Google, Apple, Microsoft e Adobe foram revistados na semana passada porque seus produtos mais recentes foram invadidos no Pwnfest 2016 em Seul. O Windows 10, o Android 7.1 e o MacOS Sierra caíram em apenas alguns instantes devido às explorações baseadas no navegador, dando aos membros da equipe chinesa Qihoo 360 acesso total a todas as funções administrativas e uma recompensa saudável por serem as pessoas que entraram. E o Flash, bem, estava apenas sendo Flash e foi hackeado mais rápido do que pode carregar em uma página da web.
Bem, claro que estavam. Eles quase sempre são. E eles quase sempre continuarão sendo.
Eu estava conversando com um amigo sobre isso. Ela não é uma nerd e ficou surpresa que isso pudesse acontecer. Ela ficou mais surpresa ao descobrir que esses produtos são invadidos todos os anos. Afinal, essas empresas estão em um palco em algum lugar e informam quanto dinheiro e tempo gastam para que este produto seja a versão mais segura de todos os tempos; portanto, pensar que são invulneráveis faz sentido. Mas nenhum software é invulnerável, porque isso simplesmente não é possível.
A rapidez com que é corrigida - e não com a rapidez com que é hackeada - é o que realmente importa.
Todas essas explorações foram relatadas eticamente. Isso significa que a equipe disse ao Google (e a todos os outros com um produto que quebrou) como eles fizeram isso e não disseram a mais ninguém. Mas, vendo como eles foram iniciados, parece que algo como Javascript (ou outra plataforma da Web comum) foi explorado. Essa exploração não existia quando o Android 7.1 ou Windows 10 ou MacOS Sierra (e eu já sinto falta do OS X) foram desenvolvidos, por isso é certo que o código não foi criado para lidar com o que aconteceria. Você simplesmente não pode escrever em fallbacks seguros para tudo o que poderia acontecer e, se pudesse, o software valeria bilhões de dólares. Os hackers sabem disso e as pessoas que escrevem o código que é atacado sabem disso. As únicas pessoas que deveriam conhecê-lo, mas não parecem, são a mídia que o denuncia como algo inédito e sensacional quando é realmente mundano e esperado.
Seu telefone com Android 7.1 (ou o computador com Windows 10 ou MacOS Sierra) provavelmente é a versão mais segura do sistema operacional já criada. Mas é seguro apenas contra coisas que as pessoas que as construíram conheciam e contra si mesmas. As pessoas já estão trabalhando para encontrar um bug ou explorar outras coisas e ver como podem usá-lo para travar tudo e queimar tudo. Algumas dessas pessoas fazem isso pelas razões certas - um quarto de milhão em dinheiro para encontrá-lo e informar às empresas envolvidas é o melhor e mais correto motivo de todos os tempos. Outros estão fazendo isso na esperança de obter o número do seu cartão de crédito. Ambos os tipos de pessoas serão bem-sucedidos e tudo o que você usar será invadido porque está cheio de bugs e buracos.
Até o meu BlackBerry Priv, que algumas pessoas consideram inalcançável, provavelmente já foi invadido por alguém, em algum lugar, que sabe que "desperdiçar" uma exploração contra um telefone que quase ninguém usa não é o caminho para obter vários números de cartões. Melhor sentar-se e esperar encontrar um alvo melhor, porque, uma vez descoberto, será corrigido. A primeira coisa que você faz quando encontra uma exploração do Linux é ver como você pode usá-la em um computador Windows, porque o objetivo é colocá-lo no maior número possível de máquinas.
Seu telefone executa um software que será invadido. As pessoas que o escrevem se prepararam para isso.
Olhe para o telefone em suas mãos. Possui um software que será hackeado. Saiba isso. Mas saiba também que provavelmente existem outros fatores que atenuam qualquer dano potencial e a empresa que escreveu esse software possui um método no qual pode corrigi-lo e tentar levá-lo o mais rápido possível. É isso que tira todas essas notícias sobre hackers. O que importa é a rapidez com que os bugs são corrigidos, porque existem bugs em todos os softwares já escritos. É assim que o software melhora cada vez que é atualizado.
Sempre foi assim e a única coisa que mudou foi quanta atenção ela recebe.
