Níveis de Alerta de Segurança

[mmachado]

Sempre fiquei com a pulga atrás da orelha quando via as principais empresas de segurança ostentarem aqueles gráficos com o nível de alerta da Internet em seus sites. Me parecia que as coisas iriam descambar para o FUD em pouco tempo, quase nunca saindo do alerta máximo, com o objetivo de levarem para casa o leitinho das crianças (vendendo seus serviços de segurança).

Então aproveitei a divulgação, no dia 8 deste mês, da falha na pilha TCP/IP de praticamente todas as versões do Windows para dar uma olhada em como isso iria refletir nesses níveis. A falha, apesar da pouca divulgação na mídia, é uma das mais graves dos últimos anos. Não requer ação do usuário, é capaz de executar códigos remotamente, e basta chegar um único e determinado pacote até o computador para ativar o problema.

Esta é a característica dos worms mais destrutivos que a Internet já conheceu. Lembra-se do Blaster, do Nimda e do CodeRed? Funcionam assim, apareceram (ou continuaram a aparecer) mesmo depois de divulgados os devidos patches para a correção do problema. Não adianta. Muita gente não atualiza seus sistemas como deveria.

Apesar da divulgação dos patches (através do qual os malfeitores podem descobrir onde era o problema e o que fazer para explorá-lo com sucesso) os principais níveis de alerta apresentaram o seguinte estado:

Symantec ThreatCon: Level 1 (Normal)
http://www.symantec.com/business/sec...onse/index.jsp

Eles citam a existência da vulnerabilidade na base de alertas, a classificam como de alto risco, mas parece não ser suficiente para alterar o nível de alerta. Aparentemente, para eles esta é uma situação normal que não requer nenhuma atenção especial.

McAfee Global Threat Condition: Elevated
http://www.mcafee.com/

Eles definem que o nível "elevated" classifica a existência de uma vulnerabilidade que requer a interação com o usuário. Seguindo a própria classificação dos níveis, ou o nível deveria estar em "low" (menos errado mas ainda muito errado) ou em "severe", que define a existência de uma vulnerabilidade capaz de disseminar um worm.

Panda Security Global Threat Watch: Orange (Pre-alert)
http://www.pandasecurity.com/homeuse...rity-info/gtw/

Eles contabilizam apenas vetores já disseminados na rede ao invés da possibilidade de isso ocorrer por conta de novas falhas.

ISC Infocon: GREEN
http://isc.sans.org/infocon.html

Tudo normal também para a ISC. Essa classificação atesta "tudo normal, nenhuma nova ameaça significativa". Aparentemente eles também só contabilizam tráfego em curso que cause danos à operação das redes.

IBM Internet Threat Level: AlertCon 1
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp

Os próprios responsáveis pelo report dessa vulnerabilidade não chegaram a alterar o nível de alerta. Está no nível mais baixo, onde diz que um sistema pode ser comprometido em minutos assim que se conecta à Internet. Não achei a definição dos outros níveis, mas os próximos devem ser ataque alienígena (AlertCon 2), colapso do sol (AlertCon 3) e fúria divina (AlertCon 4).


Após analisar este quadro, notei o que me parece estar errado com estes níveis de alerta: eles atestam ameaças quando deveriam estar atestando risco. Pode parecer óbvio já que a maioria fala de "threat level" ou "nível de ameaça", mas a ameaça em si não possui nada significativo. Acredito até que ela não possua um "nível".

Risco = Ameaça x Vulnerabilidade x Impacto

Risco sim possui níveis. Óbvio que estas empresas não podem calcular o risco para cada um de nós, principalmente por causa da variante "impacto" na fórmula. Mas se a vulnerabilidade for próximo de zero, a multiplicação pela ameaça vai dar um valor muito baixo.

A vulnerabilidade em parece ser um valor bem mais importante do que a ameaça. Ameaças podem ser facilmente quantificáveis através de estatísticas, mas é praticamente inútil para definir o nível de PERIGO que cada um de nós está correndo em um determinado momento.

Mais informações sobre essa falha:
http://www.iss.net/threats/282.html

Mais informações sobre risco:
http://www.icharter.org/articles/risk_equation.html

[]s, MM

[mmachado]

Até que não demorou. Não foi desta vez, ainda, pois parece que os responsáveis pelo artefato foram incompetentes.

Analistas divulgam malware que explora falha crítica no Windows

No que pode ser o primeiro passo para grandes problemas de segurança, analistas de segurança divulgaram um código de ataque que pode causar problemas a usuários do Windows suscetíveis a um bug recentemente corrigido pela Microsoft no sistema.

(...)

A Microsoft corrigiu a falha na sua atualização MS08-0001, divulgada na semana passada, mas leva tempo até que empresas apliquem todas as correções divulgadas pelas desenvolvedoras de software.

Leia mais em: http://idgnow.uol.com.br/seguranca/2...ca-no-windows/

Os níveis de alerta, acabei de checar, continuam os mesmos.

[]s, MM