Ao todo, os especialistas do Project Zero identificaram 59 falhas do tipo ao longo do ano passado; devemos nos preocupar com tal aumento vertiginoso ou ficarmos tranquilos com maior exposição de tais bugs?
Quando o assunto é segurança cibernética, poucas coisas são tão perigosas quanto vulnerabilidades zero day (ou “dia zero”, caso você prefira usar o termo em português). Estamos nos referindo — para quem desconhece tal conceito — às falhas de software que possivelmente já estão sendo exploradas por cibercriminosos, mas cuja existência é desconhecida pelos desenvolvedores da aplicação, seus usuários e empresas fornecedoras de soluções de segurança. Geralmente, quando um zero day é identificado, ele já foi empregado para atingir um número expressivo de vítimas.
Pois bem: saiba que, no ano de 2021, registramos um recorde no número de brechas desse tipo, totalizando nada menos do que 59 vulnerabilidades. As informações são do Project Zero, um laboratório de pesquisa do Google montado especificamente para encontrar, estudar e auxiliar na remediação de zero days. De acordo com os próprios especialistas, esta é a maior quantia registrada desde 2015, quando tivemos 28 falhas encontradas; para fins de comparação, em 2020, esse montante foi de “apenas” 25 bugs. A questão é: devemos nos preocupar com tal notícia?
Mudança cultural nos fornecedores
Embora esse aumento no número de zero days registrados pelos pesquisadores do Project Zero possa parecer assustador, os próprios especialistas deixam claro que não há motivos para desespero — muito pelo contrário.
“Embora muitas vezes falemos sobre o número de explorações de zero days usadas para ataques, o que estamos realmente discutindo é o número de exploits de zero days detectados e divulgados como sendo usados em ataques. E isso leva à nossa primeira conclusão: acreditamos que o grande aumento nos dias zero em 2021 se deve ao aumento da detecção e divulgação dessas vulnerabilidades, e não do simples aumento do uso de explorações”, explica a pesquisadora Maddie Stone.
Ou seja: de acordo com o Project Zero, o aumento no registro não significa que a qualidade das aplicações esteja decaindo ou que os criminosos cibernéticos estejam mais “selvagens” na exploração desse tipo de brecha, mas sim que os próprios desenvolvedores estão mais maduros na detecção de tais falhas e mais transparentes em sua divulgação. “Os fornecedores provavelmente têm mais telemetria, conhecimento geral e visibilidade de seus produtos; por isso é importante que eles estejam investindo (e esperamos que tenham sucesso) na detecção de zero days visando seus próprios produtos”, pontua Maddie.
“A segunda razão pela qual o número de zero days detectados teve um aumento é devido a maior divulgação dessas vulnerabilidades. A Apple e o Google Android (diferenciamos “Google Android” em vez de apenas “Google” porque o Google Chrome anota seus boletins de segurança nos últimos anos) começaram a rotular vulnerabilidades em seus avisos de segurança com informações sobre potenciais explorações em novembro de 2020 e em janeiro de 2021, respectivamente. Quando os fornecedores não anotam em seus logs de atualização, a única maneira de sabermos que um dia zero foi explorado é se o pesquisador que descobriu a exploração se apresentar”, conclui.
Mais do mesmo?
Claro, nem tudo são flores. Embora os fornecedores estejam fazendo um ótimo trabalho em detectar, expor e mitigar vulnerabilidades zero day o mais rápido possível, esse tipo de brecha ainda existe e, conforme o próprio Project Zero, estamos “engatinhando” para o futuro perfeito no qual tais brechas são caras e difíceis demais para serem exploradas por cibercriminosos. No atual cenário, ainda há um grande interesse por parte do submundo por esse tipo de bug; um dos zero days registrados, aliás, foi utilizado por uma famosa empresa israelense de espionagem para possibilitar a instalação de spywares em dispositivos iOS.
“Realizamos e compartilhamos esta análise para tornar os zero days mais difíceis. Queremos que sejam mais caros, mais intensivos em recursos e, em geral, mais complexos para que os invasores os explorem. O ano de 2021 destacou o quão importante é permanecer implacável em nossa busca para dificultar a exploração de zero days. Ouvimos repetidas vezes sobre como os governos estavam atacando jornalistas, populações minoritárias, políticos, defensores de direitos humanos e até pesquisadores de segurança em todo o mundo”, comenta Maddie.
Dos 59 zero days identificados em 2021, a maior parte deles (14) eram originários do Chromium/Google Chrome. Em seguida, temos Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5), and Internet Explorer (4). Seguindo a tendência dos anos anteriores, o tipo de falha mais comum — respondendo por 67% dos zero days registrados — é do tipo “corrupção de memória”, que permite ao atacante obter acesso privilegiado a um trecho da memória da máquina e interfira nos processos do software graças a uma falha na programação.
No fim das contas, as vulnerabilidades zero day sempre foram uma dor de cabeça e continuarão sendo. Porém, tal recorde deve ser visto como um pequeno passo para um cenário promissor no qual teremos maior agilidade em suas correções, eliminando ou ao menos dificultando a sua exploração.