Dia zero: tudo sobre ataques e exploits de dia zero

Um dia zero é uma falha de segurança de um software e/ou hardware, da qual os programadores ou responsáveis pela gestão não têm conhecimento. A expressão refere-se ao número de dias durante os quais os responsáveis tiveram conhecimento da falha e também ao número de dias que os responsáveis têm para resolver o problema assim que o descobrem! Em ambos os casos, a expressão mostra bem a urgência imediata que uma situação destas representa, quando descoberta.

Imagine uma família que mudou de casa e entregou o apartamento antigo a um agente imobiliário, encarregue de o vender. Certo dia, o agente mostra o apartamento a um potencial comprador, incluindo a garagem fechada, no piso subterrâneo do prédio. No final da visita, o agente fecha o apartamento mas, por esquecimento, deixa a garagem aberta.

Nas semanas seguintes, a garagem permanece aberta, com todo o seu conteúdo (bicicletas, ferramentas, brinquedos, roupas armazenadas, etc.) plenamente exposto ao ataque de qualquer ladrão, que só tem de entrar e saquear o que quiser. Nem o agente imobiliário nem a família têm conhecimento da situação. Esta comparação é equivalente a uma situação de dia zero.

A falha de segurança pode ser de natureza diversa:

• Falta de encriptação
• Não exigência de password ou autenticação num determinado acesso
• Um simples bug
• Etc.

O que a define como dia zero é o facto de os responsáveis pelo software ou hardware não terem, ainda, consciência da falha.

Um ataque de dia zero é quando agentes mal-intencionados obtêm acesso a um sistema ou rede explorando uma vulnerabilidade de segurança ou fraqueza num programa de software que o fabricante do software não conhece, deixando-os com “zero dias” para corrigir o problema.

No exemplo anterior, o ataque ou exploit seria simplesmente o roubo dos bens guardados pela família na garagem aberta. Já um cibercriminoso poderia, simplesmente, dedicar-se ao roubo de informação confidencial existente nos dispositivos ou programas aos quais conseguisse aceder. Mas pode fazer mais que isso: pode injetar malware para vir a controlar mais dispositivos, instalar uma “backdoor” para seu uso exclusivo, etc.

Qual é a diferença entre ataques de dia zero e ataques de DDoS?

Os ataques de DDoS são ataques de negação de serviço distribuída que usam uma rede de computadores infetados (chamada de botnet) para atingir um sistema, rede ou servidor num esforço para torná-lo indisponível a solicitações ou utilizadores legítimos. Um ataque de DDoS pode ser chamado de ataque de dia zero quando agentes mal-intencionados usam novos métodos que não foram vistos anteriormente por equipas e analistas de segurança. Os ataques de dia zero também podem ajudar os invasores a sequestrar os computadores que se tornarão parte de uma botnet.

O que é a janela de vulnerabilidade de dia zero?

É o período entre a descoberta de uma vulnerabilidade no software e o lançamento de uma correção ou atualização para corrigi-la. Voltando ao exemplo anterior, é o período de tempo em que a garagem permanece aberta, desde que o agente imobiliário abandonou o prédio até ao dia em que o agente ou os donos da casa descubram (ou sejam informados) de que a mesma está aberta. É nesse período de tempo que um potencial ladrão pode atuar à vontade, acedendo à garagem numa hora em que saiba que não há outros vizinhos por perto, por exemplo.

Em informática, esse período pode durar meses ou até anos. Durante esse tempo, o hacker pode fazer o que quiser. Atenção, porém: quanto mais notória se tornar a sua atividade cibercriminosa, mais serão as probabilidades de que a vulnerabilidade seja descoberta.

Os grandes alvos preferidos dos exploradores de vulnerabilidades de dia zero são de natureza diversa:

• Empresas altamente cotadas e de grandes dimensões
• Agências públicas e/ou governamentais
• Empresas ou organismos nos setores da defesa, da banca ou das tecnologias de informação
• Organizações que lidem com informação confidencial
• Etc.

Quanto à natureza do equipamento a atacar, ela é também muito diversa:

• Sistemas operativos, para desktop ou mobile
• Hardware comum e firmware obrigatório
• Aplicações para computadores do tipo desktop ou apps mobile
• Browsers
• Dispositivos de Internet das Coisas (IoC)
• E até, como veremos em seguida, os mais clássicos e aparentemente inofensivos e seguros programas com que trabalhamos todos os dias!

Têm-se multiplicado, nos últimos anos, ataques de dia zero de grande visibilidade internacional. Vejamos alguns exemplos.

Stuxnet

O Stuxnet era malware do tipo worm capaz de usar diferentes vulnerabilidades de dia zero do Windows para ganhar capacidades de administração da respetiva máquina. Foi usado como ciber-arma contra o Irão, estimando-se que tenha destruído um quinto das suas centrifugadoras nucleares e atrasado seriamente o desenvolvimento do seu programa nuclear. Os perpetradores terão tido origem em Israel e nos Estados Unidos.

Log4j

Em dezembro de 2021 foi comunicada uma vulnerabilidade numa ferramenta de “logging” do Java, o Log4j, que terá existido desde 2013. Especialistas em cibersegurança apontaram-na como uma das vulnerabilidades mais importantes de sempre, pelo grau de autoridade e comando que permitia aos hackers juntamente com as probabilidades de sucesso. Milhões de computadores por todo o mundo, com ênfase em redes empresariais e de organismos públicos, foram afetados. Nos Estados Unidos, a própria Federal Trade Comission (FTC) alertou as empresas para a necessidade de atualizar as suas versões do software para se defenderem.

Dridex

Em abril de 2017 descobriu-se que o Dridex, um trojan dedicado a recolher dados bancários, conseguia espalhar-se através de uma fragilidade do Microsoft Word. As vítimas recebiam um e-mail com um anexo constituído por um documento de texto, no formato RTF, o mais simples e “antigo”, referente a textos escritos no velhinho WordPad. Ao descarregar esse documento, o exploit aproveitava uma falha na forma como o Word lidava com objetos OLE2Link para se instalar no computador.

É muito importante evitar descarregar anexos enviados por desconhecidos – mesmo que se trate de um aparentemente inofensivo documento do WordPad.

Firefox dia zero

Os browsers também podem ser vulneráveis! Em 2020 descobriu-se uma falha no Mozilla Firefox que permitia aos hackers instalar e executar código dentro da memória do próprio Firefox. A partir daí, ao arrepio da privacidade do navegador totalmente violada, eles seriam capazes de controlar o dispositivo da vítima.

Google Chrome dia zero

Em 2021 foi a vez da Google descobrir três vulnerabilidades de dia zero no seu famoso navegador, a que correspondeu a emissão rápida de três correções. Os hackers podiam instalar código à distância e lançar ataques DDoS contra os sistemas afetados.

As vulnerabilidades de dia zero são tão valiosas que existe um mercado para elas – isto é, para a informação de que existem. Um programador ou hacker antiético pode decidir que, em vez de ter o “trabalho” de aplicar um exploit para tirar partido de uma vulnerabilidade, pode simplesmente vendê-la a outros criminosos “especializados” ou simplesmente interessados nela. Invariavelmente será na deep web e na dark web que estes negócios escuros serão acertados.

Nalguns casos, como refere Max Smeets, do Centro de Estudos de Segurança do Instituto Federal de Tecnologia de Zurique (Suíça), citado pelo TechMonitor, também há governos a comprar informação sobre a existência de vulnerabilidades a hackers, nomeadamente do Reino Unido e dos Estados Unidos. Smeets alega que agências governamentais de segurança já serão, atualmente, as maiores clientes deste tipo de produto, e que o estabelecimento progressivo de cibercomandos militares acentuará a tendência.

Uma vez que qualquer software pode ser vítima de ataques de dia zero, as empresas e organizações não podem descurar esta problemática. É mister reorientar o pensamento estratégico da empresa, assumindo a cibersegurança como uma prioridade.

Na maioria dos casos, as organizações limitam-se a reagir a incidentes de cibersegurança, e não a preveni-los: “Casa roubada, trancas à porta”. Porém, quando falamos de ataques de dia zero, a deteção vem quase sempre demasiado tarde.

A deteção proativa, a monitorização das atividades e a atenção aos dados fazem parte de uma cultura de prevenção contra incidentes e ataques desta natureza.

Uma vez que cada vulnerabilidade é única, cada ataque é também diferente, pelo que não há uma regra universal. Eis as principais sugestões sobre o que deverá fazer:

• Procure ativamente por vulnerabilidades. Como um quartel militar que coloca sentinelas e inspeciona portões e pontos frágeis. Tente encontrar pontos fracos nas suas redes; se não souber como fazê-lo, subcontrate alguém para esta tarefa.
• Analise as performances do seu site. O aspeto da sua homepage mudou sem que tenha feito nada para isso? O site parece mais lento que o habitual, sem que o problema seja da sua rede? O site reencaminha os visitantes para outro endereço, desconhecido e estranho? As estatísticas do seu site revelam uma mudança de comportamento súbita e sem explicação? O site poderá estar comprometido e a ser controlado por terceiros.
• Faça retro hunting. Verifique se a sua organização possa ter sido afetada por falhas de segurança. Recolha notícias (antigas e atuais) sobre se, por exemplo, algum software que a sua empresa usa sofreu falhas. O mesmo pode acontecer com dados pessoais, como aconteceu com os dados dos utilizadores da TAP; não muito grave, mas potencialmente incómodo.
• Analise as performances do seu software. Se um determinado programa que está a utilizar se tornou subitamente lento ou atreito a bugs e falhas, isso poderá indicar um ataque de hacking em curso.

A prevenção é o principal – verdadeiramente, o único! – meio eficaz para se proteger contra ataques de dia zero. Veja como:

• Desconfie de possíveis ataques de phishing. Alguns ataques de dia zero só funcionam em combinação com outro tipo de ataques. Assim foi no exemplo do Dridex, como vimos acima. Não clique em links desconhecidos ou anexos de e-mails enviados por estranhos; poderá estar a franquear o acesso do seu computador, telemóvel ou rede empresarial a criminosos.
• Atualize sempre o seu software. As atualizações de software contêm, frequentemente, correções para problemas de segurança detetados. Ao fazer o “update” estará a reduzir as hipóteses de ser vítima de ciberataques.
• Mantenha-se informado. Programas do tipo “caçador de prémios” destinados a programadores e entusiastas capazes de descobrir falhas costumam resultar na descoberta de vulnerabilidades de dia zero. E isso pode acontecer com um software ou hardware que esteja a usar atualmente. Em todo o caso, se mantiver o seu software sempre atualizado, estará a cumprir as boas práticas nesta matéria.
• Use alojamento web seguro. Milhares de sites são violados ou hackeados diariamente. Sabe-se que os sites construídos em WordPress são dos principais alvos, devido à facilidade em comprometê-los caso estejam a usar temas, módulos, plugins ou outros componentes que não estejam atualizados.
• Use ferramentas de cibersegurança. Certifique-se de que está a usar uma VPN e um software antivírus para combater ciberameaças. Uma VPN ajuda a proteger os seus dados (pessoais ou da sua empresa) e também ajuda a bloquear ataques de phishing. A NordVPN inclui também a funcionalidade Proteção Contra Ameaças que bloqueia ativamente sites que possam descarregar malware para o seu computador ou telemóvel. Também impede que anúncios pop-up conhecidos por espalhar spyware e outro tipo de malware sejam ativados se o utilizador clicar neles. A Proteção Contra Ameaças pode fazer um “scan” aos seus downloads e identificar ficheiros que contenham malware, bloqueando o descarregamento.