FUD e não-tão-FUD - "a coisa tá pegando"

Esta época do ano (época de Black Hat e DefCon) é aquela na qual surgem novas ameaças e vulnerabilidades para nos preocuparmos. E este ano a pérola é das grandes, o ataque a drivers de placas wireless.

O que isso significa na prática? Significa que você pode ter um laptop com todas as atualiazações do Windows instaladas, antivírus (Dimitri...) e personal firewall, mas ainda ser "ownado" só de ligá-lo em um Café, aeroporto ou sala de conferência. Simples assim. De repente nem acessar algo você acessa, só liga a máquina para consultar uma planilha excel, mas como quando você desligou a máquina o wireless estava ligado...

O pessoal que adora pensar que tudo é mais simples do que parece vai dizer: FUD! Eu concordo em partes. Sim, o mundo não vai acabar por conta disso. Mas eu acho interessante estudar a pesquisa dentro de um contexto, não apenas seus resultados.

Há algum tempo começaram a encontrar mais vulnerabilidades em código "cliente", ou seja, aquele que roda em estações e/ou mais voltado ao usuário, como browsers, Office, etc. Se já não era mais tão fácil atacar diretamente os servidores, a saída natural seria atacar o usuário e depois elevar privilégios. Mais um golpe no já frágil perímetro. É tão evidente que os frameworks de exploits, como o Metasploit, já permitem que você crie "pacotes" voltados a essas vulnerabilidades com o payload desejado. Uma imagem WMF, um vídeo WMV, Páginas HTML, DOC, XLS, etc.

Um problema que vinha aparecendo por conta dessa abordagem está, a meu ver, sendo subestimado. São as vulnerabilidades relacionadas a software fora do Sistema Operacional e do pacote de escritório principal (como o Office, por exemplo). Exemplos disso são o Adobe Acrobat e o Flash (ops...mesmo fornecedor!). Agora temos os device drivers. Caramba, se patch management já era complicado só para os produtos MS, imagina quando você também tem que se preocupar com coisas que nem temos certeza se usamos ou não!

Eu vejo que o problema tem que ser tratado de duas formas. A primeira é a padronização do parque. É uma chatice para usuários e muito ruim em empresas com cultura mais flexível, consultorias, etc, mas não tem saída, ou o ambiente fica inadministrável. A outra é o Defense in Depth. Acostume-se com a idéia de uma estação comprometida em sua rede. Isso fica cada dia mais fácil de acontecer, mas ninguém se prepara para isso. Compartimentalização e monitoramento constante são imprescindíveis.