cada vez mais lento
• Crashes e falhas frequentes
• Alterações inexplicáveis nas configurações
• Excesso de pop-ups ou anúncios indesejados
• Falta de espaço de armazenamento

É importante notar que estes sintomas também podem dever-se a outras razões perfeitamente normais e não relacionadas com um ciberataque (por exemplo, a bateria viciada ou um disco rígido que não é esvaziado há muito). Porém, a possibilidade de um ataque com malware nunca pode ser descartada.

“Exploit” e “vulnerabilidade” não são exatamente a mesma coisa. Basicamente, uma vulnerabilidade é uma fraqueza em um sistema que os hackers podem descobrir, e um exploit é o ato de usar essa fraqueza para injetar malware ou obter acesso ao sistema. No entanto, uma vulnerabilidade pode existir sem ser “explorada”.

Podemos fazer um paralelo aqui com atividades criminosas offline. Por exemplo, um carteirista pode perceber que uma carteira está a cair do bolso de uma pessoa (uma vulnerabilidade). Ele pode então sorrateiramente “palmá-la” (explorar essa vulnerabilidade). No artigo em que analisamos o que é uma vulnerabilidade de dia zero também apresentamos outro exemplo do mundo real: a garagem de um apartamento que ficou aberta por esquecimento e completamente vulnerável à ação de qualquer ladrão.

Os hackers geralmente utilizam kits de exploit para descobrir automaticamente vulnerabilidades. Esses programas podem identificar vulnerabilidades nos sistemas dos utilizadores. Depois de analisar um dispositivo e descobrir essas fraquezas, o kit de exploit pode injetar o malware. O ransomware, por exemplo, é frequentemente disseminado por meio de kits de exploit.

Existe uma janela de exploração de vulnerabilidade, um período entre o lançamento de um software que contém uma vulnerabilidade e o lançamento de um patch que a corrija. Quando a empresa responsável pelo software identifica uma vulnerabilidade, procura corrigi-la rapidamente para que os hackers não a descubram e a explorem. No entanto, quando um patch é lançado, não há garantia de que todos os utilizadores venham a instalar a atualização imediatamente, o que pode prolongar a janela de vulnerabilidade.

Assim como outros tipos de ciberataques, os exploits podem ser classificados de várias maneiras. A classificação mais comum divide-os categorias: vulnerabilidades identificadas e exploits de dia zero.

• Vulnerabilidades identificadas: Suponhamos que determinada vulnerabilidade é descoberta. O programador, “software house” ou outro responsável desenvolve e lança um update para corrigi-la, tornando-a pública através no registo americano ou europeu de Vulnerabilidades e Exposições Comuns (CVE). Porém, a falha de segurança continuará a existir para todos os utilizadores que não atualizarem o seu software. Os hackers continuarão a poder explorá-la.
• Exploits de dia zero: são exploits ainda não identificados. O nome indica que os responsáveis têm zero dias para corrigir a falha, porque os hackers já a terão descoberto e podem explorá-la a qualquer momento. Quando os hackers descobrem essas falhas, tentam mantê-las em segredo, para explorá-las durante um longo período de tempo (podendo, em alternativa, vender o conhecimento delas na dark web a outros hackers que queiram realmente explorá-las.) Esses exploits são especialmente perigosos, pois não há patches disponíveis para eles (pelo menos até que sejam descobertos).

Também é possível classificar os exploits de acordo com a forma como ocorrem:

• Exploits remotos: executados em rede, exploram vulnerabilidades sem que exista acesso prévio ao sistema. Estes ataques são impessoais e visam um grande número de utilizadores. Por exemplo, um hacker pode analisar um servidor remotamente, obter acesso e usar um exploit local para injetar malware.
• Exploits locais: requerem acesso prévio a um sistema vulnerável e elevam os privilégios do hacker a um nível superior.
• Exploits de cliente: envolvem interação direta com o utilizador do dispositivo alvo e geralmente dependem de táticas de engenharia social. Nesses casos, um hacker pode entrar em contato com a vítima, fingir ser outra pessoa e convencê-la a fornecer informações pessoais ou senhas.

A história regista imensos exemplos de exploits eficazmente explorados, com os mais diversos fins. Vejamos alguns exemplos célebres:

• A 25 de janeiro de 2003, o SQL Slammer infetou cerca de 75 000 servidores em 10 minutos, causando disrupções em voos, máquinas multibanco e muito mais, nas regiões do mundo onde a internet já era mais usada (Ásia, Europa e América do Norte). A Microsoft lançou um update de correção e milhões foram investidos para evitar situações semelhantes, mas o facto é que os responsáveis nunca foram encontrados.
• Em 2010, o Stuxnet explorou vulnerabilidades de dia zero que comprometeram o programa nuclear do Irão, suspeitando-se de intervenção israelita e norte-americana.
• Em 2017 foi a vez do famoso WannaCry, que explorou o controverso exploit EternalBlue presente no Windows para lançar um ataque de ransomware.

Eis algumas medidas preventivas que podem ajudá-lo a evitar exploits:

• Utilize encriptação de ponta a ponta. Ao utilizar encriptação de ponta a ponta, os seus dados permanecerão seguros, mesmo que alguém os intercete, pois eles não terão acesso à chave privada necessária para decifrá-los. Isso significa que mesmo que os seus dados estejam a ser transmitidos por canais inseguros, eles permanecem protegidos contra interseções. Verifique se essa funcionalidade está implementada nas apps que utiliza para partilhar ou trocar dados confidenciais.
• Para garantir encriptação em toda a sua atividade, e não apenas nas suas mensagens de WhatsApp, o ideal é utilizar uma VPN. Além de tornar quase indecifrável o conteúdo das suas comunicações a terceiros não autorizados, uma VPN pode ajudá-lo a evitar ataques MITM (“man-in-the-middle”) ou “DNS spoofing”. Além disso, a funcionalidade de Proteção Contra Ameaças da NordVPN traz-lhe proteção contra malware, proteção contra rastreadores e ainda um bloqueador de anúncios, que até deixará a sua navegação mais rápida e cómoda.
• Mantenha os seus programas e apps sempre atualizados. Como mencionado anteriormente, os exploits geralmente acontecem quando as pessoas adiam a atualização do seu software. Quanto mais tempo você esperar para fazer o download do patch de segurança mais recente para o seu navegador ou sistema operativo, mais tempo os hackers têm para explorar as vulnerabilidades de segurança. Pode parecer aborrecido no momento, mas é importante.
• Utilize senhas fortes. Os hackers podem tentar usar programas para adivinhar passwords e obter acesso ao seu sistema. No entanto, se utilizar senhas complexas, combinando caracteres aleatórios e números não sequenciais, pode tornar-se quase impossível aceder à sua conta através de ataques de “força bruta”. A nossa funcionalidade NordPass facilita a gestão de passwords, em total segurança.
• Use o bom senso para se defender de ataques de engenharia social. Não abra links, anexos ou mensagens de remetentes em que não confie totalmente. Desconfie de mensagens sensacionalistas ou que o incitem a clicar imediatamente. Não faça o download de aplicações de fontes não verificadas e pesquise sempre sobre a app antes de instalá-la, mesmo que seja de uma loja online legítima como o Google Play ou a App Store.