2017/05/15

Microsoft responsabiliza EUA pelo ataque mundial de ransomware


A Microsoft não está nada satisfeita com a política dos EUA de manterem em segredo vulnerabilidades de software que vão descobrindo, e equipara o caso da recente vaga de ransomware ao roubo de mísseis.

Este ataque que afectou mais de 200 mil computadores em 150 países, incluindo hospitais, empresas de telecomunicações, e muitas outras, foi possível devido a uma vulnerabilidade nos sistemas Windows; mas o ponto mais importante é que esta vulnerabilidade era do conhecimento das agências de segurança dos EUA, que a mantiveram em segredo... até que um grupo de hackers conseguiu roubar essa informação e disponibilizá-la publicamente na internet. Foi a partir daí que outros atacantes se terão apressado a adaptar o ransomware para tirar partido desta vulnerabilidade, que permitiu espalhar o WannaCry da forma que vimos.

As críticas da Microsoft repetem apenas aquilo que muitos especialistas de segurança digital têm dito ao longo dos anos; de que qualquer vulnerabilidade mantida em segredo é um autêntico desastre à espera de acontecer pois, como agora ficou demonstrado, será apenas uma questão de tempo até que essa informação caia nas mãos erradas (se é que também já não foi descoberta por outras entidades) deixando centenas de milhões de pessoas em risco.


Aliás, a MS nem sequer hesita a comparar a situação ao roubo de mísseis Tomahawk, como forma de tentar explicar o tipo de coisa que está em causa. Ninguém ficaria descansado se soubesse que alguém tinha roubado armas de elevado poder destrutivo às forças militares; e no entanto, aqui foi precisamente isso que se passou, em versão digital - e com a agravante dessas mesmas armas terem sido disponibilizadas publicamente para todos os que delas quisessem tirar partido.

Para evitar situações idênticas no futuro, a Microsoft tem vindo a promover a criação de uma versão digital das "Convenções de Genebra" e onde ficaria estabelecido que os governos seriam obrigados a divulgar toda e qualquer vulnerabilidade encontrada (ao fabricante do software afectado) em vez de as manterem em segredo para usufruto próprio. Se esta vaga de ransomware servir para tornar esse objectivo uma realidade, quase que se poderá dizer que valeu a pena.

14 comentários:

  1. Será que é desta que a União Europeia percebe de vez que estar dependente dos EUA em termos de serviços de software é em si mesmo um risco de segurança?

    ResponderEliminar
  2. Estou plenamente de acordo - as vulnerabilidade encontradas são para ser corrigidas rapidamente.
    - Não é para serem guardadas pelos governos para as usar - até serem roubadas.
    - Nem para ficarem por corrigir - em centenas de milhões de Android, por ter sido permitido criar um sistema em que tal é possível.

    ResponderEliminar
    Respostas
    1. Mas quem é que falou no sistema Android?!

      Eliminar
    2. Falei eu, não posso ?!
      O Android em termos de sistema de correcção de vulnerabilidades é um atentado!
      Ainda percebo melhor a porra da CIA e a porra da NSA que "armazenam" as vulnerabilidades do Windows e mais o código para as utilizar - porque as querem utilizar - e a seguir são roubados por hackers [é o caso do WannaCry], do que a porra do Android em que foi criado um sistema em que as vulnerabilidades são descobertas e não podem ser corrigidas em centenas de milhões de equipamentos!
      As vulnerabilidades são para corrigir - seja no MacOS e no iOS (ontem as actualizações desse SO corrigiram várias), seja no Windows, se não for a CIA e a NSA a detectá-las - mas não é assim no Android - em que são detectadas mas não são corrigidas,

      Eliminar
    3. Aires, estás a generalizar demasiado. O Android tem sido actualizado "a tempo e horas" (tens até correcções mensais de segurança).

      O problema é que grande parte dos fabricantes não se preocupa em fazê-las chegar aos seus dispositivos; o que será equivalente a estar a culpar o Windows desta vaga de ransomware, quando a vulnerabilidade até já estava corrigida há várias semanas, sendo as vítimas as pessoas que não tinham o Windows actualizado.

      A Google já deu N voltas para aumentar a segurança no Android mesmo tendo em conta esse desinteresse dos fabricantes (passando maiores responsabilidades para o Play Services, que assim podem chegar a todos os smartphones com acesso à Play Store e ser actualizado em tempo útil sem depender dos fabricantes). Foi o possível por agora... no no próximo Android virá um novo sistema mais modular que ajudará ainda mais nas actualizações.

      Nota: a Apple bem que também poderá querer rever algumas coisas no iOS... pois é ridículo que uma actualização a algo como a calculadora ou app do weather obrigue a uma actualização "do sistema"! :)

      Eliminar
    4. Este comentário foi removido pelo autor.

      Eliminar
    5. O que interessa é:
      - Compro um computador com Windows. A Microsoft descobre uma vulnerabilidade e lança uma actualização - e eu posso instalá-la. [O facto de ter sido a NSA a descobri-la, a "armazená-la" e deixá-la roubar, não tira nem põe para a questão. Isso tanto pode acontecer com o Windows, o MacOS e o iOS, ou com o Android ]. O mesmo se comprar um Mac ou um iPhone.
      - Compro um smartphone com Android. A Google descobre uma vulnerabilidade e lança uma correção - e eu, se tiver comprado um equipamento igual à generalidade dos utilizadores, não a posso instalar.
      E a culpa é da Google. Não manteve o controlo das actualizações de segurança como fez a Micrsoft (para não falar da Apple) porquê? Agora é que vem com a conversa (que ainda está para se ver) que na próxima versão é que é? E as centenas de milhões anteriores?

      Eliminar
    6. Esqueces-te do detalhe de que no Windows /macos/ios são sistemas fechados em que ninguém pode mexer mesmo que quisesse; no Android tens um sistema aberto que marcas e operadores modificam a seu gosto. A partir do momento que o fazem é da sua responsabilidade acompanharem as actualizações que são disponibilizadas. Dito de outra forma, daqui a pouco estas a responsabilizar o "Android" e a Google por uma marca o ter alterado e introduzido um backdoor?(Por ex)

      Eliminar
    7. Este comentário foi removido pelo autor.

      Eliminar
  3. Estou de acordo mas não estou a ver nada disto acontecer de repente com o atual presidente americano!

    ResponderEliminar
  4. Não percebo porque a microsoft está tão chateada por alguém não os ajudar a reparar os produtos defeituosos que eles lançam e vendem nada barato...

    ResponderEliminar
  5. Pois, o problema está todo aí - os fabricantes e os operadores é que são os maus, a Google não tem responsabilidade nenhuma.

    Mas basta pegar no que diz a própria Google sobre o Android O e esse argumento cai pela base. Diz ela que o Android O é modular e qua as atualizações de segurança vão ser feitas sem problemas nenhuns (a ver vamos).
    Então por que não fez isso nas versões C-D-E-F-G-H-I-J-K-L-M-N?

    Porque o que lhe interessava era muita gente com acesso à internet através de equipamentos mobile a clicar nos seus anúncios e produtos. Ao contrário do que muita gente pensa a Google controla completamente o Android GMS (com os seus serviços). O Android AOSP dá para pouco mais do que fabricar telemóveis básicos. Se a Google quisesse criar o tal Android modular e obrigar os fabricantes e operadores a cumprir regras que obrigavam a que as actualizações de segurança não fossem barradas tinha-o feito. Não quis. Se o fizer no Android O não podia ter4 feito antes?.

    A perspectiva de "Santa Google que permitiu que toda a gente tivesse um smartphone" oculta o problema da segurança do Android - que é da responsabilidade da Google, não vale a pena branquear com a de fabricantes e operadores.

    ResponderEliminar
    Respostas
    1. Há que olhar para o contexto. O Android, quando nasceu, estava longe de estar preparado para aquilo que é hoje. Há coisas que puderam evoluir, há outras que foram ficando para trás porque obrigavam a alterações mais profundas.

      A Google já tentou uniformizar isso por várias vezes (programa Android One, por exemplo), mas não pode "obrigar" ninguém a aderir a isso, nem impedir que outros usem o Android como bem quiserem (Amazon, por exemplo). Isso do AOSP só dar para telemóveis básicos é uma falácia... existe vida para além da Google, e bastará dares um salto à China, onde tens algumas centenas de milhões de pessoas que vivem alegremente a usar Androids sem acesso aos serviços da Google.

      Sistemas milagrosos e perfeitos não existem; aquilo que se pode esperar/desejar, é que os mesmos aprendam com os erros e evoluam.

      Eliminar
  6. A Microsoft mesmo quando sabe de vulnerabilidades não as corrige, a menos que apareça em todas as televisões e jornais, de outra maneira assobiam para o lado e dizem que não é nada... começa a ser utilizada para afectar dezenas de milhões de equipamentos e vai logo a correr corrigir o que afinal já deveria ter feito... são uns tangas.

    Mesmo assim a vulnerabilidade já estava resolvida desde pelo menos Março de 2017, aqui foi mesmo uma questão de incompetência da(s) pessoa(s) responsável(eis) pelo(s) parque(s) informático(s)... todos os meses saem actualizações de segurança e aquela gente pensa que pode andar a adiar correcções de vulnerabilidades que por vezes já estão em pleno uso até antes de serem corrigidas quanto mais depois de sair a correcção, onde tem ainda mais gente a reverter as alterações para verificar o que há de novo para atacar.

    ResponderEliminar