O que é o Dia Zero?

Os 5 principais ataques

Dia Zero

Nenhum software é perfeito. Mesmo que seja excelente na função para a qual foi desenhado, pode haver vulnerabilidades de segurança escondidas no código. Apesar de os programadores de software trabalharem horas extra para resolver essas questões, os hackers são normalmente muito rápidos a detetar e a tirar partido das falhas de segurança. Eles podem explorar essas falhas para lançar os ataques de dia zero mencionados acima contra computadores e redes, e nem mesmo as melhores soluções de cibersegurança são capazes de os travar.

Sumário: “Dia zero” é um termo que se refere a problemas, previamente desconhecidos ou não documentados, relacionados com as Tecnologias de Informação (TI). Pode referir-se a vulnerabilidades de software ou de sistema, bem como vírus, worms, malware e ataques que exploram essas vulnerabilidades de forma a controlar computadores ou redes. Continue a ler para ficar a saber mais sobre os maiores ataques de dia zero registados e as melhores formas de se manter seguro.

Zero Day Exploit

O que é o dia zero?

Em informática, o termo “dia zero” (por vezes estilizado em inglês como “0-day”) refere-se ao primeiro dia em que determinado problema é conhecido ou antecipado. O termo é também usado como referência, dado que a maioria das equipas de segurança tendem a tomar nota do tempo que passou desde que um problema relacionado com as TI apareceu e o dia em que foi resolvido. Como tal, “dia zero” refere-se ao dia em que o problema começou a ser tratado. A expressão é habitualmente usada para descrever certas ameaças de cibersegurança  vírus, vulnerabilidades e ataques.

Um “vírus de dia zero” é um termo de cibersegurança usado para descrever um vírus que acabou de ser descoberto e não é detetado por nenhum software antivírus existente. Da mesma forma, “malware de dia zero” refere-se a software malicioso recentemente descoberto, que deverá ser estudado e tratado rapidamente. Há também os worms de dia zero, que podem ser metamórficos (aqueles cujo código é completamente alterado a cada release) ou polimórficos (aqueles cujo código apenas é parcialmente alterado).

Independentemente do seu tipo, qualquer ameaça à cibersegurança recentemente descoberta e não resolvida pode ser tratada como um exploit de dia zero. Como o próprio nome indica, estas ameaças atingem o seu objetivo identificando e explorando falhas de segurança em aplicações, sistemas e redes que não foram ainda identificadas, documentadas ou reportadas ao público pelos especialistas em cibersegurança. Muitas vezes encontradas em software recentemente lançado ou atualizado, estas falhas são também conhecidas como vulnerabilidades de dia zero.

Os termos “exploit de dia zero” e “vulnerabilidade de dia zero” são muitas vezes usados indistintamente, mas há uma grande diferença entre os dois. Por se referir a uma ciberameaça, um exploit de dia zero é inerentemente malicioso. Na verdade, é habitualmente chamado de “ataque de dia zero”, e nenhum ciberataque é benevolente. Por outro lado, o termo “vulnerabilidade de dia zero” é neutro, visto que também se pode referir a falhas de software descobertas e resolvidas pelos peritos em segurança antes de os hackers terem tido tempo para as identificar e explorar.

Que tipos de ataques de dia zero existem?

Nos tempos mais recentes, os ataques de dia zero tornaram-se particularmente comuns. De acordo com estatísticas de 2016, os exploits de dia zero consistiam em um terço de todos os ataques de malware do mundo. Esta ameaça visa todos os dispositivos ligados à Internet, independentemente de estes pertencerem a utilizadores privados ou a empresas. Alguns dos maiores ataques de dia zero dos últimos anos foram os seguintes:

  1. Stuxnet

Descoberto em 2010, o Stuxnet foi um dos primeiros exploits de dia zero a ser notícia. Explorando vulnerabilidades de dia zero encontradas em software Windows, este worm destacou-se por ameaçar equipamentos digitais que controlam a produção de urânio enriquecido, que é usado para produzir armas nucleares. Apesar de os criadores do Stuxnet não terem sido descobertos, acredita-se que foi lançado por agências de serviços secretos americanas e israelitas com o objetivo de manietar os esforços iranianos para desenvolver armas nucleares.

  1. O Ataque de Dia Zero da Sony

Em 2014, um grupo de hackers, eventualmente ligado à Coreia do Norte, lançou um ataque de dia zero contra a Sony Pictures Entertainment, um dos seis maiores estúdios de Hollywood. A vulnerabilidade exata explorada pelos hackers permanece desconhecida, mas o ataque resultou no roubo de milhares de páginas de contratos, planos de negócios, guiões, e mesmo cópias completas de cinco filmes por lançar, potencialmente candidatos aos Óscares. Aquilo que mais se destacou foi a obtenção de milhares de e-mails privados, escritos pelos altos cargos do estúdio.

  1. O Ataque de Dia Zero do DNC

O ataque de dia zero possivelmente com maior mediatismo ocorreu em 2016, quando um grupo de hackers russos explorou pelo menos seis vulnerabilidades de dia-zero em programas como o Flash e o Java para entrar na rede do Democratic National Committee norte-americano. Os hackers obtiveram vários e-mails privados, enviados e recebidos por grandes nomes da política, incluindo a então candidata à presidência, Hillary Clinton. Toda a informação roubada, incluindo uma longa lista de contribuintes do DNC, foi publicada no WikiLeaks, bem como no recém-criado website DCLeaks.

  1. Os Exploits de Dia Zero da Microsoft de 2017-2018

Em 2017 e 2018, hackers identificaram várias vulnerabilidades de dia zero no Microsoft Office. Apesar dos esforços da Microsoft para resolver estas questões, os hackers continuaram a encontrar formas de contornar as patches de segurança e lançar ataques. Um desses ataques usou a backdoor FELIXROOT, um tipo de malware, para lançar uma campanha de ciberespionagem, maioritariamente contra alvos ucranianos. Sendo que o malware foi distribuído através de documentos em Rich Text Format (.rtf) escritos em russo, pensa-se que o Governo russo foi responsável por este ataque.

Alguns meses após o ataque FELIXROOT, em agosto de 2018, um utilizador do Twitter, alegando ser um analista de cibersegurança, descobriu uma vulnerabilidade de dia zero na versão de 64-bits do Windows 10. Esta informação foi disponibilizada ao público, e, por conseguinte, os hackers obtiveram acesso a ela e puderam explorar esta vulnerabilidade para atacar computadores a operar com este sistema operativo. Ainda para mais, o facto de a Microsoft ter demorado uma semana a lançar uma patch de segurança deu aos hackers muito tempo para planear os seus ataques.

  1. A Venda do Exploit de Dia Zero do BuggiCorp

Em 2016, um utilizador conhecido como BuggiCorp publicitou a venda de um grande exploit de dia zero num fórum web russo especializado na venda de informação de cibersegurança. Com um preço de 95,000 dólares, o exploit era, alegadamente, capaz de tirar partido de uma vulnerabilidade relacionada com o aumento de privilégios locais em todas as versões do Microsoft Windows, incluindo o Windows 10, a versão mais recente do sistema operativo, lançada um ano antes.

O vendedor alegava que, se o exploit fosse ativado, poderia afetar 1.5 mil milhões de computadores em todo o mundo. Não há conhecimento de o exploit ter sido comprado por qualquer cibercriminoso. Sabe-se apenas que o vendedor estabeleceu um preço inicial de 95,000 dólares, para depois o reduzir para 90,000, e, mais tarde, 85,000 dólares. Alguns meios de comunicação de cibersegurança viram isto como um sinal de que o vendedor do exploit não conseguiu encontrar um comprador.

Como detetar um ataque de dia zero

Dado que as vulnerabilidades de dia zero são específicas para cada software, não há forma de serem detetadas por utilizadores individuais, a não ser que estes possuam vastos conhecimentos na área da programação e decidam olhar atentamente para o código-fonte em busca de falhas de segurança. No que aos programadores profissionais diz respeito, estes podem usar uma das seguintes técnicas para detetar ataques de dia-zero e tomar medidas para os neutralizar:

  • Método Estatístico – Este método baseia-se principalmente em dados de exploits identificados previamente que visaram o mesmo sistema. Os peritos em segurança usam várias técnicas de machine learning para recolher os dados e determinar um comportamento normal do sistema. Qualquer desvio do comportamento seguro é tratado como um sinal de alerta.
  • Método Comportamental – Este método centra-se na forma como um malware conhecido interage com o seu alvo. Em vez de se focar no conteúdo efetivo dos ficheiros recebidos, esta técnica examina a sua interação com o sistema para tentar prever se esta interação é normal, ou um resultado de uma atividade potencialmente maliciosa.
  • Método de Perfil – Toda e qualquer ameaça de cibersegurança, seja ela um vírus, um worm, ou um malware, tem um perfil único que o software antivírus usa para a detetar. Por definição, os exploits de dia zero são desconhecidos, o que significa que não possuem um perfil. Porém, os peritos em segurança podem usar machine learning para desenvolver novos perfis baseados nos exploits previamente identificados e usá-los para tentar detetar futuros ataques de dia zero.
  • Método Combinado – Como o próprio nome indica, este método é uma combinação dos três métodos descritos acima. Apesar de ser mais complexo do que qualquer um dos métodos individuais, este é aquele que, normalmente, traz melhores resultados.

Como proteger-se contra ataques de dia zero

Dado que os ataques de dia zero exploram vulnerabilidades de sistema e de software previamente desconhecidas, não há qualquer forma de as prevenir. Contudo, há algumas ações que pode tomar para evitar ser vítima de um ataque de dia zero. Em primeiro lugar, deve atualizar regularmente todas as aplicações instaladas no seu computador. Se já não usa alguns programas, é sempre preferível removê-los do seu computador a manter software desatualizado e, potencialmente, expor o seu sistema e ficheiros a ataques de hackers.

É, também, essencial que use o melhor software antivírus para manter o seu computador seguro. Tal como acontece com a maioria das ciberameaças, os hackers podem usar exploits de dia zero para instalar spyware, ransomware, e outros tipos de software malicioso no seu computador. Um bom programa antivírus deteta todas essas ameaças e remove-as do seu computador. Além disso, fornece também proteção em tempo real contra outras possíveis ciberameaças e efetua análises automáticas em background sem tornar o seu computador mais lento.

A sua firewall desempenha também um papel crucial no combate aos ataques de dia zero. Apesar de alguns sistemas operativos incluírem firewalls, alguns dos melhores programas antivírus trazem funcionalidades de firewall avançadas que fornecem uma melhor proteção a qualquer altura. Além da firewall, lembre-se de ativar atualizações regulares da base de dados e definições de vírus, garantindo assim que o seu computador está seguro das ameaças mais recentes.

Fontes (em inglês):

 

    Você está protegido?

    Hackers podem usar exploits de dia zero para instalar software malicioso no seu computador e ter controlo sobre os seus ficheiros e dados pessoais. Não tome por garantida a sua segurança na Internet.