Falhas 0Day: Pesquisa gratuita, discussão aberta e segurança

06/07/2006 Written by Marcelo Almeida (Vympel)

cam7oha3Há um debate longo sobre os bene­fí­cios ou não da full dis­clousure sobre lança­men­tos de fal­has de segu­rança antes de um remendo (patch) ser pro­duzido ou até mesmo o vende­dor noti­fi­cado. Quando estas fal­has são lançadas ao público, uma 0day começa, con­se­qüen­te­mente o termo 0day fal­has e explo­rações.

Zone-​h é enfo­cado em o que está atrás de fal­has 0day e o que dirige o lança­mento pelos autores de código que é lib­er­ado na Inter­net e olha algu­mas pos­síveis soluções. A primeira per­gunta que veio a nos­sas mentes era, que se as pes­soas que pro­duzem soft­ware vul­nerável não dev­e­riam tirar proveito da quan­tia grande de pesquisa lit­eral­mente grátis disponível e dev­e­riam usar em seu proveito para pro­duzir pro­du­tos supe­ri­ores?

Então porquê eles não o fazem!?

De onde fal­has 0day vêm, e quem as lança?
Achar uma falha 0day pode ser, depen­dendo da natureza da vul­ner­a­bil­i­dade e da habil­i­dade do anal­ista, fácil ou difí­cil. Geral­mente eles desco­brem a vul­ner­a­bil­i­dade através de pesquisa e tes­tando software[s] como tam­bém usando o soft­ware no modo geral como usuários comuns de com­puta­dor. As fal­has são con­sid­er­adas 0day por serem descober­tas, ou de não ser de infor­mação pública ou por engen­haria rever­sas de cor­reções (ver­sões de um soft­ware sem a cor­reção apre­sen­tam uma falha que foi cor­rigida por um remendo e assim não são uma 0dayreal).

Explo­radores de 0day per­cor­rem lar­gos gêneros, de um extremo, o black­hat, para outro o white­hat. A clas­si­fi­cação de exata­mente o que cada “hat” faz e como ele será clas­si­fi­cado é defin­i­ti­va­mente imensa, tanto que pode­ria ser abrir um Wiki só com isto.

Algu­mas fal­has são achadas por anal­is­tas de segu­rança whitehat’s, durante um teste de pen­e­tração, de um soft­ware exam­i­nado ou por aci­dente. Inves­ti­gadores white­hat nor­mal­mente não com­par­til­ham a descoberta da falha, ou se eles lançarem alguma infor­mação e uma pos­sível demon­stração (POC do termo em inglês Proof of Con­cepts) o farão ape­nas depois que uma cor­reção (patch) fosse desen­volvido. Em alguns casos as com­pan­hias de segu­rança com whitehat’s podem man­ter fal­has 0day, pois isto os aju­daria a fazer um serviço mel­hor e com menos con­cor­rentes em um teste de pen­e­tração. 

Sem dúvida o setor que mais lançam fal­has 0day é dos inves­ti­gadores de segu­rança inde­pen­dentes (tam­bém con­heci­dos com grey­hats) ou desco­brem por aci­dente ou curiosi­dade. Este grupo que ame­dronta os dis­tribuidores de soft­ware pois lançam suas fal­has geral­mente ao mesmo tempo para o público e man­dam uma cópia do aviso de segu­rança para a empresa do soft­ware afe­tado, deixando-​os com pouco tempo para fazer uma correção.

A fração restante é achada ou é escrita pelos black­hats que não lançam suas fal­has até que outro o faça, pos­sivel­mente outro black­hats. Às vezes eles ven­dem  para out­ros propósi­tos, nor­mal­mente depois que eles fos­sem usa­dos para invadir a maio­ria dos sites e out­ros obje­tivos ile­gais. Fre­qüen­te­mente uma pes­soa próx­ima ao black­hat lançará suas 0day para se vin­gar de seu grupo ou ofender um grupo rival de blackhat’s.

Por que 0days são lança­dos? Frus­tração de vende­dor de soft­ware, através de esti­ma­tiva, calcula-​se que 80% ou mais é a resposta prin­ci­pal para o lança­mento de fal­has 0day. Por todas as razões está é a resposta número um, e não sur­preen­den­te­mente, e assim é que as pes­soas acred­i­tam facil­mente que o soft­ware será con­ser­tado. Em muitos casos os anal­is­tas de fal­has fazem isto tam­bém por terem se sen­tido ofen­dido porque ten­taram tra­bal­har em con­junto com o dis­tribuidor do soft­ware e por alguma razão qual­quer não respon­deram aos seus 5 email envi­a­dos os tratando como se fosse algo insignif­i­cante.

Out­ros fatores entram em jogo quando se tra­balha com pro­gra­madores de soft­ware e vende­dores. Eles se recusam com­ple­ta­mente a acred­i­tar que alguém está lhes falando que algo está errado com os seus soft­wares, e fre­qüen­te­mente cas­tigam ver­bal­mente dos anal­is­tas em seus e-​mails de resposta (uma ocor­rên­cia comum).

A por­cent­agem restante é ven­dida por “lic­i­tação”, para quem pagar mais, para cri­adores de worms, spy­wares, e bots onde o obje­tivo prin­ci­pal é seu uso para o mal. A maio­ria neste grupo sim­ples­mente são pro­gra­madores que têm grandes habil­i­dades eles olham o erro e escrevem o código rap­i­da­mente para esta falha, um tal­ento valioso. Com­pradores de com­pan­hias de adware, da linha do crime orga­ni­zado, até com­pram… e o grey­hat e black­hat irão rir e venderão indifer­entes do propósito para que serão usadas.

Como 0day’s podem ser paradas?
Fal­has 0day nunca pararão, mas eles podem se tornar menores em número e de menos impacto se a indús­tria de vende­dores de soft­ware, e demais pro­gra­madores, começarem a escu­tar e apren­der com a rica pesquisa que é lib­er­ada livre­mente na inter­net.
Seja amigável e tente enten­der o que a pes­soa que está lhe con­tatando está ten­tando demon­strar, olhe as fal­has de segu­rança com outro ponto de vista. Con­tate as pes­soas que estão achando fal­has em pro­du­tos de sua com­pan­hia, pois pode­ria pro­por­cionar uma maior segu­rança para seu software.

Algu­mas empre­sas como iDe­fense3Com /​Tip­ping­Point estão incluindo pro­gra­mas de incen­tivo para rec­om­pen­sar anal­is­tas que pode­riam con­fiar em um mer­cado ile­gal e pouco ético para venderem suas descober­tas. Muitos ex-​blackhats agora são gratos por terem uma fonte legal e digna para ofer­e­cer os esforços de seus trabalhos.


Share this content: