Consultor Jurídico

Artigos

Você leu 1 de 5 notícias liberadas no mês.
Faça seu CADASTRO GRATUITO e tenha acesso ilimitado.

Segurança confiável

2003Segurança confiável: espaço virtual, droga na forma de software

Parte I

Uma nota de 13 de fevereiro no Jornal do Commercio informa que a Microsoft começará a enviar, por email, boletins mensais de segurança, dentro de sua nova política chamada "Segurança Confiável", lançada há um ano. O boletim seria mais uma tentativa de melhor conscientizar usuários -- supõe-se os usuários dos seus produtos -- sobre os riscos a que se expõem pela intermediação dos seus softwares, e das proteções que deveriam dela obter, através da instalação atualizada de correções, dos chamados patches.

Mais uma vez, tal vulnerabilidade se manifestava, no dia 25 de janeiro, com o verme Sapphire/SQL Slammer. Ele trouxe, como novidade, a epidemia mais rápida da históra da computação. Após ser lançado -- segundo análise da Silicon Defense - pouco antes de 05:30 UTC, o verme passou a dobrar seu volume de infecção a cada 8.5 segundos (+ 1 seg), tendo atingido o pico de varredura em três minutos (55 milhões de varreduras por segundo), mais de 90% dos servidores vulneráveis em menos de 10 minutos, e todo o planeta em menos de meia hora.

Nada destruiu, por ser um verme e não um vírus. Mas seu tráfego obstruiu várias artérias da teia, perpetrando um ataque global de negação de serviço cuja severidade variou, conforme as características da rede local e das medidas emergenciais de defesa tomadas localmente. Medidas equivocadas terminaram por agravar o bloqueio. Também pelo mesmo motivo, o verme pôde se valer de um dos protocolos "menos inteligentes" da Internet (o UDP), que é por isso menos utilizado e menos vigiado pelos firewalls que controlam o tráfego entre as redes que a compõem, para propagar-se com menos carga (apenas 414 bytes), menos obstáculos e maior rapidez do que os vírus das grandes epidemias passadas, como o CodeRed, o Nimda e o ILoveYou.

Devido a estas caracterísitcas, o SQL Slammer consegue obstruir os canais de entrada e saída de qualquer rede local, com conexão à internet dimensionada em padrões usuais, com apenas uma ou duas máquinas infectadas saturando o tráfego. Seu único mecanismo de propagação é uma vulnerabilidade do tipo buffer overflow, presente originalmente nos servidores SQL Server 2000 e MSDE, da Microsoft.

O MSDE ("Microsoft Database Embedded"), uma versão leve do SQL, está presente em boa parte dos desktops (computadores pessoais), embutido em produtos tais como o Visio (Office), em servidores de aplicação como os gerenciadores de vírus (McAffee), e em sistemas para infraestrutura de redes (Cisco). Ou seja, diferentemente do MSSQL, o MSDE está meio que oculto em computadores de usuários comuns e em produtos de empresas "parceiras", em posições estratégicas para a propagação de epidemias na internet.

Entretanto, conforme relato da empresa de segurança computacional Counterpane, durante os dias em que durou o ataque a Microsoft tentou rebater a culpa para seus clientes, afirmando que havia divulgado, há seis meses, um service pack contendo um patch que corrige tal vulnerabilidade do MSSQL.

Administradores é que seriam culpados pelos ataques sofridos, por não terem atualizado seus servidores SQL conforme recomendado. Voltaram, inclusive, a vociferar contra a publicização de falhas dos seus produtos, pois o Sapphire/SQL Slammer continha código muito semelhante ao que um pesquisador da segurança computacional, David Litchfield, havia divulgado para comprovar tal falha, após a empresa ter se manifestado publicamente a respeito, ao divulgar seu service pack para corrigir tal falha.

Porém, trata-se de código tão simples que o autor do verme, tendo produzido mecanismo de infecção tão eficaz, poderia muito bem tê-lo feito ele mesmo. Ao passo que a divulgação de código demonstrativo é a única ferramenta conhecida capaz de induzir empresas monopolistas de software a reconhecer falhas em seus produtos, havendo um acordo de cavalheiros na comunidade quanto a prazos para publicização.

Acontece que, dias depois, vazaram notícias de que a própria Microsoft havia sido severamente atingida pela epidemia do Sapphire/SQL Slammer. Teria ela ignorado sua própria recomendação a respeito do SQL? E se o fez, por qual motivo? Vamos aqui examinar as possíveis razões para o fracasso nas tentativas de se atribuir, à conscientização dos riscos por parte do usuário, papel tão importante na estratégia da segurança na informática.

Parte II

Como vimos acima o SQL Slammer, o verme digital mais contagioso que já atacou na internet (ao final de janeiro), atingiu severamente também a empresa produtora dos programas cuja falha explora. A notícia vazou depois da empresa ter responsabilizado seus clientes pelos próprios prejuízos. As vítimas do verme não teriam atualizado, com o patch lançado pela empresa seis meses antes, suas cópias do MSSQL.

  • Página:
  • 1
  • 2
  • 3

Revista Consultor Jurídico, 3 de abril de 2003, 16h21

Comentários de leitores

0 comentários

Comentários encerrados em 11/04/2003.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.