“Zero Day” é o nome de uma falha de segurança que ainda não foi corrigida por determinado fornecedor, podendo ser explorada e transformada em uma arma poderosa, apesar de frágil. Os governos descobrem essas falhas, a adquirem e a usam para fins militares, de inteligência e de aplicação da lei – uma prática controversa, já que deixa a sociedade indefesa contra outros invasores que podem descobrir a mesma vulnerabilidade.
Essas falhas possuem altos preços no mercado negro, mas recompensas das próprias empresas tentam encorajar a descoberta e a sua comunicação. O nome “Zero Day” foi dado devido ao número de dias que um patch (alterações feitas pelo fornecedor para acabar com uma falha) demora para ser desenvolvido e solucionar a falha: nenhum.
Antigamente, um único “Zero Day” era o suficiente para acabar com uma plataforma, tornando a descoberta e a posse de qualquer falha extremamente poderosa. Hoje, com a complexidade dos sistemas de segurança, é necessário interligar às vezes até dez “Zero Day” menores para obter o controle completo de um determinado sistema. Isso impulsionou o pagamento em níveis astronômicos para a execução remota de “Zero Day” no iOs, por exemplo.
O mercado negro
Ao encontrar o tipo certo de falha Zero Day de um iPhone, um usuário pode vendê-lo para a Zerodium e ganhar até US$ 1,5 milhão, de acordo com a empresa. Corretores como eles vendem somente para o complexo de espionagem militar, mas a polícia secreta de regimes controladores em todo o mundo também pode comprar essas falhas para hackear jornalistas ou perseguir pessoas.
Ao contrário deste mercado, que restringe as vendas a governos aprovados, o mercado negro venderá para qualquer um, incluindo crime organizado, cartéis de drogas e países como a Coreia do Norte ou o Irã, excluídos da lista oficial.
A regulamentação desses mercados tem sido uma luta para o Wassenaar Arrangement, que proíbe a exportação de tecnologias de dupla utilização para países proibidos. Atualmente, qualquer empresa governamental ou criminosa suficientemente motivada pode comprar as falhas, independentemente de uma regulamentação.
Os vendedores do mercado negro não se importam se o “Zero Day” poderá ajudar a torturar pessoas, desde que seja vendido por um preço alto. Já os pesquisadores de segurança com consciência reportam a vulnerabilidade para o fornecedor.
Organizações de qualquer tamanho podem publicar um processo de vulnerabilidades, mantendo relatórios que demonstram sua boa fé em questões de segurança e triagem dos problemas reportados internamente. Esta é, agora, uma das normas das melhores práticas padronizadas pelo ISO 29147 e ISO 30111.
Para incentivar os relatos de vulnerabilidade, as empresas podem, opcionalmente, oferecer um programa de recompensas, que estimula a pesquisa e a divulgação, oferecendo pagamentos aos pesquisadores. Esses pagamentos não rivalizam com o mercado negro, mas pretendem compensar quem decide fazer a coisa certa.
O governo deve acumular Zero Day?
A NSA, a CIA e o FBI descobrem, adquirem e usam exploits “Zero Day”, uma prática controversa e criticada. Ao usar essas falhas para hackear criminosos, o governo torna os usuários vulneráveis a criminosos que podem encontrar – ou roubar – essas vulnerabilidades. Para alguns críticos, se o trabalho do governo é nos proteger, então eles deveriam estar nos defendendo, ao invés de usar essas falhas.
Nos Estados Unidos, o processo de vulnerabilidades de ações é o mecanismo que Washington usa para avaliar vulnerabilidades “Zero Day”. Criticado como ineficaz por muitos, o processo tenta balancear o ataque e a defesa para, assim, decidir quais falhas de segurança devem ser relatadas ao fornecedor e quais devem ser guardadas para fins ofensivos.
Após o grupo de hackers Shadow Brokers revelar o EternalBlue (um exploit desenvolvido pela NSA), as discussões sobre o assunto tornaram-se ainda mais calorosas. O grupo roubou ferramentas de hackers da NSA e as jogaram online gratuitamente. Após a ação, criminosos apreenderam as armas cibernéticas e as usaram para fins criminosos.
Apesar do “Zero Day” ser uma falha que brilha aos olhos de muita gente, ela não é mais tão grande quanto costumava ser. Nem sempre quando um fornecedor anuncia um patch significa que dispositivos vulneráveis foram corrigidos. Os dispositivos IoT, por exemplo, são enviados de fábrica em um estado vulnerável e nunca são corrigidos. Às vezes é fisicamente impossível corrigir esses dispositivos. Ou seja, um patch de segurança publicado pode não ser tão bom se não for implementado na produção.
Por isso, em muitos casos, os hackers que possuem acesso a essas falhas preferem não usá-las, pois utilizar um “Zero Day” contra um defensor experiente poderia revelar a falha para ele.
