17 setembro 2012

Quando a Apple abordará a segurança de forma diferente?

A minha recente referência à Apple num discurso na CeBIT Austrália deu início a uma onda de comentários e publicações (exemplo) sobre a abordagem da empresa em relação à segurança. Como as medidas de segurança da Apple têm sido um tema popular nos últimos tempos (desde o Flashfake), penso que esta é a oportunidade ideal para falar no assunto.

Como é sabido, nos dias de hoje há um fosso crescente entre, de um lado, a velha campanha da Apple que alega que os “Macs não têm vírus” e, de outro, a realidade. E a realidade é que a Apple está perdendo credibilidade, para ser delicado. Tendo isso em conta, os usuários terão capacidade para entender o que realmente se passa, apesar de tudo o que a Apple continua a dizer? Qual é o problema da abordagem da Apple com relação à segurança? A Apple pode aprender alguma coisa com a Microsoft e outros fabricantes em termos de segurança?

Há mais de uma década, os worms de rede como o Blaster e o Sasser lançaram o caos na plataforma Microsoft Windows, forçando a empresa a tomar algumas decisões difíceis e com custos elevados. A mais importante foi a criação da iniciativa Trustworthy Computing, uma diretiva executiva que incluiu uma grande revisão do Windows XP SP2, uma resposta de segurança melhorada (Patch Tuesday, alertas de segurança) e o programa obrigatório SDL (Security Development Lifecycle), que tornou o sistema operacional mais resistente a ataques de hackers.

O recente incidente com a botnet Flashback no Mac OS X é a “versão Apple” da era dos worms de rede. E é um importante alerta para uma empresa que, por tradição, tem ignorado a segurança.

Para compreender a fundo a negligência da Apple em relação à segurança, precisamos recuar até 2006, ao famoso anúncio “Mac vs. PC”, em que um PC aparece “espirrando” por ter apanhado um vírus e um Mac lhe dá um lenço de papel, dispensando qualquer tipo de proteção, uma vez que os vírus não são uma ameaça para o Mac OS.

O anúncio era inteligente e engraçado, mas enganoso. Ajudou a perpetuar a falsa sensação de segurança entre os usuários de Mac e a consolidar a ideia de que a segurança, pura e simplesmente, não era necessária – porque os Macs são imbatíveis e não apanham vírus.

Esta crença causou e continua a causar, de forma inaceitável, longos atrasos no lançamento de atualizações para corrigir falhas críticas de segurança e responder a ataques “selvagens”.

Sem sombra de dúvidas: a iBotnet (o Flashback/Flashfake infectou mais de 700.000 Macs) foi inteiramente culpa da Apple. A atualização do Java (CVE-2012-0507) que corrigiu a vulnerabilidade foi lançada para Windows em 14 de fevereiro de 2012. Essa mesma vulnerabilidade afetou também o Mac OS X, mas a Apple não disponibilizou nenhuma atualização até dia 3 de abril de 2012! A Apple deixou os seus usuários expostos a esta vulnerabilidade durante 49 dias, dando uma enorme margem de manobra aos criadores de malware para construírem uma botnet. Imperdoável.

Pensem nisto: quase um milhão de Macs numa rede botnet com fins lucrativos, propriedade de cibercriminosos. Em termos de cotas de mercado (a porcentagem de usuários Mac afetados), esta é a versão Mac do Conficker no Windows. É o primeiro ataque massivo de malware no Mac OS X com um número tão grande de vítimas, e é também a confirmação de que o crescimento da cota de mercado do Mac tem sido um enorme incentivo para os cibercriminosos.

O Flashback é particularmente perigoso porque se espalha através de drive-by downloads– sem interação do usuário, sem cliques extras, sem precisar de senhas de administrador. Basta entrar num site hackeado, e o malware é instalado automaticamente. As variantes conhecidas foram usadas em “fraudes por clique”, mas poderiam ter sido ainda mais perigosas por causa do componente Trojan-downloader, que permite aos atacantes instalar ainda mais malware nos equipamentos infectados.

Claramente, chegamos a um ponto em que a cota de mercado do Mac OS já é suficiente para justificar ataques de malware em massa. A regra de ouro é esta: se a cota de mercado é suficientemente grande, os cibercriminosos têm bons motivos para investir em ataques. No passado, os criadores de malware já se tinham introduzido no Mac OS com ataques “DNS changers”, ataques de “scareware” (falsos antivírus), e as habituais armadilhas de phishing, mas, no geral, podemos ver que estamos agora entrando numa nova fase.

O fato de os usuários da Apple terem sido submetidos a uma espécie de “lavagem cerebral” para ignorarem as ameaças à segurança faz com que várias aplicações vulneráveis continuem sem atualização e, assim, haja sempre um grande número de usuários que podem ser infectados.

Se uma pessoa deixar um carro top de linha aberto toda a noite na rua e este for roubado, a culpa é toda dela, que o deveria ter trancado – ponto final. Da mesma forma, a Apple é a culpada por toda esta situação. A empresa tarda sempre na disponibilização de atualizações para problemas de segurança conhecidos. O Java para Mac é só um exemplo, mas, se estivermos atentos a todas as ações da Apple, verificamos que a empresa constantemente se atrasa com correções, especialmente para componentes de código aberto. O WebKit e o Safari são pesadelos de segurança permanentes.

Depois há toda uma “aura” de segredo. A Apple pura e simplesmente ignora todas as questões da mídia sobre problemas de segurança. Sempre que há uma ameaça legítima, os usuários não recebem qualquer comunicado por parte da Apple. Não há alertas sobre as atualizações com soluções temporárias para os usuários. Eles não fornecem dados aos fornecedores de segurança para ajudar a manter a segurança do ecossistema. Quando há um surto, os usuários de Mac têm de se apoiar em orientações dadas por terceiros, em vez de terem ajuda diretamente da Apple. Que pouco respeito a Apple mostra pelos usuários!

O mais engraçado é que a Apple pode aprender muito com a Microsoft na área da segurança. De fato, penso que a Apple deveria simplesmente copiar a política de resposta da Microsoft, linha por linha, no que diz respeito à segurança. A Apple precisa de um processo SDL para garantir que os programadores estejam atentos à segurança em cada nível do processo de criação de um software. Fornecedores de redes inteligentes e de sistemas de supervisão e aquisição de dados (SCADA) e até o Governo Indiano já adotaram o processo SDL da Microsoft, o que prova que a empresa é agora líder em segurança de software.

O departamento de marketing da Apple pode não gostar da ideia, mas não é nenhuma vergonha aprender com a Microsoft; pelo menos não deveria ser. A Apple deveria copiar o programa de alertas de segurança da Microsoft para que os usuários fossem devidamente avisados quando há uma ameaça de segurança legítima. Se os usuários de Mac têm de esperar séculos por atualizações, a Apple deve disponibilizar soluções temporárias. E que tal um Patch Day periódico? Isto ajudaria os administradores de sistemas a estarem preparados para o desenvolvimento de atualizações em vez de serem surpreendidos por updates ad-hoc para Mac OS X. No que diz respeito à resposta de segurança, a Apple ficou parada nos anos 1990.

Há dez anos, a “Trustworthy Computing” salvou a plataforma Windows de uma verdadeira tragédia. A situação de segurança do sistema operacional Windows melhorou e o processo de resposta de segurança da Microsoft é agora o modelo a seguir, e que outros – como a Adobe – já estão copiando.

Agora é a vez da Apple. A empresa teria feito um favor a ela mesma – e aos seus usuários – se tivesse aceitado o ataque Flashback como a prova real da necessidade de melhorar a segurança e se tivesse rejeitado a abordagem “segurança-segundo-o-departamento-de-relações-públicas” que tem provocado o desinteresse pelo tema por parte dos usuários. A Apple tem de começar a levar o assunto da segurança de forma diferente. Já não estamos em 2006, altura em que os Macs eram considerados imunes a ataques e em que se faziam anúncios engraçados para tentar vender um sistema operacional como “superior”. O Flashback é a primeira grande botnet para Mac, mas certamente vai haver mais. A Apple não se pode dar ao luxo de não aprender a lição com o Flashback.

Estimada Apple, tem alguém escutando?

LEIA COMENTÁRIOS 0
Deixe um comentário.
Facebook

27 fevereiro 2024

Prêmios nunca são demais

Fala pessoal! Hoje, estou escrevendo direto da Áustria!… Mas eu não fiz essa viagem apenas para ver pelas janelas o clima sombrio da Europa. Eu fui a negócios – vários; em primeiro lugar – receber isso aqui pessoalmente! -> …Quando a sua empresa é premiada com nada menos do que “Produto do Ano”, por ninguém […]

27 junho 2023

Alto escalão da Infosec: de volta – pessoalmente – à SAS!

Preparem as trombetas, ouça o rufar de tambores, aplausos, vivas e  assobios! Eis duas novidades para você: uma é boa, a outra é… ainda melhor! Primeiro: este ano teremos nossa 15ª conferência anual de cibersegurança – a Security Analyst Summit (SAS). Décima quinta?! Gente… o tempo voa! Segundo: finalmente estamos de volta ao formato offline, […]

19 janeiro 2023

Retrospectiva 2022: patentes chegando com tudo!

Inventar novas tecnologias de ponta é apenas a metade do caminho. Espere – na verdade. não: não sejamos tão categóricos… Uma nova tecnologia de ponta que seja de fato inovadora tem um movimento de ciclo de vida muito mais complexo e longo do que pode ser inicialmente imaginado por muitos. Claro, sem a invenção em […]

11 novembro 2022

11.11: Celebração de 20 anos!

Saudações meninos e meninas! Do nada, chegamos a outro marco histórico. Viva! Nosso sistema operacional ciberimune – KasperskyOS – faz hoje… não, espera aí. Não é exatamente isso… Há exatos 20 anos – em 11 de novembro de 2002 – iniciamos uma longa e sinuosa jornada; uma trajetória que, de fato, ainda se encontra em […]

21 julho 2022

Cibercontos do lado sombrio (e luminoso): hack criptográfico audacioso, K fica neuromórfico e como entrar em um data center pelo… banheiro!

Fala pessoal! Para aqueles que ainda estão suando no escritório, não tiveram a sorte de ter saído para algumas férias de desintoxicação digital de verdade, para manter sua mente fora do calor, algumas iNews deliciosas, também conhecidas como Contos obscuros (e claros) do cibermundo – histórias ainda mais extraordinárias e difíceis de acreditar do mundo […]

5 julho 2022

Um “Kuarto” de século? Parece que passou voando, não?

Fala galera! Há 25 anos e 9 dias – em 26 de junho de 1997 – a empresa que, por acaso, tem o mesmo nome que o meu foi registrada. E foi um “início humilde” no sentido mais verdadeiro: cerca de uma dúzia de pessoas com rotatividade zero – mas com algum conhecimento técnico especial […]

Mais

Vlog de Viagens