O ‘Meltdown’ e o ‘Spectre’ são os dois primeiros ataques cibernéticos de 2018 e as suas consequências ainda são difíceis de avaliar. A notícia caiu como uma bomba no mundo das tecnologias de informação e comunicação. Diversos investigadores de segurança informática revelaram pormenores sobre duas falhas securitárias que afetavam os processadores de quase todos os computadores.
«Apesar de ter sido um assunto discutido em dois dos maiores congressos de hacking do mundo em 2016 (BlackHat USA e BalckHat Europe), e tendo sido reportada a falha em junho de 2017, só no final do ano anterior começaram a ser feitos esforços no sentido de corrigir uma vulnerabilidade presente na maioria dos processadores», conta ao SOL o CEO da Vision Ware, Bruno Castro.
As principais empresas de tecnologia têm estado na últimas semanas a lidar com as ameaças, desenvolvendo patches para o seu software, enquanto as gigantes da computação em nuvem têm estado a correr para aplicar patches às suas infraestruturas de bases de dados. Também os principais fabricantes de sistemas operativos começaram a disponibilizar patches, como por exemplo para Linux, macOS, Android, Windows 10 (tendo a Microsoft anunciado correções para outras versões no próximo Patch Tuesday a 9 de janeiro de 2018).
As vulnerabilidades tornadas públicas permitiriam a atacantes saber segredos sensíveis da memória da maioria dos dispositivos, incluindo telefones, tablets, PC e servidores. Os especialistas avisam que hackers podem desenvolver artimanhas para furtar aos seus alvos dados pessoais, passwords, chaves criptográficas e outra informação supostamente inacessível.
E já foram vários os programadores que demonstraram provas de conceito ou PoC (sigla do inglês, Proof of Concept) para este tipo de ataque. Em segurança da informação, a PoC refere-se normalmente ao desenvolvimento de uma ferramenta prática para provar a vulnerabilidade teórica de um sistema de informação.
A Intel, que fabrica quase 80% dos processadores mundiais, é uma das principais afetadas, uma vez que os ataques infetam hardware produzido por fabricantes de chips de topo. Além disso está envolta em polémica depois do seu presidente executivo – sabendo previamente do erro que afeta os processadores da Intel – ter vendido cerca de 11 milhões de euros em ações da empresa. Ainda assim, Brian Krzanich revelou ontem que não haverá qualquer recolha de processadores. Antes, anunciou que tinha disponibilizado um patch para o ‘Metldown’, que garante tornar o CPU imune a um eventual ataque, para além de ter lançado uma ferramenta de deteção das vulnerabilidades em questão.
‘Speculative Execution’
Também ontem a Apple confirmou a vulnerabilidade dos seus dispositivos e anunciou que disponibliza um patch para o navegador Safari depois de já ter atualizado vários sistemas operativos.
O ‘Metldown’ e o ‘Spectre’ têm por base uma falha que «reside numa técnica chamada ‘speculative execution’, que é empregue pela maior parte dos processadores modernos de computadores, smartphones e tablets. Esta é uma técnica de otimização básica que os processadores utilizam para efetuar a computação de dados que ‘especulam’ possam vir a ser úteis no futuro», resume ao SOL o executive manager da Cybersafe. «O propósito da ‘speculative execution’ é preparar resultados computacionais e tê-los disponíveis caso venham a ser necessários. acrescenta Dinis Fernandes.
A falha foi descoberta no ano passado pela equipa do Google Projetc Zero (um projeto dentro da gigante tecnológica desenvolvido para detetar erros de segurança em diversos cenários e plataformas) em colaboração com a Graz University of Technology e a Cyberus Technology, entre outros investigadores e empresas.
Roubo de dados
A investigação encontrou uma forma de utilizar a ‘speculative execution’ para ler dados da memória que não deveriam ser acessíveis a partir do nível das aplicações do utilizador. «Desta forma, as vulnerabilidades associadas ao ‘Meltdown’ e ao ‘Spectre’, ao serem exploradas por aplicações maliciosas, permitem o roubo de dados guardados em memória de outros programas que se encontrem a correr», relata Dinis Fernandes.
Estas duas técnicas não permitem escrever ou modificar dados. Apenas lê-los. Os dados podem ser emails, fotografias, documentos, mensagens instantâneas ou até passwords guardadas num password manager ou guardadas no browser. E, lembra Dinis Fernandes, as vulnerabilidades podem «ser exploradas em servidores, computadores pessoais, equipamentos móveis ou até em ambientes cloud».
Grande parte dos processadores atuais estão afetados: no caso do ‘Meltdown’ todos os processadores Intel desde 1995, exceto Intel Itanium e Intel Atom antes de 2013, e processadores Arm. No caso do ‘Spectre’, estão afetados processadores Intel, Arm e AMD. Estão também afetados os principais sistemas operativos (Windows, Linux, macOS, Android, ChromeOS), cloud providers (Amazon, Google, Microsoft), e ainda fabricantes de aplicações.
Os ataques podem ser descritos da seguinte forma: o ‘Meltdown’ quebra o isolamento entre as aplicações do utilizador e o sistema operativo. Permite a um programa acesso à memória e por consequência aos dados «sensíveis» de outros programas e do sistema operativo. A Google escolheu o nome porque o ataque «derrete» a camada de segurança que é normalmente garantida pelo hardware do processador.
Já o ‘Spectre’ quebra o isolamento entre as diferentes aplicações e permite a um atacante «enganar» aplicações isentas de erros e que sigam as melhores práticas a exporem os seus dados «sensíveis». O nome prende-se com a causa do ‘speculative execution’, uma vez que não sendo fácil de resolver, irá «assombrar» os utilizadores e organizações durante algum tempo.
Uma noção exata da dimensão da vulnerabilidade ainda está por determinar ainda para mais porque «a deteção destes ataques é muito difícil, uma vez que a sua exploração não deixa praticamente vestígios nos ficheiros de log tradicionais», diz Dinis Fernandes.
Para o CEO da VisionWare, e apesar de já estarem disponíveis algumas atualizações que «permitem corrigir parcialmente o problema», a melhor solução passa por «mudar a arquitetura de grande parte dos processadores», com uma maior «divisão no que pode ou não ser acedido pelo utilizador e os programas que executa a longo prazo». Bruno Castro antevê a «restruturação da forma como atualmente funcionam os processadores».
