O que é uma falha de dia zero e como ela pode colocar suas senhas em risco

Talvez a filosofia não venha à mente quando você pensa em segurança cibernética. No entanto, hoje vamos falar sobre a vulnerabilidade zero dia, e esse conceito requer um pouco de ginástica mental. Na verdade, é fácil quando temos uma certa infecção que pode afetar os sistemas vulneráveis; no entanto, a vulnerabilidade de dia zero é mais parecida com um período de tempo que pode ser usado por terceiros mal-intencionados para explorar um sistema de destino. Para mitigar essa vulnerabilidade, são necessários esforços conjuntos do fornecedor de software e dos usuários. Para saber mais sobre esse conceito e como a vulnerabilidade de dia zero pode expor senhas, continue lendo esta entrada do blog.

A vulnerabilidade do conceito de zero dia

Quando você ouve essa frase, você provavelmente imagina algum tipo de falha de software que permite que criminosos cibernéticos invadam um sistema. Você está certo, mas existem alguns aspectos para esse conceito que gostaríamos de explicar.

A vulnerabilidade de dia zero não indica um programa específico ou um sistema específico. Ele é usado para descrever uma vulnerabilidade hipotética que o fornecedor de software não conhece. Se um fornecedor não está ciente de certas vulnerabilidades, os hackers têm mais chances de explorá-lo. A vulnerabilidade é mitigada somente quando o fornecedor lança uma atualização que contém um patch, que corrige a vulnerabilidade. A quantidade de dias necessária para o fornecedor liberar um patch pode ser usada em vez de "zero" no nome.

Por exemplo, se levar 20 dias para que um patch seja desenvolvido e lançado desde a descoberta da vulnerabilidade, a vulnerabilidade específica pode ser chamada de vulnerabilidade de 20 dias. No entanto, mesmo que a correção tenha sido desenvolvida, ainda há uma grande chance de que a vulnerabilidade possa ser explorada, porque nem todo usuário pode aplicar a correção imediatamente.

Exemplos de Vulnerabilidade de Dia Zero

Para dar uma ideia melhor de como os conceitos de vulnerabilidade de dia zero podem ser aplicados na prática, vamos dar uma olhada nos problemas de software mais recentes que chegaram às manchetes em 2019. Por exemplo, no início de fevereiro, a Adobe lançou uma microplaqueta foi usado para resolver uma vulnerabilidade de dia zero para o Adobe Reader. Diferentemente da maioria das explorações que fazem uso de uma certa vulnerabilidade de software, os invasores que usaram essa vulnerabilidade exploraram os pontos fracos encontrados em um recurso de incorporação de conteúdo para arquivos PDF . Como resultado, essa vulnerabilidade de dia zero expôs senhas porque permitia que os criminosos roubassem valores de senha com hash "telefonando para casa".

O micropatch que a Adobe lançou não corrigiu exatamente a vulnerabilidade imediatamente. Ele notificou os usuários mostrando um aviso de segurança sempre que os usuários usassem o Adobe Reader de uma forma que pudesse ser explorada por criminosos cibernéticos. As atualizações de segurança oficiais foram divulgadas mais tarde, de acordo com o cronograma oficial de atualizações da Adobe.

Outro exemplo de uma grande empresa de reputação que corrige vulnerabilidades de dia zero inclui a Apple que corrige vários problemas de segurança relacionados ao iOS e ao macOS Mojave no início de fevereiro. A Apple corrigiu quatro vulnerabilidades que poderiam ter sido exploradas. Talvez a maior vulnerabilidade conhecida do público em geral tenha sido o bug do FaceTime que permitiu a qualquer pessoa usar o aplicativo para espionar as conversas do usuário. O ponto com tais vulnerabilidades é que o fornecedor não sabe sobre elas de antemão, e a Apple certamente não estava ciente das vulnerabilidades que tinha que corrigir. Quando tais problemas são descobertos acidentalmente por consumidores ou por pesquisadores de terceiros, esse é um exemplo clássico de uma vulnerabilidade de dia zero.

Se fôssemos olhar para trás para mais exemplos, podemos também mencionar uma falha crítica antiga no macOS que poderia revelar senhas no PlainText . Essa vulnerabilidade de dia zero foi descoberta e, mais tarde, corrigida em 2017. Essa vulnerabilidade permitia que aplicativos aleatórios exportassem senhas em texto sem formatação. O ponto é que, tecnicamente, a Apple não permite aplicativos não assinados. Por isso, seria muito difícil que um programa nocivo fosse instalado no macOS se o programa não fosse aprovado pela Apple. No entanto, especialistas em segurança de computadores sugeriram que até mesmo aplicativos assinados poderiam ter usado essa vulnerabilidade. Portanto, o resultado final é que ninguém é seguro, e sempre temos que tomar todas as medidas de segurança disponíveis para proteger nossos sistemas contra danos.

Como proteger seu sistema contra vulnerabilidades de dia zero

Conforme mencionado, pode ser difícil fazer algo sobre esse problema, a menos que o fornecedor do software esteja ciente de que a vulnerabilidade existe. Além disso, há esse período entre o lançamento do patch e sua implementação que pode ser usado para exploração maliciosa também. Portanto, para minimizar o potencial de uma exploração maliciosa, os usuários precisam aplicar atualizações de software imediatamente.

Sabemos que alguns usuários podem querer desativar a função de atualização automática em seus dispositivos, mas isso não é algo que recomendamos. Se você permitir que seu software baixe atualizações agendadas, você definitivamente minimizará o potencial de uma exploração maliciosa.

Além disso, você pode tornar mais difícil para os criminosos roubar suas senhas, mantendo-as em um cofre criptografado. Você pode fazer isso empregando um gerenciador de senhas para manter todas as suas senhas sob um único bloqueio. Você precisaria então apenas de uma senha mestra que deve ser memorizada (não é possível armazená-la em nenhum lugar do sistema ou, pelo menos, não é recomendável) para acessar todas as outras senhas. De qualquer forma, existem várias maneiras de melhorar a segurança do seu sistema para minimizar o possível dano que você pode enfrentar devido a vulnerabilidades de dia zero.

Além disso, você fará um favor ao estabelecer hábitos online seguros. Você sempre verá especialistas em segurança dizendo que é preciso investir em uma ferramenta antispyware confiável, mas essa ferramenta pode não significar ou fazer muito a menos que você realmente use hábitos seguros de navegação na web. Um programa de segurança não pode protegê-lo contra um clique ou um download mal-intencionado que você possa iniciar acidentalmente. Por isso, é importante usar um software atualizado e confiável, mas também é imensamente importante como você interage com o conteúdo on-line.

Por Foley
March 6, 2019
How To
Portuguese
March 6, 2019
How To

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.