As possíveis repercussões das vulnerabilidades Meltdown e Spectre são impressionantes. Seu potencial de criar transtornos extensivos a praticamente todo CPU disponível no mundo deve ser considerado com cuidado. No entanto, não há necessidade para o pânico generalizado. Com efeito, a gravidade é alta, mas a complexidade de criar exploits é a mesma que para arquitetar soluções que previnam potenciais ataques em processadores, sistemas operacionais e aplicativos. Até o momento não há relatos de malware utilizando esta falha para afetar sistemas.
Com isto, temos um intervalo mínimo para avaliar os efeitos destes eventos. Embora a maioria dos fabricantes tenha oferecido feedback ágil, os patches de correção para sistemas operacionais e aplicativos são medidas para o curto prazo, dado que o problema fundamental está no escopo do hardware. A correção em termos de design dos processadores não é um processo imediato e pode levar anos até sua conclusão. Além disso, esbarramos em um desafio ainda maior, que é endereçar a segurança dos milhões de dispositivos que adotam os processadores anteriores às melhorias necessárias para enfrentar Meltdown e Spectre.
O que nos leva a primeira grande lição deste episódio. Considerar segurança no design de qualquer tecnologia. Vale notar que as brechas reportadas representam técnicas para melhoria da performance de processamento (execução especulativa). Neste caso, o privilégio da produtividade em “detrimento” da segurança são faces de uma mesma moeda. A mesma questão deverá ser observada na adoção de tecnologias emergentes: a nuvem, a internet das coisas e o machine learning.
O segundo alerta é o processo de implementar atualizações em sistemas e aplicações. Enquanto não há correção possível em hardware, é importante cumprir com as atualizações para firmware e software. Sempre há uma razão lógica para seguir as recomendações dos especialistas naquela tecnologia.
No entanto, existem as razões práticas que dificultam o processo de patching. O tamanho do parque de dispositivos, o tempo de inatividade de sistemas críticos e as possíveis incompatibilidades experimentadas entre uma atualização de sistema e aplicativos, drivers ou plataformas legadas, por exemplo. Aqui, há um dever de casa para toda organização: criar um procedimento em que a atualização de sistemas seja possível da forma mais rápida, sem perda de atividade produtiva.
Por fim, vale registrar que Meltdown e Spectre mostram que a corrida para garantir medidas para um ambiente mais seguro está em curso e é incessante. Além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, uma necessidade cada vez mais concreta é a adoção de ferramentas para a gestão de vulnerabilidades. É o tipo de ferramenta que permite avaliar o status de segurança da infraestrutura das empresas, definindo ações possíveis para remediação.
Apesar de algum discurso de pânico, é certo que esse tipo de episódio não deve ser negligenciado. O movimento de toda a indústria para criar correções de forma ágil mostra que o perigo é real – apesar de não explorado neste momento. E o que vemos com o histórico recente de evolução do cenário digital é que o quanto a indústria é capaz de avançar, o cibercrime também é.
* Cleber Brandão é gerente do BLOCKBIT Labs