Mercado fechado
  • BOVESPA

    115.202,23
    +2.512,05 (+2,23%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    46.342,54
    +338,35 (+0,74%)
     
  • PETROLEO CRU

    66,28
    +2,45 (+3,84%)
     
  • OURO

    1.698,20
    -2,50 (-0,15%)
     
  • BTC-USD

    50.609,43
    +3.158,57 (+6,66%)
     
  • CMC Crypto 200

    982,93
    +39,75 (+4,21%)
     
  • S&P500

    3.841,94
    +73,47 (+1,95%)
     
  • DOW JONES

    31.496,30
    +572,16 (+1,85%)
     
  • FTSE

    6.630,52
    -20,36 (-0,31%)
     
  • HANG SENG

    29.098,29
    -138,50 (-0,47%)
     
  • NIKKEI

    28.864,32
    -65,78 (-0,23%)
     
  • NASDAQ

    12.652,50
    +197,50 (+1,59%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,7780
    -0,0079 (-0,12%)
     

Manipulação de código aberto permite ataques a grandes empresas de tecnologia

Felipe Demartini
·3 minuto de leitura

Uma manipulação sofisticada em bibliotecas de código aberto pode ser a chave para permitir ataques a grandes companhias do mundo da tecnologia. Essa é a prova de conceito do pesquisador em segurança Alex Birsan, que por meio de um ataque coordenado a repositórios de software livre, foi capaz de abrir brechas em 35 empresas do setor, com direito a grandes nomes como Apple, Microsoft, Uber, PayPal, Netflix e mais.

O ataque focado na cadeira de fornecimento, para usar o jargão técnico, se aproveita de falhas de verificação em sistemas de atualização automática e download de pacotes para servidores internos. De forma simplificada, caso um malware fosse ocultado como um destes elementos, ele poderia acabar indo parar nas estruturas das grandes companhias, sendo distribuído em suas aplicações e gerar vulnerabilidades que, na sequência, poderiam ser utilizadas por cibercriminosos.

Os testes usaram o PayPal como foco principal, de forma a entender de que maneira os pacotes internos e externos eram gerenciados. Basicamente, Birsan experimentou nomear um elemento de um repositório público como um dos itens criados de forma privada, nos servidores da empresa, descobrindo que, em casos desse tipo, o sistema sempre dará prioridade aos dados públicos, mesmo que isso envolva a substituição dos dados anteriormente presentes em plataformas restritas.

É uma falha que, no jargão técnico, é chamada de confusão de dependência e, muitas vezes, envolve não apenas o nome do arquivo, mas também números de versão. Usando uma conta com sua própria identidade e indicações de se tratar de uma pesquisa para fins de segurança, sem softwares maliciosos ou dados valiosos envolvidos nessa manipulação, o especialista foi capaz de obter sucesso nos testes contra as dezenas de companhias, e acredita que centenas mais podem estar vulneráveis ao mesmo tipo de exploração.

O pesquisador destaca que, ao contrário de outros métodos que também usam essa substituição de pacotes, esse é mais sofisticado por não envolver nenhum tipo de ação manual da vítima. Obter os nomes de pacotes internos pode não ser tão simples, é verdade, mas manifestos disponíveis no Github, outros repositórios ou sistemas de gerenciamento de conteúdo poderiam revelar tais identificações, possibilitando a inserção de malwares, de forma mais efetiva que um ataque de engenharia social, por exemplo.

Em seu estudo, Birsan também demonstra como os pacotes maliciosos poderiam ser usados para extração de dados internos. Pelas descobertas, chegou a receber mais de US$ 130 mil em recompensas pelos programas de caça a bugs de diferentes companhias, incluindo o maior valor já pago pela Microsoft em iniciativas desse tipo, US$ 40 mil. Após, decidiu liberar seus achados à toda comunidade, já que considera esta uma falha com amplo potencial ofensivo.

Para auxiliar na resolução da questão, o especialista liberou uma ferramenta que checa se os nomes de pacotes em repositórios internos coincidem com aqueles disponíveis publicamente, para que sejam modificados em prol de maior segurança. Além disso, configurações adicionais em ferramentas de instalação e verificação também podem ser implementadas para mitigar o risco.

Fonte: Canaltech

Trending no Canaltech: