http://www.cic.unb.br/~rezende/sd.php > Virus e malware: Blaster

"O Firewall nos protege" e outras asneiras

No jogo de empurra da segurança digital


Pedro Antônio Dourado de Rezende
17 de janeiro de 2007


Fim do Eudora

Em 12 de janeiro, a revista InfoWorld publicou um artigo de Roger Grimes dando conta de que a empresa Qualcomm, fornecedora do software de correio eletrônico Eudora WorldMail Management Server, anunciou que não tem planos para reparar uma recém divulgada falha de segurança nesse software, que permite ataques a plataformas onde estiverem operando, através de exploits via TCP na porta 106.

Essa vulnerabilidade, que atinge as versões 3.1.x daquele software, havia sido divulgada pelo site de monitoramento de segurança Zero-day Iniciatiave, em nota publicada uma semana antes, no dia 5 de janeiro deste ano. A falha ocorre durante análise sintática de sucessivos delimitadores, no programa MAILMA.EXE, em plataformas Microsoft. E a vulnerabilidade é grave, pois permite a execução de código arbitrário em plataformas vulneráveis. Tal vulnerabilidade só foi anunciada ao público depois de três meses da fornecedora ter sido notificada secretamente, em setembro, e da empresa Tipping Point ter incluído vacina contra a mesma para seus clientes de IPS, em dezembro de 2006.

Durante um bom tempo, fornecedores de software proprietário demonizaram pesquisadores de segurança computacional por conta de divulgações como esta. Acusavam-nos de facilitar a vida dos criminosos com suas divulgações de vulnerabilidades. Até que esses pesquisadores foram, de uma forma ou de outra, cooptados, faz alguns anos, a aceitar regras de conduta que os distingüiriam, em suas ações ou intenções, entre responsáveis e irresponsáveis. Regras como as acordadas e promovidas pela OIS, espécie de aliança entre fornecedores e pesquisadores, formada em 2002 para esse fim.

Responsabilidade, sim, mas de que lado?

Neste caso, os prazos e o nível de detalhe seguidos pela Zero-day indicam, pelos próprios critérios da OIS, conduta responsável. Da parte dela, como entidade de pesquisa e educação para segurança na internet, é claro. Quanto ao fornecedor do Eudora? Neste caso, que não será o primeiro com conseqüências, se ocorrerem, nefastas ao usuário, pela desatenção, que julgue o leitor.

A moratória de 3 meses entre notificação secreta ao fornecedor, sobre vulnerabilidade em seu produto, descoberta por um pesquisador responsável, e a divulgação desta invulnerabilidade ao público, visa, segundo os critérios da OIS, a dar tempo ao fornecedor para que programe reparos -- os chamados patches -- em seu produto, antes que criminosos possam explorar as falhas a partir da sua divulgação. Será?

Com a notícia de que a Qualcomm não tem planos para disponibilizar nenhum reparo para a falha, agora pública, que permite exploits via porta 106, ela acaba de colocar seus clientes do Eudora WorldMail 3.1.x em situação semelhante à que clientes da Microsoft se colocaram, diante de uma falha na interface RPC (Remote Procedure Call) da componente DCOM (Distributed Component Object Model) do Windows XP e do Windows 2000, explorada por variantes do vírus Blaster, em 2003. Ou, quem sabe, em situação ainda mais delicada.

Lições da epidemia MS-Blaster

Naquela ocasião, apesar da Microsoft já ter, havia um mês, disponibilizado patch para estancar aquela vulnerabilidade, muitos clientes não se incomodaram em instalar, mesmo depois que surgiram as primeiras versões do vírus Blaster, o tal patch. Sob a crença de que, como a falha estava localizada em um serviço raramente necessário ou disponível (RPC) em rede aberta, bastaria filtrar o protocolo TCP na porta 135, onde se "localizava" o problema, nas regras do firewall corporativo. "O firewall nos protegerá", dizia então a sabedoria do menor esforço.

Mas qualquer rede filtrada que permitisse login remoto, e portanto, que permitisse conexão a partir de máquinas que poderiam conectar-se também a outras redes, sob outras regras de filtragem, estavam expostas. O desastre anunciado ocorreu. Novas variantes do Blaster passaram a explorar, com eficácia crescente, esses túneis, e outros em VPNs. Com laptops agindo como os mais contagiosos vetores, uma grande epidemia se alastrou, e grandes corporações tiveram enormes prejuízos. PCs em rede tinham que ser saneados sincronizadamente, ou estas eram reinfectadas. Algumas organizações levaram vários meses para controlar a situação.

Segundo Grimes, foi esta epidemia que levou a Microsoft a habilitar a filtragem padrão no XP SP 2, e a desabilitar os serviços de rede não essenciais, nas versões 2003 e Vista recém-instaladas, até que os patches disponíveis estivessem todos instalados. Foi a mesma epidemia que também mostrou o realismo do trabalho teórico de Bill Chesnwick, quem, ainda em 1990, argumentava serem os centros de redes locais "moles e mordíveis."

Justificativas

Quando se buscam justificativas da Qualcomm, para a recusa em fornecer meios de se estancar vulnerabilidades no seu servidor de email, semelhantes à que levou o vírus Blaster a causar pandemônio no ciberespaço, os argumentos encontrados são de natureza puramente econômica, ou assim disfarçados: a Qualcomm não dá mais suporte à linha de produtos Eudora WorldMail, apesar dela ter começado a vender licenças das versões 3.x há apenas 16 meses, em maio de 2005. Eudora WorldMail foi "rebatizado" (rebranded) de Rockcliffe MailSite SE, e Rockcliffe não dá suporte a WorldMail. Rockcliffe quer que usuários de WorldMail façam upgrade para novas versões, agora de novo "produto", o Rockcliffe Lite SE.

Muitos dos que investiram em licenças da versão 3 podem tê-lo feito pelo valor da marca Eudora, um dos primeiros softwares de correio eletrônico. Surgido em 1988, pelas mãos de um programador da Universidade de Urbana-Campaign (Illinois, EUA), teve seus direitos adquiridos em 1991 pela Qualcomm, que contratou o autor, Steve Dorner, para portá-lo às plataformas Mac e Windows.

Tal como usuários do Window 98 e NT, só que agora menos de 16 meses depois do investimento, clientes da versão 3 do Eudora WorldMail estão com algo parecido a um mico digital nas mãos. Não têm quem lhes forneça, ou quem tenha direito de lhes fornecer (a versão do software não é livre), reparos para as falhas que porventura venham a ser nele encontradas. Como esta grave vulnerabilidade, na porta 106, descoberta em setembro de 2006. Não se trata de decidir instalar ou não um patch, ou nem mesmo de fingir que a filtragem no firewall os protegeria. Trata-se de uma espécie de aviso, do tipo: 'senhores clientes, abram suas redes a novas formas de ataque, que atingirão toda a internet, ou abram as suas carteiras'.

Enquanto isso, no Brasil...

Enquanto isto, no Brasil, políticos oportunistas, amparados no trabalho de assessores sabichões, com interesses e rastros nem sempre transparentes* (vide adendo), se esparramam pela mídia e no congresso a tentar convencer-nos da urgente necessidade de leis que punam a autoria de males tais como os vírus digitais. Da forma como querem, mas, enquanto se fazem de surdos ao que não lhes interessa ouvir.

Surdos não só às principais causas de tanta insegurança, mas, principalmente, a qualquer abordagem realista dos possíveis efeitos das regras autoritárias e coercitivas que querem impor, a toda sociedade que precisa de informática, a pretexto do Estado ter como identificar a autoria desses males. Medidas que serviriam muito mais para aterrorizar ativistas e desafetos de poderosos, com táticas semelhantes às empregadas pela Santa Inquisição, do que propriamente para atingir o propósito alardeado, de identificar os cupins individuais dessa purgagem evolutiva.

Esse tipo de distopia revela, antes de mais nada, a decadência de um ciclo industrial no qual a produtivização do conhecimento, a opção de tratar software como produto, funcionou comoo elemento dominante no progresso tecnológico. Elemento que já cumpriu seu papel, q ue já esgotou seu tempo, e cuja sobrevida tem um custo social cada vez mais salgado, como nos ensina Eben Moglen, professor de Direito em Colúmbia e diretor do Software Freedom Law Center, em seu épico discurso na abertura da Conferência Plone '06, em outubro passado.


* Adendo:

Em 15 de março de 2007 a Folha de São Paulo noticiou (acesso web restrito) que o autor do substitutivo dos projetos de lei sobre crime digital tramitando no Senado, Eduardo Azeredo (PSDB-MG), teria sido citado em inquérito da Polícia Federal cujo objeto era a investigação de denúncias sobre a origem ao chamado Valerioduto, no caixa 2 da campanha do então candidato a reeleição para o governo de Minas Gerais em 1998. Segundo a Folha, a conclusão do inquérito teria constatado a prática de peculato e lavagem de dinheiro, mas os delegados teriam optado por não sugerir o indiciamento de nenhum dos investigados.



Autor

Pedro Antônio Dourado de Rezende é matemático, professor de Ciência da Computação na Universidade de Brasília (UnB), Coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB, conselheiro do Instituto Brasileiro de Direito e Política de Informática e da Fundação Software Livre América Latina, e ex-representante da sociedade civil no Comitê Gestor da Infra-estrutura de Chaves Públicas brasileira (ICP-BR). www.cic.unb.br/~rezende/sd.htm

Direitos autorais:

O autor publica este artigo sob licença Creative Commons (CC NC-ND-2.0): Livre para republicações com Atribuição, uso Não Comercial e Não Derivável. (outras republicações requerem autorização expressa) Texto da licença em: http://creativecommons.org/licenses/by-nc-nd/2.0/deed.pt


Histórico deste documento