Como se sabe, as vulnerabilidades de softwares estão entre as portas de entrada mais comuns para a ação cibercriminosa. Não por acaso, manter os sistemas atualizados é tão crucial para garantir a segurança de dados nas empresas. Por vezes, no entanto, os hackers são ainda mais rasteiros e se antecipam aos próprios fabricantes dos programas: é o chamado ataque de dia zero, zero day attack ou ainda exploit de dia zero.
Para esclarecer todas as suas dúvidas sobre o assunto e – mais importante – te ajudar a se proteger de forma eficiente, reunimos as principais informações a seguir. Acompanhe!
O que é ataque de dia zero?
O ataque de dia zero é um crime cibernético que acontece no mesmo dia em que uma falha no software é descoberta. Ou seja, o sistema é invadido e explorado pelos hackers antes mesmo que o fabricante possa disponibilizar uma correção ou patch para o problema.
Nesse sentido, vale esclarecer a diferença entre a vulnerabilidade de dia zero e o ataque propriamente dito: a primeira é uma brecha de software, hardware ou firmware (instruções operacionais programadas no hardware) que é desconhecida pelo fabricante. O ataque, por sua vez, é a exploração dessa vulnerabilidade para efetuar uma ação maliciosa.
De fato, o que ocorre é que a empresa responsável por comercializar o software não detecta o problema na etapa de testes, liberando-o no mercado. A partir daí, a falha pode ser descoberta tanto pelos próprios fornecedores, usuários, empresas de segurança ou hackers white hat (os “hackers do bem”), quanto pelos cibercriminosos.
Caso tudo dê certo, as brecha é reportada aos responsáveis, que poderão agir rapidamente para solucionar o problema. Se houver exploração maliciosa, os hackers podem se aproveitar para causar graves estragos, inclusive infectando a rede de computadores como um todo.
A origem do nome
Mas afinal, de onde vem a denominação “zero day” ou “de dia zero”? Pois bem: o termo “dia um” é utilizado para descrever a publicação das correções de falhas e brechas pelos profissionais de segurança.
Uma vez que esses ataques acontecem com antecedência, ou seja, antes que sejam localizados os problemas, eles foram chamados de “dia zero” – com atuação antes do dia um, ou seja, faz zero dias desde a última exploração.
O mecanismo do zero day attack
Não há regra: o ataque de dia zero pode apresentar diferentes portes e assumir diferentes formas. O propósito, no entanto, é o mesmo: entregar malware às vítimas.
É possível, por exemplo, que a ação maliciosa ocorra via downloads drive-by, que demandam apenas que a vítima navegue até uma página comprometida ou clique em um link hackeado. Softwares de navegadores web podem ser as portas de entrada, assim como aqueles que não têm ligação direta com a internet, tais como o Excel e o Word.
Os hackers podem, ainda, enviar e-mails que induzem a baixar arquivos falsificados, que inclusive podem vir de endereços conhecidos, dificultando a identificação da ameaça.
O caso do ransomware WannaCry
Em se tratando de um exploit de dia zero, um grande representativo é o famoso caso do ransomware WannaCry, que marcou a história como um dos maiores ataques cibernéticos de todos os tempos.
Em 2017, o ransomware (que tinha características de worm) se aproveitou de uma falha no sistema Windows e sequestrou informações de 150 países, afetando nada menos do que 350 mil computadores ao redor do mundo, entre organizações públicas e privadas.
Ironicamente, a Microsoft já teria criado o patch de correção para o problema no mês anterior ao ataque: isso significa que os cibercriminosos agiram porque os usuários estavam com seus sistemas operacionais Windows desatualizados, gerando uma crise cibernética global sem precedentes.
Quais são as principais características desses ataques?
- O ataque de dia zero têm um potencial devastador, sendo capazes de devastar toda uma rede de computadores ao explorar as brechas das aplicações envolvidas;
- O malware pode aparecer em diferentes formatos, a exemplo de vírus, worms e trojans;
- A invasão costuma acontecer no momento intermediário entre a exploração da vulnerabilidade pelos hackers e o tempo levado pelos desenvolvedores para liberar a solução necessária para combater a brecha.
Como se proteger de um ataque de dia zero?
Mantenha os softwares atualizados e tenha um gerenciamento centralizado de patches
O caso do WannaCry ilustra a importância dessa medida básica. Negligenciar a atualização frequente das últimas versões dos softwares coloca as empresas sob alto risco, especialmente quando consideramos que aplicações comuns (como os programas Adobe) têm um histórico frequente de falhas de ataque de dia zero.
Nesse cenário, o grande número de computadores e a logística complexa de manter todos os sistemas atualizados em uma empresa pode ser um obstáculo para a segurança – é aí que uma ferramenta de gerenciamento centralizado de patches pode entrar em cena, simplificando o controle adequado acerca da questão.
Limpe as máquinas de programas obsoletos
É comum manter diversos softwares que não são usados no computador, mas esse é um hábito extremamente nocivo. Quanto maior for o número de programas, maior também será a chance de vulnerabilidade a um zero day attack.
Do ponto de vista corporativo, manter as máquinas “limpas” de muitos programas ainda facilita a atualização dos sistemas em grande escala.
Invista em ferramentas de segurança eficazes
Em primeiro lugar, os antivírus são essenciais, com destaque para as ferramentas que contam com rastreamento de brechas em tempo real, gestão de senhas e detecção de phishing e outros malwares. Vale lembrar, ainda, que esses recursos também devem se manter atualizados.
Por sua vez, os firewalls são aliados significativos para bloquear as conexões que chegam aos computadores, impedindo que o sistema seja danificado em caso de ataques.
É importante, ainda, que haja um bom treinamento nas melhores práticas de segurança da informação entre os colaboradores, que devem estar aptos a identificar possíveis arquivos, e-mails, links e sites suspeitos nas operações do dia a dia.
Limite privilégios para as contas de usuário
Esta medida, como restringe o acesso a dados e arquivos relevantes, colabora para minimizar o impacto de potenciais ataques.
Aposte em Next Generation Antivírus (NGAV)
Antivírus tradicionais e outras aplicações comuns de proteção não têm os recursos necessários para combater ameaças zero day por si sós. Com isso, novas tecnologias baseadas em machine learning e inteligência artificial têm sido lançadas no mercado, visando detectar manifestações suspeitas e combatê-las antes que se disseminem no sistema.
Trata-se dos NGAV ou next generation antivírus, que aliam diferentes técnicas de proteção e partem do aprendizado do comportamento normal dos sistemas para bloquear tudo aquilo que é identificado como anormal. Com isso, há o impedimento precoce da execução de códigos maliciosos na rede de computadores.
Por fim, é importante ter em mente que a detecção e a divulgação de um ataque de dia zero levam os desenvolvedores do programa a lançarem soluções o mais rapidamente possível para a brecha de segurança. Nesse sentido, a manutenção da atualização constante do sistema operacional da empresa é o cuidado mais indispensável contra esse tipo de cibercrime.
E aí, gostou do conteúdo? Considerando que as ameaças cibernéticas miram empresas de todos os portes e segmentos, lançar mão de uma estratégia efetiva de proteção é uma verdadeira prioridade. Para prosseguir no assunto, saiba como conduzir um processo estratégico e eficaz de monitoramento da TI!
Créditos da imagem de destaque: pressfoto
