empresas

Termos comuns de segurança: Zero-day

Em meio ao desenvolvimento de um software, por mais que nos atentemos a realizar os devidos testes, ainda é comum o software apresentar bugs.

A princípio, quando um desenvolvedor encontra essa falha, ele tentará corrigi-lo o mais rápido possível. Pode acontecer também de um usuário notificar a empresa de que o software está com defeito e até alertar outras pessoas na internet sobre a falha.

Entretanto, existem muitos hackers maliciosos que se aproveitam de falhas no software. Se esse “usuário” mal intencionado encontrar essa falha antes de que o fabricante possa perceber, ele pode tentar explorar o software a fim de obter acesso a informações, dados e documentos que não deveria ter.

O que vem a ser a falha zero-day?

Como vimos acima, normalmente o fabricante corrige as falhas rapidamente para eliminar a vulnerabilidade e deixar o software mais seguro. O problema é quando os hackers descobrem a falha antes mesmo do fabricante. Essa é a falha zero-day, no português – dia zero.

Quando um ponto fraco da segurança de um sistema ou aplicação é descoberto, um hacker pode fazer um ataque utilizando exploitsum código malicioso que se aproveita dessa falha para que possam acessar um sistema e fornecer as permissões necessárias para depois infectá-lo.

O nome zero-day faz referência ao tempo que o fabricante/desenvolvedor estão cientes da brecha de segurança e devem resolvê-la em menos de 1 dia, ou seja, a partir do momento que a falha é detectada, tem-se efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.

Como funciona?

As vulnerabilidades zero-day podem ser exploradas por meio de vírus, worms, trojans e vários tipos de malwares, o que propaga e infecta outros usuários de maneira muito rápida e, pior, podendo circular pela internet por meses.

Como se proteger dessa falha?

Aí é que mora o problema: combater as vulnerabilidades zero-day ainda é um desafio. Como as falhas ainda são desconhecidas pelos fabricantes e não são detectáveis, infelizmente não existe um método 100% eficaz contra essa falha.

A boa notícia é que podemos contar com boas estratégias de segurança, para que possamos diminuir a possibilidade de sermos afetados. Alguns exemplos são:

  • Manter sistemas atualizados: todos os sistemas devem estar atualizados em sua última versão. Com ferramentas desatualizadas, os hackers podem tirar proveito por mais tempo;
  • Usar ferramentas de segurança eficientes: ferramentas de proteção atualizadas e de boa qualidade;
  • Redes protegidas: usar redes protegidas com um firewall de qualidade;
  • Um bom antivírus: embora antivírus não sejam muito eficientes contra falhas zero-day — já que sem saber da existência dessas brechas não há como identificar os ataques — há a possibilidade de que essas aplicações identifiquem malwares que, ao explorar uma falha zero-day, acabam apresentando um comportamento suspeito.
Segurança da Informação - Fundamentos
Curso de Segurança da Informação - Fundamentos
CONHEÇA O CURSO

Exemplos de falhas zero-day recentes…

Zoom

Atualmente, devido a pandemia da Covid-19, o Zoom teve um alto crescimento, estando em primeiro lugar na utilização de softwares de videochamada, passando concorrentes como o Google Hangouts e Skype. Isso imediatamente despertou o interesse de hackers que querem tirar proveito, o que ocasionou em várias vulnerabilidades de segurança de zero-day que foram tornadas públicas logo depois.

Um exemplo foi a invasão de videoconferências usando o ID da reunião virtual ou até mesmo um link que se tornou público, usando o nome da ferramenta a fim de enganar os usuários para infectá-los com malware.

Também foi descoberto que o Zoom era vulnerável a uma falha onde este transforma caminhos UNC em hiperlinks, onde ao serem clicados, resultam em logins hackeados.
Existem alguns outros que foram descobertos, você pode conferir no próprio blog da Zoom, inclusive todas as suas notas oficiais. Todos as falhas citadas foram corrigidas rapidamente, segundo a empresa.

Windows 10

No ano passado, um pesquisador de segurança da Google, tornou público uma vulnerabilidade explorável do Windows 10. Nessa vulnerabilidade encontrada, era possível executar um ataque de negação de serviço (DoS) nos servidores Windows.

O “trato” após a descoberta dessa vulnerabilidade é que o Windows deveria corrigi-lo em até 90 dias, como não foi feito (ainda estavam corrigindo) foi tornado público no 91º dia.

Google Chrome

Ano passado, a Kaspersky descobriu uma vulnerabilidade zero-day no navegador Google Chrome. Neste caso ele manipulava a memória, onde o exploit obtém permissão para ler e escrever dados no dispositivo, onde imediatamente fazia o download e rodava o malware. Essa falha foi reportada e a Google já resolveu.

Considerações finais…

Por fim, se você tiver interesse de conhecer mais casos, desde 2014 uma equipe de pesquisadores de segurança da Google mantem o blog “Project Zero” com relatos, notícias e atualizações que envolvem o zero-day.

O que é Design Thinking?

Hoje em dia é essencial que as empresas pensem em inovações para seus produtos e serviços, a fim de levar melhores experiências para os usuários. Essas inovações são capazes de gerar vantagens competitivas, algo essencial para a sustentabilidade das empresas. Com isso, uma abordagem que muitas empresas vem adotando é o Design Thinking, que as ajudam com caminhos que levam a soluções inovadoras para os negócios.

Mas, o que vem a ser exatamente o Design Thinking?

Design Thinking é uma metodologia criativa que surgiu dentro do design, sendo uma forma de pensar que ajuda a resolver problemas de todos os tipos. O Design Thinking ajuda na imersão e no entendimento de parâmetros e padrões essenciais para criar projetos de melhor qualidade, sendo uma combinação de mindset com plano de ação.

Apesar de ter surgido dentro do design, o Design Thinking pode – e deve – ser aplicado para muitas outras coisas, como por exemplo, para pensar em soluções para clientes, para desenvolver novas ferramentas, tecnologias e até marcas, o propósito é produzir inovações. Alguns exemplos bem conhecidos de empresas que fazem uso do Design Thinking são a Apple e Nike.

Apesar do nome, o Design Thinking vai muito além da estética, ele sempre está em busca de soluções práticas e criativas para resolver problemas. Devemos olhar o ser humano com olhar de negócio, verificando o que é possível fazer visando o ponto de vista da tecnologia.

De forma sucinta, podemos dizer que o Design Thinking é uma junção do pensamento criativo e corporativo, para identificar as melhores opções de um produto ou serviço de forma que ele traga benefícios e vantagens em todas as suas características, tornando as experiências mais eficazes, combinando desejos e necessidades do público.

Etapas do Design Thinking

O conceito de Design Thinking tem algumas premissas básicas, que tem como base a empatia, colaboração e experimentação.

  • Empatia
    É necessário entender o público, para quem você está criando essa solução. Entender quais são seus comportamentos, gostos e ainda, se possível, interaja com eles usando entrevistas, formulários, etc.

  • Definição
    Para poder dar soluções a um problema, é necessário ter o máximo de informações sobre ele. Foque na visão sobre como lidar com as pessoas e em como você deseja fazer a diferença de quem vai utilizar a solução. Aqui você pode pensar em ideias inovadoras, coletar opiniões, a fim de explorar novas áreas.

  • Ideação
    Aqui podemos criar o brainstorming, onde podemos ter diversas ideias, pensar em múltiplas soluções, a fim de testar e achar novos caminhos até por fim, realizar o protótipo.

  • Protótipo
    O protótipo é a melhor forma de visualizarmos as ideias de um modo mais físico, pois as pessoas acabam podendo interagir com ele, inspirando novas ideias, melhorias, ver os erros e acertos. A ideia do protótipo é você ir evoluindo, o máximo possível até chegar em uma solução final. Caso um protótipo não tenha dado muito certo, você pode testar mais ideias.

  • Teste
    É importante realizar testes para ver como o usuário lida com o produto/serviço a fim de obter feedbacks. Fazendo o teste com usuários você tem um resultado mais preciso, verificando as interações que esse usuário tem e se a funcionalidade do seu protótipo está condizente com o esperado. Não menos importante, deve-se observar absolutamente tudo enquanto o teste é realizado.

Se você se interessou pela abordagem do Design Thinking e gostaria de se aprofundar, temos um curso que aprofunda ainda mais em como desenvolver uma ideia, como testá-las e até um workshop de cocriação:

Design  Thinking
Curso de Design Thinking
CONHEÇA O CURSO

Te esperamos lá 🙂

© 2004 - 2019 TreinaWeb Tecnologia LTDA - CNPJ: 06.156.637/0001-58 Av. Paulista, 1765, Conj 71 e 72 - Bela Vista - São Paulo - SP - 01311-200