Google aponta o sistema mais seguro no mundo digital

Pode parecer desnecessário falar da importância da segurança no mundo digital para a maior parte das pessoas, mas essa mesma maioria não sabe muito o que fazer e como interpretar as informações que existem a respeito.

Objetivando lançar um pouco de luz no assunto, a partir de dados concretos de um trabalho conduzido pelo Google, hoje iremos apresentá-los e comentar as conclusões possíveis e, sobretudo, que cabem aos usuários adotar para se protegerem tanto quanto possível das muitas ameaças existentes.

Para iniciarmos a discussão a respeito, é preciso compreender antes qual é a base sobre a qual fundamentaremos nossa abordagem e que é um projeto mantido pelo Google.

O que é o Project Zero do Google?

Nascido em 2014 e constituído por uma equipe de pesquisadores do Google, o Project Zero pesquisa para encontrar as chamadas vulnerabilidades dia-zero (zero-day vulnerabilities).

Também referenciadas em português como vulnerabilidades zero-day pelo pessoal de TI, esse tipo de bug recebe essa denominação para o tipo de vulnerabilidade de sistema, cujos respectivos responsáveis não têm conhecimento da sua existência.

Apesar de mais largamente serem associadas aos softwares, também podem ter relação com o hardware.

Particularmente o uso do termo zero-day ou dia zero, adota-se pela gravidade do problema e que por ter consequências severas, exige resolução imediata, ou seja, tem-se “zero dia” para tratá-la.

Há duas condições possíveis desse tipo de vulnerabilidade:

  • As que foram identificadas por um especialista ou pesquisador da área, mas que ainda não é de conhecimento público e do desenvolvedor e, portanto, ainda não foram exploradas pelos hackers, mais especificamente os crackers ou black hat hackers;

  • As que são descobertas justamente porque passam a ser exploradas pelos criminosos digitais e que foram os primeiros a ter seu conhecimento da sua existência.

Embora qualquer das condições representarem riscos aos usuários dos sistemas envolvidos, é razoavelmente evidente que o segundo caso é mais urgente, uma vez que já há vítimas.

Foi o caso do bug conhecido como Hearbleed e que estava relacionado com a biblioteca de software criptográfico do OpenSSL, que impactava as informações que deveriam estar protegidas, em condições normais, pela encriptação SSL/TLS utilizada para proteger a Internet e seus muitos protocolos.

O SSL/TLS é o mecanismo que torna indecifrável a comunicação na Internet, seja na navegação ao acessar um site, no acesso às mensagens de e-mail e até no uso de algumas redes privadas virtuais (VPNs).

A gravidade do problema, fez inclusive que empresas como Facebook, Microsoft, Intel, Amazon, Dell e o próprio Google, unirem-se à Linux Foundation em torno de projetos open source do tipo, a fim de aprimorá-los no quesito de segurança.

Para citar outro exemplo da segunda condição, o ransomware WannaCry explorava uma falha no sistema operacional Windows, afetando centenas de milhares de computadores no mundo todo e representando uma das maiores ações do tipo que se tem conhecimento.

A equipe do Project Zero tem frentes estudando os principais sistemas usados e que compreende desde os sistemas operacionais, navegadores, programas diversos e serviços e seu escopo de atuação é concentrado na primeira condição, ou seja, descobrir o que os desenvolvedores ainda não têm ciência e reportar a eles, para que produzam a correção e lancem o patch / atualização / update correspondente aos usuários.

O Google não é o “bom mocinho” na história – como se verá mais a frente – e por isso mantém o projeto, mas porque seus próprios funcionários fazem uso de muitos dos sistemas estudados, bem como os impactos aos seus usuários, também podem produzir prejuízos à empresa, mesmo que indiretos.

Iniciativas semelhantes e com motivações evidentes e diferentes, existem por parte das empresas de antivírus, como Norton, McAfee e Kaspersky, apenas para citar algumas das mais conhecidas.

Agora que você já conhece um pouco do trabalho do Project Zero e de alguns dos efeitos práticos que tanto ele, quanto outros grupos semelhantes têm, você deve estar se perguntando, mas que outras consequências isso tem para mim como usuário?

Qual o sistema o Google aponta como mais seguro?

Mesmo que não conste literalmente, uma publicação no blog do projeto, intitulada “Um passeio pelas métricas do Project Zero” (originalmente “A walk through Project Zero metrics”), de fevereiro de 2022, dá conta que entre os sistemas mais usados, o mais seguro é o Linux!

Isso mesmo! Os dados confirmam uma frequente afirmação presente nas listas de mitos e verdade sobre o Linux.

E quando falamos em sistema mais seguro, queremos dizer entre vários tipos de software e não apenas sistemas operacionais, que é a categoria na qual ele é classificável.

Há também outros sistemas operacionais, como o Windows e o Android, mas há navegadores web, serviços de cloud computing, softwares de produtividade, frameworks, entre outros.

Os dados presentes na publicação, correspondem ao período entre janeiro de 2019 e dezembro de 2021, em que um total de 376 falhas exploráveis foram identificadas e relatadas aos respectivos desenvolvedores.

A maior parte (93,4%) desses bugs entre todos os fabricantes de software listados no estudo, foram corrigidos, mas o que chama a atenção é a quantidade deles por empresa e o tempo necessário para criar e disponibilizar uma atualização que corrigisse o problema.

No caso de vulnerabilidades do Linux, é inferior a um terço do que foi observado no caso da Microsoft, mas lembrando que o estudo não revela produtos específicos da empresa e a empresa de Bill Gates tem mais do que apenas o Windows.

Mesmo quando o número de falhas é superior aos produtos de outras empresas, como Samsung e Oracle por exemplo, o tempo de correção é o menor.

Convencionou-se nesse tipo de assunto, que por ocasião do recebimento de um informe do tipo, o desenvolvedor tenha 90 dias para lançar um patch de correção e disponibilizá-los aos usuários e eventualmente uma carência adicional de 14 dias, por razões diferentes.

O primeiro período é chamado de deadline e o segundo de grace period.

No caso dos problemas relacionados com a Linux Foundation, 96% foram resolvidos dentro do deadline (90 dias), sendo em números absolutos, 24 bugs de um total de 25. A Microsoft teve um percentual de 76% (61 do total de 80) e a Apple 87% (73 do total de 84), o que pega de surpresa aqueles que defendem que os sistemas da Apple são mais seguros.

Mas não é só. O tempo médio em dias para lançar as correções (25 dias), é 57% do gasto pelo segundo colocado, o próprio Google (44 dias). A seguir vem a Mozilla (46 dias), Adobe (65 dias), Apple (69 dias), Samsung (72 dias), Microsoft (83 dias) e Oracle (109 dias).

Para o WebKit em particular, que é o motor (engine) usando no navegador Safari, o tempo decorrido entre o informe do bug e o lançamento da correção, é de quase 72,7 dias, enquanto que no Chrome e Firefox é de 29,9 e 37,8 dias, respectivamente.

O Firefox teve apenas 8 falhas reportadas, o Webkit 27 e o Chrome, 40.

Qual a importância do trabalho do Project Zero para o usuário final?

Para além de ser um trabalho que torna mais difícil aos criminosos virtuais encontrar e explorar vulnerabilidades de segurança, tornando o mundo digital mais seguro, há outros aprendizados e conclusões

  • Cuidado com o Marketing – não é o papel do Marketing mentir ou criar imagens irreais na mente dos usuários, mas muitas vezes enaltece os pontos positivos e deixa de lado o que não é tanto. Algumas das marcas presentes no estudo, têm um conceito na mente dos consumidores que não condiz com a prática, pelo menos quando o assunto é segurança;

  • Paradigmas – os usuários precisam vencer os paradigmas, esses velhos hábitos consolidados e modos únicos de fazer as coisas. Adotar novas alternativas pode exigir algum esforço e ter que abandonar a zona de conforto, mas que acaba compensando quando se ganha em um aspecto tão relevante quanto é a segurança;

  • Informação – manter-se informado em termos de segurança, há muito deixou de ser apenas necessário aos profissionais de TI. Inclusive a informação atualizada e fidedigna, é um dos mais essenciais instrumentos de fortalecimento da segurança no ambiente digital, afinal muitas das fraudes praticadas, apoiam-se não apenas nas eventuais fragilidades dos sistemas, mas também no desconhecimento dos usuários, como geralmente ocorre no phishing e no spoofing;

  • Atualizações – os mecanismos de atualização dos dispositivos, dos sistemas e de tudo o que se usa, são essenciais. Ativar atualizações automáticas e proceder com as manuais, quando não houver tal opção, é fator crucial para diminuir a probabilidade de ser afetado, como por exemplo, um tema ou plugin do CMS do seu site;

  • Pirataria – entre os principais dos softwares piratas, é que muitos deles não aceitam atualizações. Assim, além de possíveis malwares que alguns contém, as atualizações que corrigiriam outras falhas, não serão possíveis;

  • Soluções antimalware – os populares softwares antivírus são indispensáveis, mas seu uso não garante imunidade ao usuário frente ao universo de vulnerabilidades existentes. Muitos usuários negligenciam medidas de segurança por acreditarem que ao fazer uso de um antivírus, estão seguras. Só a já citada informação é a solução para a questão;

  • Multiplataforma – o estudo demonstra que diferentes plataformas têm diferentes problemas. Mais que isso, todas têm. Em outras palavras, de nada adianta ter um CMS de criação do site seguro, se a administração e o acesso ao mesmo CMS é feito usando-se um dispositivo inseguro. E vice-versa.

Conclusão

Estudo pouco conhecido pelo usuário final, contém dados que revelam o comportamento dos desenvolvedores de software quando o assunto é segurança.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
Intranet
O que é intranet, funcionamento e as vantagens para a empresa?
Open Source
O que é Open Source, vantagens e exemplos?

Comentários ({{totalComentarios}})