Os ataques de firmware estão a aumentar, como indica um novo relatório da Microsoft. Mas as empresas não estão a prestar atenção suficiente para os combater. “80% das empresas sofreram pelo menos um ataque de firmware nos últimos dois anos“, afirma a Equipa de Segurança da Microsoft num post de blog. Contudo, “apenas 29% dos orçamentos de segurança são gastos para proteger o firmware“.
Parece mais uma má notícia para o mundo da cibersegurança. Todavia, para além das notícias constantes de novos tipos de ransomware e ciberameaças geopolíticas. Surge mais uma preocupação. Este é um tipo de ataque que aumenta o sentimento de pressão que existe na segurança das organizações.
Assim sendo, este cenário pode muito bem marcar uma importante mudança. Fazendo com que nos concentremos numa parte crítica. Mas é muitas vezes negligenciada da nossa infraestrutura tecnológica. Contudo, leva a uma base mais sólida para muitos outros aspetos da cibersegurança.
Mas há aqui algumas questões. A primeira, para muitos, será exatamente o que é o firmware. O facto de o termos não ser claro pode explicar por que razão não o abordamos da melhor forma do ponto de vista da segurança. Mas, para além disso, porque é que os ataques de firmware estão a crescer? E o que podemos fazer a esse respeito? É também importante que conheça as tendências da cibersegurança para 2021 para completar este artigo.
O que é firmware?
O firmware é um tipo de programa que lhe dá acesso a um equipamento. Por outras palavras, o firmware está algures entre o sistema operativo e o próprio hardware. Algo que faz a ponte entre essas duas partes críticas.
Em dispositivos muito simples, o firmware é na realidade o sistema operativo. O utilizador precisa de uma forma de interagir com o hardware, e o firmware é suficiente.
Os exemplos mais banais de firmware são os mais óbvios. Estão presentes em eletrodomésticos aí em casa. Falamos da configuração da sua máquina de lavar roupa ou máquina de lavar louça ou da mudança do volume ou fonte de entrada na sua televisão.
Contudo, encontra firmware em praticamente todas as tecnologias. Portanto, não é algo em que pense ou repare. De facto, vale a pena salientar que isto não é apenas culpa dos utilizadores. A tecnologia é concebida dessa forma, muitas vezes, para controlar a forma como um produto pode ser utilizado para proteger o IP.
Porque estão os ataques de firmware a acontecer agora?
O facto de raramente prestarmos atenção ao firmware é uma das razões pelas quais os ataques de firmware estão a aumentar. Tal facto é claro no relatório da Microsoft. Mesmo com este aumento de ataques de firmware, o estudo mostra que os decisores seniores acreditam que é três vezes mais provável que o software constitua uma ameaça à segurança face ao firmware“.
O argumento da Microsoft é que esta atitude é arriscada. Portanto, o firmware contém informação sensível que está no cerne da segurança, tal como a encriptação. Tornando-a num alvo particularmente valioso para os atacantes.
Além disso, uma tendência não mencionada no post do blog é o crescimento dos sistemas incorporados e da IdC. Podemos ver isto no aumento de um certo tipo de produto de consumo. Ppensemos em FitBits e Apple Watches. Contudo, o verdadeiro “boom” está a acontecer em ambientes industriais. À medida que a maquinaria se torna cada vez mais conectada e a rede habilitada, o acesso a firmware poderia crescer ainda mais em valor.
Como estão a acontecer os ataques de firmware?
Há uma série de formas de ataques de firmware. Pode ser através de um ataque ao kernel (a parte central do sistema operativo, que como parte do seu papel, comunica com o hardware/firmware através de extensões ou drivers). Ou realizando um ataque físico ao próprio hardware. Exemplos disto são a vulnerabilidade T2 em máquinas MacOS e o ataque ThunderSpy.
O que pode ser feito respeito dos ataques de firmware?
Não surpreende os argumentos da Microsoft estejam ligados aos seus produtos. A empresa escreve que desenvolveu “uma nova classe de dispositivos especificamente concebidos para eliminar as ameaças dirigidas ao firmware chamada Secured-core PCs“. Estes têm, afirma a Microsoft, “Zero trust embutida na raiz“. Claramente a Microsoft está a apresentar-se a si mesma como a solução.
No entanto, embora devamos ser céticos quanto a este tipo de abordagem, não significa que as sugestões da Microsoft sejam erradas. Todavia o facto de tantas equipas de cibersegurança estarem a fazer de forma manual coisas que podem ser automatizadas (82%) requer um pensamento sério.
“As equipas de segurança estão demasiado concentradas em modelos de segurança «proteger e detetar» sistemas desatualizados. Sendo que não gastam tempo suficiente em trabalho estratégico. Apenas 39% do tempo das equipas de segurança é gasto em prevenção. A falta de investimento pró-ativo na defesa em vetores de ataque do núcleo é um exemplo deste modelo desatualizado”.
A abordagem desta questão eliminaria as barreiras do trabalho estratégico que pode ter maior impacto na segurança. Assim como, também na prevenção de ataques.
Contudo, há coisas que podemos fazer nas equipas de segurança. Vivemos num mundo onde os desafios são complexos. E também de natureza global, sendo que terão de ser conduzidos por organizações como a Microsoft a trabalhar com fabricantes de hardware.
Assim, saudamos esta intervenção da Microsoft. Desperta a atenção da indústria e encoraja abordagens mais pró-ativas. Vamos levá-la a sério e dar-lhe o tempo e o investimento que ele merece.
Curioso sobre como as falhas de segurança podem colocar em causa o seu negócio? Fale com a equipa da WhiteHat e conheça as soluções que ajudam a mitigar estas e outras ameaças para a sua empresa.
