Este artigo foi publicado originalmente em inglês no site The Cipher Brief
Por Adam Maruyama
A recente decisão do Departamento de Comércio dos EUA de proibir a venda de produtos antivírus da Kaspersky Lab no país eliminou uma ameaça estratégica significativa do ecossistema de segurança cibernética. Mas a remoção de um produto backdoor do mercado não impedirá que invasores sofisticados tentem hackear outros produtos de segurança para fornecer-lhes capacidades semelhantes.
Na sua determinação final que descreve a proibição do Kaspersky, o Departamento de Comércio não criticou a eficácia do Kaspersky como produto antivírus; em vez disso, destacou os privilégios elevados que produtos antivírus como o Kaspersky têm nos sistemas dos utilizadores e como um interveniente hostil – neste caso, a Rússia – poderia usar esses privilégios para efeitos nefastos. Alguns desses efeitos incluem:
- Usar o nível profundo de acesso do antivírus ao núcleo do sistema operacional para “inspecionar dados e arquivos” armazenados em dispositivos que usam o software Kaspersky;
- Redirecionamento de dados, incluindo “dados pessoais e proprietários” para servidores de invasores;
- Ativar a câmera e outras funções de localização de um dispositivo para revelar a identidade e a localização do usuário; e
- Fornecer um vetor claro para instalar outro malware ou falhar estrategicamente na aplicação de atualizações de assinatura de malware.
Embora a determinação prossiga enumerando como as políticas da subsidiária da Kaspersky nos EUA pouco fazem para evitar – e em alguns casos realmente permitem – que o governo russo ou pessoas mal-intencionadas aproveitem este nível de privilégios, é importante notar que estes níveis de privilégio e seus possíveis efeitos deletérios não são exclusivos dos produtos antivírus da Kaspersky. Na verdade, a capacidade de inspecionar arquivos e tráfego de rede é fundamental para a capacidade do software antivírus de realizar seu trabalho nos sistemas dos usuários. E tal como a Kaspersky é acusada de deixar uma backdoor no seu software para permitir ao governo russo tirar partido destes privilégios, os atacantes sofisticados procuram vulnerabilidades que lhes permitam fazer o mesmo.
Uma tendência menos divulgada, mas igualmente alarmante, na segurança cibernética é a frequência crescente de ataques a software de segurança cibernética empresarial. A análise do Google sobre novas vulnerabilidades exploradas por hackers em 2023 revelou um aumento no direcionamento de tecnologias empresariais “alimentadas principalmente pela exploração de software e dispositivos de segurança.” Em essência, os invasores sofisticados percebem que não precisam produzir e comercializar um produto antivírus subvertido para obter as capacidades que o antivírus da Kaspersky supostamente forneceu ao governo russo: tudo o que eles precisam fazer é encontrar uma vulnerabilidade em um produto de segurança existente e explorá-la. Então, como fizeram recentemente os agentes de ameaças ligados à RPC (República Popular da China), eles podem usar o desvio de segurança para instalar outras ferramentas que lhes darão acesso contínuo às redes e sistemas afetados, mesmo depois de a vulnerabilidade ser corrigida.
À medida que o acesso rápido e imediato às informações e recursos hospedados na internet se torna cada vez mais imperativo para governos, infraestruturas críticas e empresas, o risco de software de segurança subvertido está aumentando, seja através de comprometimento desde a concepção, no caso do Kaspersky, ou através de um dos 36 vulnerabilidades em soluções empresariais identificadas no relatório do Google .
Além disso, muitas das mesmas empresas cujos produtos foram pirateados encorajam os clientes a adotarem uma abordagem de “plataforma”, concentrando mais funções e, portanto, mais privilégios potenciais para um atacante abusar se a plataforma for subvertida. No entanto, as vulnerabilidades que surgem nestas plataformas geralmente não recebem a atenção generalizada que surge em torno dos produtos Kaspersky; em vez disso, a comunidade de segurança cibernética implementa coletivamente proteções temporárias e instala um patch quando disponível, muitas vezes com um encolher de ombros em reconhecimento de que as vulnerabilidades nos produtos de segurança são o novo normal.
Mas isso não precisa ser o caso. O programa Secure by Design da CISA (Agência de Segurança Cibernética e de Infraestruturas, da sigla em inglês) visa fornecer uma estrutura de software que elimine classes inteiras de vulnerabilidades de software, e estão surgindo outras abordagens inovadoras à segurança cibernética, como a inclusão de funções de segurança que estão enraizadas em hardware de propósito único em vez de codificadas em software hackeável.
Contudo, para que estas abordagens tenham sucesso, as empresas de segurança cibernética que as adotam precisam da ajuda do mercado. Só podemos esperar que, à medida que as empresas procuram substituir o Kaspersky por outras soluções, não só perguntem: “Este produto faz um bom trabalho na identificação de vírus?” Porque o Kaspersky fez exatamente isso. Também devem perguntar: “Como é que este produto impede que invasores sofisticados comprometam o sistema e o usem contra minha organização?”