Vídeo: Ameaças, Vulnerabilidades e Riscos (Outubro 2024)
Produtos de terceiros são atingidos
Ninguém ficará surpreso ao saber que o número total de vulnerabilidades conhecidas está crescendo ano após ano ou que a maioria depende de um ataque à rede remota para penetrar em redes vulneráveis. No entanto, falhas significativas nos sistemas operacionais e programas da Microsoft estão se tornando uma porção cada vez menor do total. A Secunia relata que 86% das vulnerabilidades ativas em 2012 afetaram produtos de terceiros, como Java, Flash e Adobe Reader. Em 2007, vulnerabilidades de terceiros representavam menos de 60% do total.
No lado positivo, a janela perigosa entre a descoberta de uma vulnerabilidade e a criação de um patch está ficando menor. A Secunia relata a disponibilidade de patches no mesmo dia para 80% dessas ameaças em 2012, um pouco acima dos 60% em 2007. Isso deixa 20% que não têm um patch no mesmo dia, ou mesmo dentro de 30 dias, mas mantendo todo o seu software atualizado garantirá que você obtenha todos os patches no mesmo dia.
Insegurança SCADA
A revisão de 2013 relata vulnerabilidades nos sistemas SCADA (Supervisory Control And Data Aququisition). Esses sistemas controlam fábricas, usinas de energia, reatores nucleares e outras instalações industriais altamente significativas. O infame verme Stuxnet destruiu as centrífugas de enriquecimento de urânio no Irã, assumindo seus controladores SCADA.
De acordo com Secunia, "o software SCADA hoje está no estágio principal do software há 10 anos… Muitas vulnerabilidades permanecem sem correção por mais de um mês no software SCADA". Um gráfico de tempo para correção de vulnerabilidades representativas do SCADA revela que vários na categoria de alto risco permaneceram sem patch por mais de 90 dias.
Em teoria, os sistemas SCADA devem ser menos vulneráveis porque não estão conectados à Internet. Na prática, esse nem sempre é o caso, e mesmo uma conexão de rede local pode ser comprometida pelos invasores. Uma "brecha de ar" total, sem nenhuma conexão de rede, não protegeu as centrífugas Stuxnet. Eles foram vítimas de unidades USB infectadas, sem saber, inseridas por técnicos. Claramente, os fornecedores de software SCADA têm algum trabalho a fazer no que diz respeito à manutenção da segurança e ao envio de patches.
Hackers vão para o ouro
Uma vulnerabilidade de dia zero é aquela que acaba de ser descoberta, uma vulnerabilidade para a qual não existe patch. O relatório da Secunia inclui um gráfico informativo que informa o número de dias zero encontrado a cada ano nos 25 programas mais populares e nos 50, 100, 200 e 400. Os números gerais diferem ano após ano, atingindo o pico em 2011 com 15 dias zero.
O mais interessante é que, dentro de um determinado ano, os números dificilmente mudam à medida que o conjunto de programas potencialmente comprometidos cresce. Quase todos os dias zero afetam os programas mais populares. Isso realmente faz muito sentido. Descobrir uma falha do programa que ninguém mais encontrou jamais exige muita pesquisa e trabalho duro. Só faz sentido que os hackers se concentrem nos programas mais amplamente distribuídos. Uma exploração que assume controle total sobre o sistema da vítima não vale muito se apenas um sistema em um milhão tiver o programa vulnerável instalado.
Mais para aprender
Eu atingi os patamares altos, mas há muito mais a aprender com o relatório de vulnerabilidade da Secunia. Você pode fazer o download do relatório completo no site da Secunia. Se o relatório completo parecer um pouco esmagador, não se preocupe. Os pesquisadores da Secunia também prepararam um infográfico que atinge todos os pontos altos.
