09 Janeiro 2018
Uma divisão da Google, Project Zero, descobriu um ano atrás, duas falhas na gestão interna de processadores para PCs, tablets e smartphones, chamadas Meltdown e Spectre. Dizem respeito a todos os microchips em uso no mundo projetados e em parte fabricados pela Intel, AMD e ARM. Estamos falando de bilhões de dispositivos em risco. Em teoria, a vulnerabilidade permitiria o acesso à memória do dispositivo e o roubo de todos os dados sem deixar vestígios. Agora, as empresas estão tomando medidas para eliminar esses processos e isso vai acarretar uma redução na velocidade dos chips.
A reportagem é de Jaime D’Alessandro, publicada por La Repubblica, 05-01-2018. A tradução é de Luisa Rabolini.
Michele Colajanni, diretor do Centro de Pesquisa Interdisciplinar sobre Segurança (Cris) e do curso em Cyber Security, da Universidade de Modena e Reggio Emilia, não está otimista. E o alcance da falha encontrada nos sistemas de gerenciamento dos processadores que todos nós usamos não parece surpreendê-lo tanto assim. Entre os principais especialistas em segurança informática na Itália, ele trabalhou tanto com instituições europeias como italianas, e está convencido de que o problema vai muito além da vulnerabilidade dos microchips da Intel, AMD e ARM, as três empresas que projetam os processadores e que, em parte, os produzem.
Vamos falar dos riscos, professor. As duas vulnerabilidades, "Meltdown" e "Spectre", colocam em perigo todo mundo?
Sem exceção. Todos e tudo: PCs, smartphones, tablets, dispositivos para automação residencial, smart tv e assim por diante. A totalidade dos processadores em uso no mundo. Meltdown é mais velha, Spectre é mais recente e grave. Atacam não só os processadores da Intel, mas também da AMD e ARM.
Através dessas brechas o que pode ser feito?
Roubar dados sensíveis começando com as senhas, para espionar o que foi feito ou está sendo feito em seu PC ou smartphone.
É este o risco para as pessoas?
Veja bem, a vantagem é que os dois bugs estão dentro do próprio processador, não é fácil de usá-los. Para alguém mal-intencionado vai ser mais fácil usar outro meio. Outras vulnerabilidades não faltam.
Como se poderia tirar proveito desses dois em particular?
É preciso ter acesso direto ao computador ou smartphone. Ou ter instalado um cavalo de Troia, um vírus, para fazer isso remotamente. Mas se já conseguiu instalar um trojan, então nem seria necessário chegar até a Meltdown e Spectre. Eles podem ser úteis como um último recurso para ataques muito específicos onde não existem alternativas, não para atacar em massa.
Como podemos nos proteger?
Tão logo estejam disponíveis, é preciso baixar e instalar as atualizações nos próprios dispositivos.
Os gigantes da Web estão tomando medidas para resolver as falhas. O que você usaria com alguma segurança?
Browser para navegar na rede e na nuvem como o e-mail. Os oferecidos pelo Google, Amazon e Microsoft. Todas as empresas já estão providenciando a correção do erro. Ou assim estão dizendo.
Você, então, não colocaria a mão no fogo?
De jeito nenhum.
As duas vulnerabilidades, embora difíceis de explorar, em teoria permitem a entrada em um computador sem deixar rastros. Que garantia temos de que ainda não foram exploradas por alguma agência do governo ou algum grupo de piratas muito qualificados?
Não há certeza alguma quanto a isso. Em geral, no entanto, se escolhe o caminho mais fácil quando se quer atacar, e este não é um caminho fácil.
As grandes empresas correm riscos?
Elas correm riscos, mas essa também é a minha única esperança de que algo possa mudar: bancos, governo, instituições, empresas, agora devem pressionar através de contratos, exigindo componentes certificados e seguros. Se elas se unissem poderiam fazer alguma coisa. Elas têm os números para conferir se o trabalho foi feito visando à segurança. Claro, tudo isso vai ter um custo. Mas sempre melhor assumi-lo do que ter que juntar os cacos do enésimo WannaCry com os seus cinco bilhões de euros de danos.
E o usuário individual?
Colocar a própria vida nas mídias sociais já é uma indicação de falta de visão. Igual à aquisição de uma câmera de segurança de 30 euros. O mercado é feito de equipamentos concebidos para tornarem-se obsoletos depois de um ano, como acredita que seja possível que os componentes do que usamos tenham sido testados adequadamente?
Ironia do destino Meltdown e Spectre são falhas de um sistema que serve para aumentar a velocidade dos processadores.
Exatamente. Colocamos microchips em todos os lugares e cada vez mais poderosos, que são usados por software com uma centena de milhões de linhas de código. A complexidade e velocidade são inimigas de segurança. Aqui o problema é intrínseco. Queremos sistemas inteligentes, mais rápidos, fáceis de usar e nos convenceram de que todo ano temos que comprar o novo smartphone. Depois ficamos surpresos quando descobrem uma falha.
Uma deles, no entanto, tem vinte anos.
Declara-se que os testes foram feitos, mas talvez nem todos tenham sido suficientemente exaustivos. E continua-se assim. Mas é apenas uma hipótese.
Em suma, nos espera um futuro brilhante.
Não, há sempre esperança. Já nos adequamos à poluição selvagem do nosso planeta, também vamos nos adaptar a viver em constante incerteza, sem saber se estamos sendo espionados ou não.