O número de vulnerabilidades de softwares caiu no geral em 2009, mas a
quantidade de erros em leitores de documentos e aplicativos de multimídia
cresceu em 50%, de acordo com o relatório anual de riscos e tendências
da IBM.
A pesquisa foi feita pelo grupo X-Force, da IBM, e coletou divulgações
de vulnerabilidades e outros dados de ataques feitos na web. Em 2009, a equipe
registrou 6,6 mil novas vulnerabilidades, quantidade 11% menor que a registrada
em 2008.
Segundo o estudo, Brasil, EUA e Rússia representam o grupo de países
de onde se originou a maioria dos ataques maliciosos, superando a Espanha, Itália
e Coréia do Sul, que estavam no topo do relatório em 2008.
No que se refere às brechas de segurança, a IBM disse que o número
de vulnerabilidades informadas para leitores de documentos, editores e aplicativos
de multimídia subiu 50%. A empresa classifica essas como vulnerabilidades
como "clientes", que também afetam navegadores e sistemas operacionais.
Das cinco falhas mais exploradas na web, três envolvem arquivos PDF.
Crackers tiveram muito sucesso procurando brechas nos documentos e conduziram
ataques através de spams e sites maliciosos.
“Existe definitivamente um grupo de caras maus que mira esse tipo de
arquivo”, disse o gerente de pesquisas da X-Force, Tom Cross.
As outras duas falhas exploradas envolvem o Flash e um controle ActiveX que
permite que usuários vejam arquivos do Microsoft Office no Internet Explorer,
disse a IBM.
Navegação vulnerável
Navegadores possuem a maior parte das vulnerabilidades de clientes. O Firefox
teve o dobro de falhas críticas que o Internet Explorer em 2009. Nenhum
desses erros, no entanto, deixou de ser corrigido até o fim do ano.
Mais da metade das vulnerabilidades de clientes críticas atingiu quatro
fabricantes: Microsoft, Adobe, Mozilla e Apple. Enquanto, em média, a
maioria dos fornecedores corrigiu 66% dessas falhas, a Apple se mostrou pior
nesse ponto, corrigindo apenas 38%.
A IBM também observou as taxas gerais de correção. A X-Force
disse que a Research in Motion, a comunidade GNU, a Cisco Systems, a Adobe e
a HP tiveram desempenho excelente. A Cisco deixou apenas 1% das falhas críticas
sem patchers até o fim do ano, enquanto as outras empresas corrigiram
todos os erros.
As empresas com a maior porcentagem de vulnerabilidades sem correção
foram a comunidade Linux, com 53%, a Oracle com 38%, a Novell com 31% e a IBM
com 27%.
Aplicativos
Outras brechas observadas pela X-Force incluem aplicativos da web, uma condição
perigosa para sites que pode resultar em perda de dados e outros danos.
E os números não são bons: cerca de 67% dos problemas
com aplicativos de web não foram corrigidos até o fim de 2009.
Os cross-site scripting superaram injeção de SQL como principal
vulnerabilidade na web, disse a IBM.
Cross-site scripting é um ataque no qual um script ganha permissão
para rodar onde não deve, recurso que pode ser usado para roubar informação.
Injeção SQL ocorre quando comandos são validados e executados
em um banco de dados, que pode revelar dados e ser usado para outros fins maliciosos.
O número de injeções de SQL visto pela IBM em 2008 foi
de cerca de 5 mil por dia. Em 2009, ela observou cerca de um milhão de
ataques por dia, com invasores usando ferramentas para descobrir sites fracos,
segundo Cross.
Muitas vezes hackers tentam inserir HTML em uma página via injeção
de SQL que faz com que usuários sejam redirecionados para outro site.
Os crackers estão “tentando conseguir que links maliciosos sejam
colocados em sites legítimos com audiência e que a audiência
seja redirecionada para outro site”, disse Cross. A IBM também
disse que viu um aumento massivo de links maliciosos em 2009.
(Jeremy Kirk)
