Modern Digital Infrastructure Vulnerabilities

Por
Summary In 2014, the Heartbleed bug revealed a significant portion of the internet was vulnerable to attack due to a bug in OpenSSL, a free and open-source li
Views

 




Numa pipeline de desenvolvimento e integração há vários checkpoints. Por vezes falham, sobretudo porque foram feitos por seres humanos. Por exemplo, é suposto código ser coberto por 80% de unit tests, mas muitas vezes os developers criam unit tests cujo resultado é sempre verdadeiro só para despachar, sobretudo porque existe sempre alguém a fazer pressão para colocar o código em produção e o tempo é escasso.


Tudo isto tem um histórico. Por vezes (demasiadas) existem dependências de coisas mais antigas que já nem se sabe que estão lá.


"In 2014, the Heartbleed bug revealed a significant portion of the internet was vulnerable to attack due to a bug in OpenSSL, a free and open-source library facilitating secure communication. One headline at the time demonstrated this comic in real life: "The Internet is Being Protected by Two Guys Named Steve". The aforementioned Steves were overworked, underfunded, and largely unknown volunteers whose efforts nevertheless underpinned the security of major websites throughout the world. Randall provided a concise, helpful explanation of the bug in 1354: Heartbleed Explanation."

 https://www.explainxkcd.com/wiki/index.php/2347:_Dependency



Para um caso muito recente e paradigmático: "The xz backdoor has brought up an even more disturbing ramification of this situation, which is that a malicious entity (e.g. a nation-state) can create a persona (or multiple), build trust with the random guy maintaining the library since 2003, eventually take over the project, then implant a backdoor that targets core software like OpenSSH. The only reason we just avoided one of the largest cyber incidents in history is because one guy running Debian Sid noticed sshd using a bit more CPU than normal while he was benchmarking something completely unrelated. The implications here are terrifying. 172.70.210.131 20:02, 30 March 2024 (UTC)"

https://threadreaderapp.com/thread/1814376668095754753.html

https://youtu.be/3N4m5k9GAW0?si=T8eHYtpP423Lb6mx

https://www.windowslatest.com/2024/07/19/how-to-automatically-fix-windows-10-crowdstrike-bsod-recovery-boot-loop/

https://www.crowdstrike.com/blog/technical-details-on-todays-outage/

https://www.instagram.com/reel/C9mNgEiRpCM/?igsh=d3QyMTVraTA0NTls





A Fragilidade das Dependências de Software e as Lições de Grandes Incidentes

No vasto universo do desenvolvimento de software, as dependências – bibliotecas e ferramentas que sustentam aplicações maiores – desempenham um papel essencial. No entanto, muitas vezes essas mesmas dependências tornam-se pontos de fragilidade, expostas a vulnerabilidades, negligência ou mesmo manipulação maliciosa. Casos como o Heartbleed, o xz backdoor e muitos outros mostram que a infraestrutura digital moderna está, em muitos aspectos, sustentada por um equilíbrio delicado e, por vezes, alarmante.

O Problema das Dependências: Um Alicerce Frágil

Os sistemas digitais raramente são construídos de raiz. Em vez disso, são sobrepostos sobre camadas de bibliotecas, muitas vezes criadas por terceiros, mantidas por pequenos grupos ou mesmo por indivíduos solitários. Estas dependências são o alicerce de tecnologias críticas, mas a sua manutenção é frequentemente negligenciada.

Um exemplo emblemático é o Heartbleed, descoberto em 2014, uma vulnerabilidade crítica no OpenSSL – uma biblioteca utilizada para garantir comunicações seguras na internet. Esta falha expôs milhões de sistemas, revelando que grande parte da segurança digital global dependia de dois programadores voluntários, conhecidos apenas como "os dois Steves". Subfinanciados e sobrecarregados, eles mantinham uma biblioteca que sustentava grandes empresas e governos. Este incidente não foi um caso isolado, mas sim um reflexo da dependência global de projetos de código aberto geridos com recursos limitados.

Mais recentemente, em 2024, o caso do xz backdoor expôs a sofisticação dos ataques modernos. Uma biblioteca amplamente utilizada foi comprometida por um atacante que assumiu gradualmente a sua manutenção ao ganhar a confiança da comunidade. O backdoor só foi descoberto por acaso, quando um programador atento notou um uso anormal da CPU durante testes. Este incidente quase se tornou numa das maiores crises de segurança digital da história, revelando o quão fácil é infiltrar-se em projetos de longa data para introduzir código malicioso.

Casos Adicionais: Lições de Incidentes Globais

Casos como o Heartbleed e o xz backdoor são apenas a ponta do iceberg. Outros exemplos demonstram a gravidade da negligência e das vulnerabilidades nas dependências:

  1. Log4Shell (2021): A vulnerabilidade no Log4j, uma biblioteca Java utilizada para registar logs, permitiu a execução remota de código em milhares de servidores. Empresas de todos os sectores foram afectadas, evidenciando como dependências críticas podem espalhar vulnerabilidades em escala global.

  2. Left-Pad Incident (2016): A remoção de uma biblioteca NPM com apenas 11 linhas de código – utilizada por milhares de projetos – causou falhas generalizadas em sistemas críticos. Isto mostrou que até dependências aparentemente triviais podem ser pontos de falha.

  3. Equifax Breach (2017): A negligência em aplicar patches de segurança numa vulnerabilidade no Apache Struts resultou no vazamento de dados de 147 milhões de pessoas, provando que a falta de manutenção pode ter consequências catastróficas.

  4. SolarWinds Attack (2020): Hackers comprometeram actualizações do software de monitorização Orion, distribuindo malware a milhares de organizações globais. Este ataque à cadeia de fornecimento evidenciou os perigos de confiar cegamente em fornecedores de software.

  5. Event-Stream Backdoor (2018): Um atacante infiltrou-se no projeto Event-Stream, uma biblioteca JavaScript, e introduziu um código que roubava criptomoedas. Este incidente ressaltou como pequenos pacotes podem ser usados como vetores de ataques altamente direccionados.

A Pressão e a Negligência no Desenvolvimento

Outro problema crítico está na cultura de desenvolvimento. A pressão por entregas rápidas leva a práticas como testes superficiais ou coberturas de código irreais. Muitas vezes, os programadores criam testes que sempre retornam resultados positivos apenas para cumprir métricas impostas, sem validar o comportamento real do sistema.

Esta abordagem "apressada" pode ser fatal quando combinada com dependências históricas pouco documentadas. Afinal, em muitas organizações, bibliotecas antigas permanecem em uso porque "sempre funcionaram", mas ninguém mais entende como ou porquê.

O Papel da Cadeia de Fornecimento de Software

A cadeia de fornecimento de software tornou-se um alvo prioritário para actores mal-intencionados, como governos e grupos de hackers. Estes atacantes focam-se directamente nas dependências que sustentam sistemas maiores, explorando a confiança implícita em bibliotecas de terceiros. Casos como o Codecov e o typosquatting em PyPI (repositório Python) mostram como pequenos componentes podem ser manipulados para comprometer sistemas maiores.

Lições e Propostas de Solução

Estes incidentes apontam para um problema sistémico que requer acções coordenadas entre programadores, empresas e governos:

  1. Auditorias e Ferramentas Automatizadas:

    • Implementar ferramentas que identifiquem comportamentos anómalos em dependências.
    • Garantir auditorias regulares em bibliotecas críticas.

  2. Investimento em Projetos de Código Aberto:

    • Financiar de forma consistente projetos que sustentam a infraestrutura digital.
    • Oferecer apoio a mantenedores solitários, como no caso do OpenSSL.

  3. Educação e Cultura de Qualidade:

    • Priorizar a qualidade do código em vez da velocidade.
    • Treinar equipas para identificar e evitar dependências desnecessárias.

  4. Gestão de Dependências:

    • Criar processos para rastrear e documentar todas as dependências utilizadas nos sistemas.
    • Substituir bibliotecas antigas por alternativas mais modernas e bem mantidas.

Conclusão

A infraestrutura digital que sustenta o mundo moderno é, em muitos aspectos, uma rede de dependências frágeis. O que deveria ser uma base sólida muitas vezes é uma pilha instável de componentes negligenciados ou mal documentados. Casos como Heartbleed, Log4Shell e o xz backdoor são lembretes de que, sem uma abordagem coordenada e consciente, estas fragilidades continuarão a expor sistemas e pessoas a riscos desnecessários.

É essencial que programadores, organizações e governos assumam a responsabilidade de proteger esta infraestrutura. Somente com auditorias regulares, melhor financiamento e uma cultura que priorize segurança e qualidade será possível evitar que o próximo incidente se transforme numa catástrofe global. Afinal, como já vimos, até mesmo "dois tipos chamados Steve" podem estar no centro de algo muito maior do que eles próprios.



Vários Exemplos:


1. Log4Shell (2021)

O que aconteceu:

  • Foi descoberta uma vulnerabilidade crítica na biblioteca Log4j, amplamente utilizada para registar logs em aplicações Java.
  • A falha, conhecida como Log4Shell, permitia que atacantes executassem código remotamente nos servidores das vítimas.

Impacto:

  • Milhares de sistemas e empresas foram afectados, incluindo grandes corporações e governos.
  • Como o Log4j é usado em inúmeros projectos, muitos sistemas nem sabiam que dependiam desta biblioteca.

Lições:

  • O caso demonstrou como bibliotecas populares podem tornar-se pontos únicos de falha.
  • A dependência não documentada de componentes de terceiros representa um risco significativo.

2. Left-Pad Incident (2016)

O que aconteceu:

  • Um programador removeu um pequeno pacote NPM chamado left-pad do repositório público.
  • O left-pad, com apenas 11 linhas de código, era uma dependência crítica de milhares de projectos, incluindo ferramentas populares como React e Babel.

Impacto:

  • A remoção causou falhas em larga escala em sistemas e pipelines de desenvolvimento.
  • Empresas descobriram que as suas aplicações dependiam de uma simples função que poderiam ter implementado internamente.

Lições:

  • Mesmo pacotes pequenos podem ter um impacto desproporcional.
  • Garantir redundância e evitar dependências desnecessárias é essencial.

3. Violação de Dados da Equifax (2017)

O que aconteceu:

  • A Equifax sofreu uma violação de dados devido a uma vulnerabilidade no Apache Struts, um framework amplamente usado para criar aplicações web.
  • A falha já tinha sido corrigida numa actualização, mas a empresa não aplicou o patch em tempo útil.

Impacto:

  • Dados sensíveis de 147 milhões de pessoas foram expostos, incluindo informações financeiras e pessoais.
  • O custo financeiro e reputacional para a Equifax foi enorme.

Lições:

  • Aplicar actualizações e patches de segurança de forma atempada é essencial.
  • Empresas precisam de processos eficazes para rastrear e gerir vulnerabilidades nas suas dependências.

4. Shellshock (2014)

O que aconteceu:

  • Foi encontrada uma vulnerabilidade no Bash, um shell Unix amplamente utilizado em sistemas Linux e MacOS.
  • A falha permitia que atacantes executassem comandos arbitrários em servidores comprometidos.

Impacto:

  • Milhões de dispositivos estavam vulneráveis, incluindo servidores web, routers e dispositivos IoT.
  • Ataques em massa exploraram a falha para criar botnets e roubar dados.

Lições:

  • Softwares fundamentais que raramente mudam ainda necessitam de auditorias regulares.
  • Dependências antigas podem conter falhas latentes durante anos.

5. Ataque à Cadeia de Fornecimento do Codecov (2021)

O que aconteceu:

  • Um atacante comprometeu o script de instalação de um software popular de cobertura de código chamado Codecov.
  • O script comprometido permitia que atacantes roubassem variáveis de ambiente sensíveis, incluindo chaves de API e credenciais.

Impacto:

  • Empresas que utilizavam o Codecov sem verificar a integridade dos scripts foram comprometidas.
  • O ataque teve um efeito em cadeia, afectando sistemas que dependiam das credenciais roubadas.

Lições:

  • A cadeia de fornecimento de software é um alvo cada vez mais comum.
  • Verificar a integridade de dependências e implementar melhores práticas de segurança é essencial.

6. Backdoor no Event-Stream (2018)

O que aconteceu:

  • Um programador malicioso assumiu a manutenção do pacote event-stream, uma biblioteca popular no ecossistema NPM.
  • Ele adicionou código que roubava criptomoedas de aplicações específicas que usavam a biblioteca.

Impacto:

  • Este ataque demonstrou como pacotes aparentemente inofensivos podem comprometer sistemas maiores.
  • A confiança na governança de bibliotecas de código aberto foi abalada.

Lições:

  • Transferências de propriedade de projectos de código aberto devem ser acompanhadas de auditorias.
  • Pequenas dependências podem ser usadas como vetores de ataques maiores.

7. Ataque à Cadeia de Fornecimento da SolarWinds (2020)

O que aconteceu:

  • Hackers comprometeram o software Orion da SolarWinds, utilizado para monitorizar redes e infraestruturas.
  • A actualização comprometida foi distribuída para milhares de clientes, incluindo empresas Fortune 500 e agências governamentais.

Impacto:

  • A vulnerabilidade permitiu que atacantes acedessem a redes de alto valor.
  • Este foi um dos ataques mais sofisticados e bem-sucedidos registados.

Lições:

  • Softwares utilizados em infraestruturas críticas necessitam de segurança extrema.
  • Cadeias de fornecimento de software são alvos principais para actores mal-intencionados.

8. Goto Fail (Bug no SSL da Apple, 2014)

O que aconteceu:

  • Um erro de digitação numa única linha de código no SSL/TLS da Apple fez com que verificações de segurança fossem ignoradas.
  • O bug tornou milhões de dispositivos iOS e Mac vulneráveis a ataques man-in-the-middle.

Impacto:

  • A falha demonstrou como um simples erro humano pode comprometer a segurança de sistemas amplamente utilizados.

Lições:

  • Revisões de código e testes automatizados são cruciais.
  • Erros aparentemente pequenos podem ter consequências desproporcionais.

9. Ataques Typosquatting no PyPI (2018-2020)

O que aconteceu:

  • Atacantes fizeram upload de pacotes maliciosos com nomes semelhantes a pacotes legítimos no repositório PyPI.
  • Utilizadores que cometeram erros de digitação ao instalar bibliotecas acabaram por descarregar versões comprometidas.

Impacto:

  • Sistemas de programadores e empresas foram comprometidos com malware e backdoors.

Lições:

  • Ferramentas de gestão de pacotes precisam de melhores protecções contra typosquatting.
  • Verificar dependências e utilizar repositórios confiáveis são práticas fundamentais.

Conclusão

Estes exemplos mostram que a segurança do software não é apenas um problema técnico, mas também um desafio de gestão, governança e cultura. Dependências não geridas, falta de auditorias e práticas inadequadas de desenvolvimento podem levar a falhas catastróficas.

A solução requer um esforço conjunto:

  • Empresas devem investir em auditorias regulares e ferramentas de detecção de vulnerabilidades.
  • Programadores precisam de adoptar práticas seguras de desenvolvimento e evitar dependências desnecessárias.
  • Governos e organizações devem apoiar financeiramente projectos de código aberto críticos para garantir a sua sustentabilidade.

O custo da negligência, como mostram os casos acima, é demasiado elevado para ser ignorado.


disclaimer: ChatGPT provided this text





Comentários


Copyrights

Posted by:
has written 0 awesome articles for dorsal1967.

Enviar um comentário

Mensagens populares deste blogue

ITRA Performance Index - Tudo o que nunca quis saber nem teve vontade de perguntar

Por
Imagem
Nota prévia: este post foi publicado em Agosto de 2019 . A informação que consta aqui poderá estar datada. Seja como for, informação atualizada poderá ser encontrada nos seguintes links, e sobretudo num POST mais recente, de J aneiro de 2025 : https://dorsal1967.blogspot.com/2025/01/itra-performance-index.html Toda a informação poderá ser encontrada nos seguintes links: ITRA Web Page ITRA Facebook World Trail Series
Read more »

Provas Insanas - Westfield Sydney to Melbourne Ultramarathon 1983

Por
Imagem
-     What’s your secret? -         I am just gonna keep running… Cliff Young I will write this post in English. Actually, I will mostly just re-print information from several sources, but I will show all references, in order not to incur in plagiarism. This is the story of an ordinary man who performs extraordinary feats. His name was Cliff Young, and he was the least likely hero that any Nation could come up with. "Albert Ernest Clifford "Cliff" Young ,   OAM   (8 February 1922 [1]  – 2 November 2003 [2] ) was an Australian potato farmer [2]   and   athlete   from   Beech Forest, Victoria .   Born the eldest son and the third of seven children of Mary and Albert Ernest Young on 8 February 1922, Albert Ernest Clifford Young grew up on a   farm   in Beech Forest in southwestern Victoria. [1]  " https://en.wikipedia.org/wiki/Cliff_Young_(athlete) ...
Read more »

MIUT - Madeira Island Ultra Trail

Por
Imagem
Primeiros 100 km da prova, até a bateria do Garmin morrer... Lector in fabula Sempre preferi os loucos… Abro os olhos sobressaltado! Onde estou eu? Como vim aqui parar? Olho lentamente em redor… aos poucos as imagens vão-se fixando e a memória vai retornando... Estou na Ilha da Madeira, a subir vagarosamente para o Pico Ruivo. Devo ter cerrado os olhos momentaneamente e passado instantaneamente pelas brasas. Que horas são? Olho para o Garmin. São 11h40. Ainda só estou a subir há 20 minutos. Tocados pelo fogo. O truque é nunca parar. Custe o que custar, continuar sempre a colocar um pé adiante do outro. Subir degrau a degrau. É como andar de bicicleta. Se pararmos caímos. “Os que levam a vida inteira como alcoólicos e neuróticos são mais interessantes, as pessoas falam deles e contam as suas anedotas, enquanto os tranquilos só fazem o seu trabalho.” - Joyce Carol Oates Esta subida, este quilómetro vertical, está-me a custar muito mais do ...
Read more »

World without Time

Por
Imagem
A Persistência da Memória - S. Dali "Do we exist in time, or does time exist in us? (...) We conventionally think of time as something simple and fundamental that flows uniformly, independently from everything else, from the past to the future, measured by clocks and watches. In the course of time, the events of the universe succeed each other in an orderly way: pasts, presents, futures. The past is fixed, the future open ... And yet all of this has turned out to be false. One after another, the characteristic features of time have proved to be approximations, mistakes determined by our perspective, just like the flatness of the Earth or the revolving of the sun. (...) What we call 'time' is a complex collection of structures, of layers." - Carlo Rovelli, The Order of Time Por onde começar? Esta frase, ela própria, implica um sentido temporal: um início, uma progressão. A noção de tempo está tão entranhada em nós, seres temporais, que não conseguimo...
Read more »

100 Milhas - Que material levar?

Por
Imagem
O material obrigatório consiste em: Mochila Casaco Impermeável Calças impermeáveis Roupa térmica que cubra todo o corpo Buff ou gorro Luvas com dedos Frontal com pilhas de reserva Manta térmica de sobrevivência Apito Banda elástica adesiva Recipiente com 1 litro de água (no meu caso, mochila de hidratação com 1.5 l + 2 bidons de 500 ml cada) Telemóvel carregado Reserva alimentar (descrita em baixo). Uma prova destas é coisa para dar um consumo de mais de 20.000 Kcal. Eu nunca poupo no material obrigatório, pois no meio da montanha, sobretudo de noite, pode vir a revelar-se providencial. Pesa imenso na mochila, mas tem que ser (sem água, anda pelos 2.5 kg; se encher a bexiga e os 2 bidons então são mais 2.5 kg!). Para além do obrigatório, levo ainda: Ténis Kelenji Kiprun MT + um par para a primeira base de vida Bastões T-shirt técnica 2ª camada térmica de manga curta para o tronco Corsários a cobrir os joelhos Boné Luvas sem dedos...
Read more »

Portugueses com 50 ou mais Maratonas e Ultras

Por
Imagem
“Se queres vencer o mundo inteiro, vence-te a ti mesmo.” ― Dostoiévski “ Se queres vencer o mundo inteiro, vence-te a ti mesmo. ” ― Dostoiévski - https://kdfrases.com/frase/146489 Nota: toda a informação acerca deste tema, pode ser encontrada no mui útil web site de João Lima: http://www.joaolima.net/50Maratonas.htm http://www.joaolima.net/50Maratonas.pdf A fim de mais facilmente vizualizar a informação contida na tabela anterior, de seguida apresento alguns gráficos e tabelas ilustrativas: Número de Maratonas e Ultras: Existem nitidamente 2 outliers: Terei que desdobrar os gráficos em dois, para caberem os 69 atletas. Nos 2 próximos gráficos removi os outliers para que os gráficos sejam mais percetíveis: Quanto à prova mais longa, também existem 2 nítidos outliers: Mesmo gráfico sem os 2 outliers: Melhor tempo na Maratona: mais uma vez 2 outliers. Data de nascimento: ...
Read more »

Le Grand Raid des Pyrénées

Por
Imagem
Como se ultrapassa a adversidade? Onde vamos buscar as forças para persistir quando todas as fibras do nosso corpo nos ordenam que é altura de desistir? Dizem que a fadiga é uma ficção que o cérebro engendra para ordenar ao corpo que é altura de parar, antes que algo irreparável o pare definitivamente. Talvez a realidade seja toda ela uma ficção criada pela nossa mente. Ou então é um enredo que o nosso cérebro constroi, dinâmica e interactivamente, para se conseguir orientar num mundo complexo e desprovido de um propósito independente da nossa vontade. Há investigadores que dizem que temos um cérebro “social” composto por módulos, com diferentes funções. A comandar esses módulos (ou ser comandado por eles) poderá, ou não, existir uma identidade denominada o “eu”, o “self”, a “consciência”, ou o que lhe queiramos chamar. A razão porque construimos percursos e prosseguimos objectivos é porque necessitamos de um ou vários propósitos que nos orientem nesta vida. Como não so...
Read more »

Poesia coxa

Por
Imagem
Dente-de-leão na mão do meu filho Embarcar Sentado imóvel na laje do cais, vejo os veleiros saírem da barra e em cada um desejo embarcar. Sonho a viagem para destinos desconhecidos, vagamente adivinhados. Há qualquer coisa de indefinido no horizonte azul do mar que me atrai. Qualquer coisa de novo e de ameaçador. Qualquer coisa de imprevisto e excitante lá longe onde os mastros se afundam. E vou vendo, e sonhando... Sinto a brisa salgada acariciar-me o rosto trazendo a promessa de vento e tempestade. Sonho o içar da vela de Estai na proa do navio, exposto à borrasca O caçar da Genoa nos molinetes ou rizar a vela Mestra Ou navegar à orça fechada para onde o vento me levar E vou vendo, e sonhando... Entretanto vejo correr os dias na anónima e monótona passagem das sequências digitais, que vêm de lado algum e para lado nenhum se dirigem E sinto crescer dentro de mim um grito que não consigo apagar E vou vendo, e sonhando... (a angústia da influência: Pessoa j...
Read more »