Google cria 'hackers de elite' para melhorar segurança na internet

O Google criou um grupo de especialistas em segurança na internet, o Project Zero, que terá a responsabilidade de procurar vulnerabilidades em softwares por toda a rede. Conforme publicação no site da empresa, foram contratados os melhores pesquisadores de vulnerabilidade e empregados 100% do tempo deles para aprimorar a segurança pela internet.

A equipe vai se concentrar principalmente nas vulnerabilidades chamadas de ‘Zero-day’, aquelas que exploram falhas que ainda não foram descobertas e corrigidas pelos desenvolvedores. Segundo o comunicado, o projeto vai analisar softwares desenvolvidos por qualquer empresa, não necessariamente ligados ao Google, que sejam utilizados por uma grande quantidade de usuários.

As falhas de segurança descobertas pela equipe serão reportadas aos desenvolvedores responsáveis e, após corrigidas, tornadas públicas em um banco de dados externo. A iniciativa pretende evitar novos casos como o da falha "Heartbleed", erro no padrão de encriptação de páginas da web que deixou vulneráveis informações sigilosas de milhões de usuários em abril.

Mais sobre o Heartbleed

O bug do OpenSSL não nasceu agora. Ele não é algo proveniente de uma atualização recente. Conforme informação oficial da desenvolvedora do software, essa falha já existe há mais de dois anos, mas ninguém sabia que ela estava lá (nem mesmo os próprios desenvolvedores, afinal, se alguém soubesse, ela já teria sido corrigida muito antes). Quem acabou descobrindo esse erro de programação foi Neel Mehta, pesquisador da Google que verificou que a brecha poderia garantir acesso a dados privados. Hackers que saibam como explorar a falha podem interceptar o tráfego de dados, fingindo ser o servidor e dificultando que qualquer um saiba que existe algum problema no meio do caminho.

Símbolo da Heartbleed
O criminoso que consegue se aproveitar do bug pode puxar até 64 k de informações da memória do servidor. O hacker normalmente não tem como saber o que virá nesses dados, mas de vez em quando é possível coletar alguns dados privados. É importante ressaltar que é possível repetir esse processo inúmeras vezes. Parece perigoso, mas você deve estar se questionando como o hacker vai conseguir encontrar dados secretos, sendo que eles normalmente estão criptografados. Bom, o que acontece é que os servidores de autenticação precisam manter os dados de login (usuário e senha) sempre na memória para que a conexão seja mantida.

Assim, muitas vezes os dados dos usuários vêm nesse roubo de memória e o hacker só precisa usar a senha de criptografia para descobrir os dados verdadeiros (já que normalmente tudo é criptografado e impossível de ler normalmente). Na verdade, é preciso ter muito conhecimento para conseguir explorar esse tipo de falha. Mesmo os hackers mais habilidosos demoram um bocado para conseguir entrar no servidor e roubar algum dado importante.

Até algum tempo atrás, algumas empresas (como a Cloudflare) estavam dizendo que era tão difícil que dava para dizer que era impossível, de modo que a falha não representava uma ameaça real. Pois bem, não demorou nem 24 horas para que alguns hackers conseguissem adquirir chaves SSL em servidores. Em algumas máquinas que rodavam Apache, foi possível conseguir os dados já na primeira requisição. Isso apenas deixa claro que o bug é fácil de ser explorado e pode ser utilizado em quase todos os servidores que ainda não aplicaram as correções.


FonteD24am | TecmundoFotoDivulgação
Google cria 'hackers de elite' para melhorar segurança na internet Google cria 'hackers de elite' para melhorar segurança na internet Reviewed by Natan C. Bezerra on 7/17/2014 01:55:00 PM Rating: 5

WRB nas redes sociais