alphabet-3349829_1280-1.jpg

Explorações de dia zero atingiram recorde em 2021, diz Google

Pesquisadores do Projeto Zero do Google disseram ter rastreado 58 casos de explorações de dia zero no ano passado
Da Redação
19/04/2022

Pesquisadores do Projeto Zero do Google disseram ter rastreado 58 casos de explorações de dia zero em 2021, o maior número já detectado e divulgado em um único ano desde que o grupo começou seu trabalho em meados de 2014.

O total de 2021 é mais que o dobro do recorde anterior, 28, rastreado em 2015. “O número chama ainda mais a atenção quando se considera que havia apenas 25 casos detectados em 2020”, escreveu Maddie Stone, pesquisadora de segurança do Projeto Zero, em descobertas publicadas no site do grupo nesta terça-feira, 19.

Novos bugs de software são descobertos, divulgados publicamente e corrigidos o tempo todo, muitas vezes antes que hackers possam tirar vantagem dessas falhas. O Projeto Zero está preocupado principalmente com as vulnerabilidades que os invasores descobrem e exploram primeiro — aquelas que as empresas de software tiveram “zero dias” para corrigir.

A boa notícia sobre o total de 2021, de acordo com Stone, é que o crescimento do número provavelmente se deve ao aumento da detecção e divulgação de explorações de dia zero, em vez do aumento do uso delas. A má notícia, no entanto, é que “a metodologia do invasor não teve que mudar muito em relação aos anos anteriores”, escreveu ele. “Os invasores estão tendo sucesso usando os mesmos padrões de bugs e técnicas de exploração e perseguindo as mesmas superfícies de ataque.”

O Projeto Zero publica suas descobertas gerais em uma planilha pública. O grupo também notifica os fornecedores sobre os bugs antes da publicação, dando-lhes tempo para emitir patches ou atualizações para resolver as questões de segurança. Sua missão declarada é “tornar o dia zero difícil”, e Stone observa que “o dia zero será mais difícil quando, em geral, os invasores não puderem usar métodos e técnicas públicas para desenvolver suas explorações”.

As vulnerabilidades catalogadas pela equipe do Projeto Zero representam apenas aquelas que foram detectadas e divulgadas — seja por fornecedores ou pesquisadores independentes — “portanto, nunca saberemos exatamente qual proporção de 0 dias está sendo encontrada e divulgada publicamente”, de acordo com Stone.

As explorações de dia zero podem ser bastante prejudiciais e estiveram na raiz de alguns dos desenvolvimentos mais importantes e preocupantes da segurança cibernética ao longo dos anos. Em setembro do ano passado, por exemplo, pesquisadores do Citizen Lab, grupo com sede em Toronto focado em direitos humanos e forense digital, publicaram descobertas descrevendo uma exploração que havia sido comprada da empresa israelense NSO Group e incorporada ao software de spyware Pegasus que ela vende aos governos — alguns dos quais usaram o produto para espionar jornalistas e ativistas.

Veja isso
Projeto Zero do Google dará 30 dias extras antes de divulgar bug de software
Hackers estão mais rápidos na exploração de falhas de dia zero

Pesquisadores do Projeto Zero disseram em dezembro que o spyware da NSO —apelidado de “FORCEDENTRY” pelos pesquisadores originais do Citizen Lab que o encontraram — era “uma das explorações tecnicamente mais sofisticadas” que eles já viram, rivalizando “com aqueles anteriormente considerados acessíveis para apenas um punhado de Estados-nação”.

Stone escreveu que o dia zero FORCEDENTRY foi um dos 58 detectados e divulgados em 2021. O restante foi semelhante a “vulnerabilidades anteriores e conhecidas publicamente”. Essa dinâmica representa uma “clara área de oportunidade para o setor de tecnologia”, escreveu ele, na medida em que a maioria das vulnerabilidades detectadas pode ser relativamente mais simples de resolver pelos fornecedores, pois dependem de problemas previamente documentados.

Para este ano, Stone disse que a equipe do Projeto Zero espera que mais fornecedores concordem em divulgar o status de exploração de vulnerabilidades em seus boletins de segurança e também que amostras de exploração ou descrições técnicas detalhadas das explorações sejam compartilhadas mais amplamente.Mais fornecedores estão detectando e relatando publicamente zero-days afetando seus próprios produtos, escreveu Stone. O Google, por exemplo, descobriu sete, enquanto a Microsoft descobriu dez.

Em um nível mais técnico, a equipe espera que pesquisadores e profissionais de segurança se concentrem em reduzir vulnerabilidades de corrupção de memória ou torná-las inexploráveis. Esses bugs geralmente envolvem um software usando involuntariamente a memória do computador de uma maneira que causa um comportamento incomum ou travamentos.

Compartilhar:

Últimas Notícias