Recentemente, estive em um evento privado sobre segurança por design. Expliquei que a Microsoft poderia consertar ransomware amanhã e fiquei surpreso que as pessoas bem informadas com quem eu estava falando não tivessem ouvido falar sobre essa abordagem.
Ransomware funciona analisando arquivos, um por um, e substituindo seu conteúdo por uma versão criptografada. (Às vezes, ele também envia cópias para outro lugar, mas isso acaba sendo lento e, às vezes, dispara alarmes.) O software no Microsoft Windows usa uma interface de programação de aplicativo (API) chamada “CreateFile” para acessar arquivos. Um pouco confuso, CreateFile não só cria arquivos, mas também é a principal maneira de abri-los.
A Microsoft deve limitar a taxa da API CreateFile(). Ou seja, deve limitar a frequência com que um determinado programa pode usar a API. Como você não pode criptografar um arquivo até que possa abri-lo, isso teria um impacto dramático no ransomware. Isso o retardaria e ajudaria as ferramentas defensivas a capturá-lo a tempo de os humanos reagirem.
Agora, eu digo que a Microsoft deve fazer isso, e espero que faça.
Além disso, fiz essa sugestão para ajudar a mostrar a complexidade de manter a compatibilidade. Na superfície, é muito simples e elegante. Na prática – e digo isso como a pessoa que conduziu a correção do Autorun para o Windows Update – haverá complexidades práticas e preocupações que não sabemos quais serão todos os efeitos.
Qual taxa é razoável?
A primeira pergunta é: qual taxa é razoável? Escolha baixo e você quebra aplicativos; Escolha alto e você diminui o valor protetor. Para muitos casos, uma abertura por segundo parece boa, mas quando chegamos a coisas como compiladores, que vão abrir muitos arquivos, vemos que podemos precisar de um limite geral e permitir intermitências. Quando chegamos ao software de backup, fica ainda mais complicado. O software de backup precisa abrir todos os arquivos, ou pelo menos todos os arquivos alterados, o que, se você pensar sobre isso, é realmente semelhante ao que o ransomware quer fazer. Não podemos permitir uma exceção para aberturas somente leitura. O ransomware abrirá um arquivo, criptografará o conteúdo, gravará em um novo arquivo ou o anexará a um banco de dados e excluirá o original.
Assim, o Windows provavelmente precisará de vários limites de taxa. Precisará haver uma maneira de isentar programas (como compiladores e ferramentas de backup), e talvez isso precise ser emitido globalmente, o que significa um processo para os criadores de software obterem um certificado especial. É preciso que haja registro e alertas criados, testados, internacionalizados, etc. Será necessário criar e documentar novos GPOs (uma ferramenta usada para administrar o Windows). Precisa haver uma maneira local de permitir mais chamadas CreateFile para software que é desenvolvido localmente ou obscuro, ou cujos fabricantes não estão mais por perto. Precisamos garantir que o ransomware não possa abusar desses mecanismos. (Em Macs recentes, há um processo complexo de reinicializações necessárias para fazer certas mudanças no sistema; talvez algo semelhante seja justificado?)
Essa última é complicada: o administrador tem poder, por design, e é difícil limitar esse poder. Até mesmo a abertura de arquivos de registro tornaria mais fácil ver qual software está abrindo muitos novos arquivos e tornaria mais difícil para o ransomware ser furtivo. (E sim, já há muitos alarmes.)
Desde que não estejamos hiperfocados nos detalhes, os atacantes mudam lentamente. Eles ainda fazem phishing, através de mais e mais canais. Ao longo de 20 anos, os arrombamentos passaram de abusar de softwares que escutam em portas abertas para outros problemas. Esse foi o resultado de uma mudança radical de ativar o Firewall do Windows por padrão, em resposta ao “verão de worms” de 2003.
A lei de Hyrum afirma aproximadamente que alguém dependerá de cada comportamento observável do seu sistema. E a mudança se torna complexa. A instrução simples “A Microsoft deve limitar a taxa da API CreateFile()” é uma lata de worms.
Dado o custo excepcional do ransomware hoje, acho que vale a pena abrir essa lata de worms. Acho que meus ex-colegas estão à altura do desafio.
FONTE: DARK READING