Uma falha crítica num software amplamente utilizado fez os especialistas em cibersegurança darem o alarme e levou as grandes empresas a apressarem-se para corrigir o problema.
A vulnerabilidade, que foi reportada no início de dezembro, está num software baseado no Java conhecido como "Log4j", que as grandes organizações utilizam para configurar as suas aplicações, e representa um risco potencial para grande parte da internet.
O serviço de nuvem da Apple, a empresa de segurança Cloudflare e um dos jogos de vídeo mais populares do mundo, o Minecraft, estão entre os muitos serviços que executam o Log4j, segundo os investigadores de segurança.
Jen Easterly, diretora da Agência de Cibersegurança e Segurança de Infraestruturas (CISA) do Departamento de Segurança Interna, chamou-lhe "uma das falhas mais graves" que já viu na sua carreira. Numa declaração proferida no dia 11 de dezembro, Easterly disse que "um conjunto crescente" de piratas informáticos estão a tentar ativamente explorar essa vulnerabilidade.
Desde essa altura, mais de 100 tentativas de pirataria ocorriam a cada minuto, segundo os dados dessa semana da empresa de cibersegurança Check Point.
"Demoraremos anos a resolver isto, enquanto os atacantes procuram diariamente [explorar isto]", disse David Kennedy, CEO da empresa de cibersegurança TrustedSec. "Isto é uma bomba-relógio para as empresas".
Eis o que deve saber:
O que é Log4j e porque é que é tão importante?
O Log4j é uma das mais populares bases de dados de registos utilizadas online, segundo especialistas em cibersegurança. O Log4j dá aos programadores de software uma forma de construir um registo de atividade que poderá ser utilizado para uma variedade de fins, tais como a resolução de problemas, auditoria e rastreio de dados. Por ser ao mesmo tempo de código aberto e gratuita, a base de dados abarca essencialmente todas as partes da internet.
"Está por toda a parte. Mesmo que sejamos um programador que não utilize diretamente o Log4j, podemos estar a executar o código vulnerável, porque uma das bibliotecas de código aberto que utilizamos depende do Log4j", disse à CNN Business Chris Eng, diretor de investigação da empresa de cibersegurança Veracode. "Esta é a natureza do software: atinge todos lentamente".
Empresas como a Apple, IBM, Oracle, Cisco, Google e Amazon, todas executam este software. Pode estar presente em aplicações e sites populares e as centenas de milhões de dispositivos em todo o mundo que acedem a estes serviços poderão ficar expostos a esta vulnerabilidade.
Os piratas informáticos estão a explorá-la?
Os atacantes parecem ter tido mais de uma semana de avanço na exploração da falha de software antes de esta ter sido divulgada publicamente, segundo a empresa de cibersegurança Cloudflare. Agora, com um número tão elevado de tentativas de pirataria a acontecer todos os dias, alguns receiam que o pior ainda esteja por vir.
"Os atacantes mais sofisticados e experientes descobrirão uma forma de transformar esta vulnerabilidade numa arma, de forma a obter o maior ganho", disse Mark Ostrowski, diretor de engenharia da Check Point.
Na altura, a Microsoft disse também, numa atualização a uma publicação no seu blogue, que piratas informáticos com o apoio de estados como a China, o Irão, a Coreia do Norte e a Turquia tentaram explorar a falha do Log4j.
Porque é que esta falha de segurança é tão grave?
Os especialistas estão particularmente preocupados com esta vulnerabilidade, porque os piratas podem facilmente obter acesso ao servidor informático de uma empresa, dando-lhes acesso a outras partes da rede. Segundo Kennedy, é também muito difícil encontrar a vulnerabilidade ou ver se um sistema já foi comprometido.
Além disso, foi encontrada uma segunda vulnerabilidade no sistema Log4j. A Apache Software Foundation, uma organização sem fins lucrativos que desenvolveu o Log4j e outro software de código aberto, lançou uma correção para as organizações aplicarem e colmatarem as falhas de segurança.
Como é que as empresas estão a tentar resolver o problema?
Na segunda semana de dezembro, o Minecraft publicou um post no seu blogue, a anunciar que tinha descoberto uma vulnerabilidade numa versão do seu jogo e rapidamente disponibilizou uma correção. Outras empresas tomaram medidas semelhantes.
A IBM, a Oracle, a AWS e a Cloudflare enviaram alertas aos clientes, chegando algumas a incluir atualizações de segurança ou a delinearem planos para possíveis correções.
"Este é um bug tão perigoso, que não se pode carregar num botão para o corrigir como uma grande vulnerabilidade tradicional. Vai exigir muito tempo e esforço", disse Kennedy.
A bem da transparência e para ajudar a reduzir a desinformação, a CISA disse que criaria um site público com atualizações acerca dos produtos de software que foram afetados pela vulnerabilidade e de forma os piratas os exploravam.
O que pode fazer para se proteger?
É muita a pressão sobre as empresas para que tomem medidas. Por agora, as pessoas devem atualizar os dispositivos, o software e as aplicações, quando as empresas avisarem nos próximos dias e semanas que está disponível uma nova atualização.
O que se segue?
O governo dos EUA emitiu um aviso para que as empresas atingidas estejam em alerta máximo para possíveis ciberataques com ransomware.
Existe a preocupação de que um número crescente de malfeitores utilizem esta vulnerabilidade de novas formas, e embora as grandes empresas de tecnologia possam ter equipas de segurança a postos para lidar com estas potenciais ameaças, muitas outras organizações não as têm.
"O que mais me preocupa são as escolas, os hospitais, os locais onde existe apenas um técnico de informática responsável pela cibersegurança e que não tem tempo, nem orçamento nem as ferramentas necessárias para tal", disse Katie Nickels, diretora de inteligência na empresa de cibersegurança Red Canary. "Estas são as organizações com as quais estou mais preocupada, as pequenas organizações com orçamentos de segurança reduzidos".
