Falha no Bash expõe máquinas com sistemas baseados em UNIX

bash

Usuários de Linux e outros sistemas operacionais baseados em UN operacionais baseados em UNIX (as distribuições e o OS X, por exemplo) ganharam algo a mais para se preocupar nesta quarta. Especialistas em segurança da Red Hat divulgaram no blog da empresa a descoberta de uma vulnerabilidade no Bourne Again Shell, o GNU Bash, que permite a execução de códigos no momento em que o interpretador de comandos é invocado – seja pelo usuário ou por algum software.

 

De acordo com o site Ars Technica, a brecha foi encontrada pelo especialista Stéphane Schazelas e está “relacionada à forma como o Bash processa variáveis de ambiente passadas pelo sistema operacional ou por um programa que solicita um script bash-based”. Ela afeta as versões de 1.14 a 4.3 do shell e é ativada quando ele é aberto e um “código extra é adicionado ao fim das suas definições de funções”, como explicam os especialistas da Red Hat.

Como há um bom número de aplicações que solicitam o Bash – que faz a interface com o kernel do sistema operacional –, dá para imaginar o tamanho do problema. A distribuidora de soluções baseadas em Linux cita o caso de clientes DHCP, por exemplo, que solicitam shell scripts para configurar o sistema. Se esses comandos vêm de um servidor DHCP afetado pela brecha, torna-se possível rodar comandos diversos na máquina em que está o cliente.

Correções para a vulnerabilidade já foram liberadas pelos responsáveis por algumas das principais distribuições de Linux, como o Red Hat Enterprise Linux, o Fedora, o Ubuntu, o CentOS e o Debian. É bom atualizá-los o quanto antes. A Apple ainda está devendo uma correção para o OS X, mas um pequeno update deve ser liberado em breve, como apontou o Ars Technica.

Apesar da menor divulgação, o problema já foi considerado pelo especialista Robert Graham como “tão grande quanto o Heartbleed”, encontrado no OpenSSL em abril deste ano. Muito disso se deve fato de que o “bug interage com outros programas de formas inesperadas”, como ele explica no blog.

Mas os problemas podem se estender até aos dispositivos mais antigos e aos relacionados à Internet das Coisas (como roteadores, lâmpadas e tantos outros), que provavelmente não receberão patches de correção para a falha – e interagem com scripts Bash para rodar comandos. Ou seja, é possível que servidores fiquem livres do bug, mas vários outros aparelhos “menos importantes” não – e o cenário previsto por Graham não bom. Vale checar o texto aqui e entender melhor a brecha aqui.

Um estudo recente divulgado pelo Instituto Ponemon aponta que as ações invasivas geraram 34% de tempo de inatividade em 2013, em comparação com 15% em 2010.

Um dos principais objetivos dos hackers, ao implementar ataques virtuais, é atingir data centers e roubar informações valiosas sem serem notados. Um estudo recente divulgado pelo Instituto Ponemon aponta que as ações invasivas geraram 34% de tempo de inatividade em 2013, em comparação com 15% em 2010.

 

Outro levantamento, o Verizon Data Breach Investigations Reports 2014, indica que tem crescido muito as ações contra data centers e um dos aspectos interessantes é que banda larga de alto nível, presente nesses centros, torna ainda mais eficaz as invasões. Com hackers cada vez mais focados nos data centers, as equipes de TI precisam de soluções de segurança que lhes permitam ser mais fortes na proteção efetiva.

 

Os data centers estão evoluindo e têm se tornado mais inteligentes a fim de acompanhar as mudanças dos modelos de negócios e dos novos ambientes competitivos. Os aplicativos podem ser apoiados de forma dinâmica, inclusive com a implantação de dispositivos e serviços virtuais. Atualmente, a visibilidade e o controle sobre os sistemas de defesa também estão se expandindo para os centros de dados.

 

No entanto, muitas das soluções de segurança, desenhadas para as ‘extremidades’ da internet e não para os data centers, simplesmente não acompanham as atualizações nos centros de dados ou as novas ameaças.

 

Há ainda outros aspectos negativos sobre essa segurança tradicional: muitas vezes elas levam dias ou semanas para manterem alertas todas as áreas envolvidas; faltam desempenho e escalabilidade para lidar com ambientes dinâmicos e alto volume de tráfego; e envolvem soluções fragmentadas que não estão integradas criando sobrecarga no gerenciamento.

 

Nestes casos, as equipes de TI acabam se focando apenas em prevenir os ataques, mas não têm a capacidade de serem proativas para responderem a ameaças que, inevitavelmente, passam.

 

Considerando que soluções de segurança impróprias podem impedir o sucesso dos negócios, muitas organizações optam por escalonar as atividades em segurança para maximizar serviços flexíveis e dinâmicas envolvendo data centers.

 

De acordo com o Gartner, 95% das violações dos centros de dados ocorrem devido a um firewall mal configurado, em grande parte como reflexo de administradores de TI que optam por sistemas de segurança insustentáveis a fim de não comprometerem a funcionalidade do data center.

 

E a tendência é de piora no cenário à medida que os centros de dados são migrados dos ambientes físicos para o virtual, tarefa complexa e desafiadora, já que há redes definidas por software (SDN) e infraestruturas centradas em aplicativos (ACI).

 

A segurança em data centers deve evoluir em três aspectos importantes para entregar o controle que as equipes de TI precisam, sem comprometer a proteção e a funcionalidade.

 

•    A segurança deve ser projetada para o centro de dados. Além disso, ela deve ser integrada à estrutura dos data centers, e não apenas nas extremidades, lidar de forma dinâmica com as ‘rajadas’ de alto volume de tráfego e ser prática.

 

O gerenciamento de uma segurança centralizada é um fator primordial. De acordo com um levantamento do Gartner haverá um aumento de 3.000 % em ligações de data centers por segundo, até o fim de 2015.

 

•    A segurança deve ser capaz de se adaptar. Os ambientes de um data center são muito dinâmicos e as soluções de defesa também devem ser. Elas devem fornecer proteção consistente e serem inteligentes para que os profissionais de TI possam se concentrar na prestação de serviços e construção de aplicativos personalizados para aproveitar ao máximo os benefícios do negócio.

 

•    Segurança deve fornecer proteção contra ameaças avançadas. Os sistemas de defesa tradicionais têm uma ‘consciência limitada’, especialmente relacionada às aplicações de dados personalizados e ao bloqueio de perímetros. Sendo assim, eles não conseguem defender esses ambientes de forma proativa. É necessário uma abordagem centrada na ameaça, com recursos de inteligência ampla, visibilidade contínua e análise.

 

Os invasores estão se infiltrando em redes e se movendo de forma lateral para chegar aos data centers. Quando chegam lá, podem causar danos irreparáveis. As equipes de segurança precisam de soluções que sejam centralizadas na defesa de sistemas e redes, capazes de evoluir e suportar ambientes da próxima geração, proporcionando uma segurança antes, durante e depois de um ataque.

 

Raphael D’Avila é diretor de Vendas da Sourcefire Brasil, parte integrante da Cisco