Vídeo: Entenda o Heartbleed Bug - Vulnerabilidade OpenSSL (SSL/TLS) (Outubro 2024)
Nem toda vulnerabilidade crítica precisa ser comparada ao Heartbleed para ser levada a sério. De fato, não há necessidade de exibir Heartbleed ou Shellshock quando houver uma nova falha de software que exija atenção imediata.
Na semana passada, a Microsoft corrigiu uma grave vulnerabilidade no SChannel (Secure Channel) que existe em todas as versões do sistema operacional Windows desde o Windows 95. Um pesquisador da IBM relatou o bug à Microsoft em maio, e a Microsoft corrigiu o problema como parte de novembro. Lançamento do Patch Tuesday.
O pesquisador da IBM, Robert Freeman, descreveu a vulnerabilidade como um "erro raro e parecido com um unicórnio".
Os usuários precisam executar o Windows Update em seus computadores (se estiver definido para executar automaticamente, tanto melhor) e os administradores devem priorizar esse patch. Algumas configurações podem ter problemas com o patch e a Microsoft lançou uma solução alternativa para esses sistemas. Está tudo resolvido, certo?
FUD eleva sua cabeça feia
Bem, não exatamente. O fato é que existem - sete meses depois! - um número não trivial de computadores ainda executando o Windows XP, apesar do término do suporte da Microsoft em abril. Portanto, as máquinas XP ainda correm o risco de um ataque de execução remota de código se o usuário visitar um site com armadilha. Mas, na maioria das vezes, a história é a mesma de todos os meses: a Microsoft corrigiu uma vulnerabilidade crítica e lançou um patch. Atualize os negócios de terça-feira, como sempre.
Até não ser. Talvez agora os profissionais de segurança da informação estejam tão cansados que acham que precisam vender o medo o tempo todo. Talvez o fato de essa vulnerabilidade ter sido introduzida no código do Windows 19 anos atrás tenha causado algum tipo de flashback do Heartbleed. Ou chegamos a um ponto em que sensacionalismo é a norma.
Mas fiquei surpreso ao ver o seguinte local na minha caixa de entrada de Craig Young, pesquisador de segurança da Tripwire, sobre o patch da Microsoft: "Heartbleed era menos poderoso que o MS14-066 porque era" apenas "um bug de divulgação de informações e o Shellshock era explorável remotamente apenas em um subconjunto de sistemas afetados ".
Tornou-se uma piada - triste, se você pensar sobre isso - que, para qualquer vulnerabilidade receber qualquer tipo de atenção, agora precisamos ter um nome sofisticado e um logotipo. Talvez o próximo tenha uma banda de metais e um jingle cativante. Se precisarmos dessas armadilhas para levar as pessoas a levar a segurança das informações a sério, há um problema e não é o bug em si. Chegamos ao ponto em que a única maneira de chamar a atenção para a segurança é recorrer a truques e sensacionalismo?
Segurança Responsável
Gostei do seguinte: "Este é um bug muito sério que precisa ser corrigido imediatamente. Felizmente, o ecossistema de atualização da plataforma Microsoft oferece a capacidade de cada cliente corrigir esta vulnerabilidade em horas usando o Microsoft Update", disse Philip Lieberman, presidente da Lieberman Software.
Não me interpretem mal. Fico feliz que o Heartbleed tenha recebido a atenção, porque era sério e precisava alcançar pessoas de fora da comunidade da infosec por causa de seu amplo impacto. E o nome de Shellshock - pelo que posso dizer - surgiu de uma conversa no Twitter discutindo a falha e maneiras de testá-la. Mas não há necessidade de chamar a vulnerabilidade do SChannel de "WinShock" ou debater sua seriedade em relação a essas falhas.
Pode e deve permanecer por si só.
"Essa vulnerabilidade representa um sério risco teórico para as organizações e deve ser corrigida o mais rápido possível, mas não tem o mesmo impacto no tempo de lançamento que muitas outras vulnerabilidades recentemente divulgadas", Josh Feinblum, vice-presidente de segurança da informação no Rapid7, escreveu em um post no blog.
Lieberman fez uma observação interessante, observando que a vulnerabilidade do SChannel não era como a Heartbleed, já que não é como se todo fornecedor de software livre ou software cliente tivesse que corrigir o problema e lançar seu próprio patch. Software comercial com mecanismos definidos de entrega de patches, como o que a Microsoft possui, significa que não há necessidade de se preocupar com "uma mistura de componentes de versões variadas e cenários de patches".
Não importa se é difícil (diz a IBM) ou trivial (diz o iSight Partners) de explorar. As conversas online sugerem que essa é apenas a ponta do iceberg, e a vulnerabilidade do SChannel pode criar uma grande confusão. É um bug sério. Vamos falar sobre o assunto por seus próprios méritos, sem recorrer a táticas de medo.
