Os relatórios de travamento de computadores são uma mina de ouro inexplorada para hackers
Quando uma atualização de software ruim da empresa de segurança CrowdStrike causou um caos digital em todo o mundo no mês passado, os primeiros sinais foram computadores Windows exibindo a tela azul da morte. À medida que sites e serviços ficavam fora do ar e as pessoas se esforçavam para entender o que estava acontecendo, informações conflitantes e imprecisas estavam em todo lugar. Apressando-se para entender a crise, o pesquisador de segurança de Mac de longa data Patrick Wardle sabia que havia um lugar onde ele poderia procurar para obter os fatos: os relatórios de travamento de computadores afetados pelo bug.
A valiosa fonte de informações nos relatórios de travamento
“Mesmo não sendo um pesquisador do Windows, fiquei intrigado com o que estava acontecendo e havia essa escassez de informações,” diz Wardle à WIRED. “As pessoas estavam dizendo que era um problema da Microsoft, porque os sistemas Windows estavam travando, e havia muitas teorias mirabolantes. Mas na verdade não tinha nada a ver com a Microsoft. Então eu fui aos relatórios de travamento, que para mim detêm a verdade definitiva. E se você estivesse olhando lá, poderia identificar a causa subjacente muito antes de a CrowdStrike sair e dizer isso.”
Revelando vulnerabilidades a partir dos relatórios de travamento
Na conferência de segurança Black Hat em Las Vegas na quinta-feira, Wardle argumentou que os relatórios de travamento são uma ferramenta subutilizada. Esses instantâneos do sistema dão aos desenvolvedores e mantenedores de software insights sobre possíveis problemas com seu código. E Wardle enfatiza que eles podem ser particularmente uma fonte de informações sobre vulnerabilidades potencialmente exploráveis no software – tanto para defensores quanto para atacantes.
Exemplos de vulnerabilidades encontradas em relatórios de travamento
Em sua palestra, Wardle apresentou vários exemplos de vulnerabilidades que encontrou no software quando um aplicativo travava e ele vasculhava o relatório procurando a possível causa. Os usuários podem visualizar facilmente seus próprios relatórios de travamento no Windows, macOS e Linux, e eles também estão disponíveis no Android e iOS, embora possam ser mais desafiadores de acessar em sistemas operacionais móveis, particularmente no iOS. Wardle observa que, para obter insights dos relatórios de travamento, você precisa de um entendimento básico das instruções escritas no código de máquina de baixo nível conhecido como Assembly, mas ele enfatiza que a recompensa vale a pena.
O uso malicioso dos relatórios de travamento por hackers
Para fornecer alguns exemplos concretos, Wardle, que é o fundador da Objective See Foundation, apresentou múltiplas vulnerabilidades que descobriu simplesmente examinando relatórios de travamento em seus próprios dispositivos, incluindo bugs na ferramenta de análise YARA e na versão atual do sistema operacional macOS da Apple. Na verdade, quando Wardle descobriu em 2018 que um bug no iOS fazia com que os aplicativos travassem sempre que exibissem o emoji da bandeira de Taiwan, ele chegou ao fundo do que estava acontecendo, usando, você adivinha, relatórios de travamento.
A importância dos relatórios de travamento para a segurança
“Revelamos conclusivamente que a Apple havia cedido a demandas da China para censurar a bandeira de Taiwan, mas seu código de censura tinha um bug – ridículo,” ele diz. “Meu amigo que originalmente observou isso disse: ‘Meu telefone está sendo hackeado pelos chineses. Sempre que você me envia uma mensagem, ele trava. Ou você está me hackeando?’ E eu disse: ‘Rude, eu não te hackaria. E também, rude, se eu te hackeasse, eu não faria seu telefone travar.’ Então, puxei os relatórios de travamento para ver o que estava acontecendo.”
Minerando informações valiosas dos relatórios de travamento
Wardle enfatiza que, se ele pode encontrar tantas vulnerabilidades apenas olhando para os relatórios de travamento de seus próprios dispositivos e dos de seus amigos, os desenvolvedores de software precisam estar olhando para lá também. Atores criminosos sofisticados e hackers bem financiados por estados-nação provavelmente já estão obtendo ideias de seus próprios relatórios de travamento. Ao longo dos anos, notícias indicaram que agências de inteligência como a Agência de Segurança Nacional dos EUA realmente mineravam logs de travamentos.
A detecção de malware por meio de relatórios de travamento
Wardle aponta que os relatórios de travamento também são uma fonte valiosa de informações para a detecção de malware, uma vez que podem revelar atividades anômalas e potencialmente suspeitas. O notório corretor de spyware NSO Group, por exemplo, muitas vezes construía mecanismos em seu malware especificamente para excluir relatórios de travamento imediatamente após infectar um dispositivo. E o fato de que o malware é muitas vezes defeituoso torna os travamentos mais prováveis e os relatórios de travamento valiosos para os atacantes também para entender o que deu errado com seu código.
A “verdade” nos relatórios de travamento
“Com os relatórios de travamento, a verdade está lá fora,” diz Wardle. “Ou, eu diria, lá dentro.”
Posts que você deverá gostar:
Conclusão
Os relatórios de travamento de computadores são uma fonte de informações extremamente valiosa, mas muitas vezes subutilizada, tanto para defensores quanto para atacantes de segurança. Ao examinar esses instantâneos do sistema, pesquisadores e desenvolvedores podem descobrir vulnerabilidades ocultas, entender melhor os problemas de software e até mesmo detectar atividades maliciosas. Embora possa levar algum esforço e conhecimento técnico para extrair insights significativos, a recompensa em termos de segurança e estabilidade do software é inquestionavelmente valiosa. Portanto, à medida que a indústria de segurança e os desenvolvedores buscam maneiras de melhorar a postura de segurança, os relatórios de travamento devem ser vistos como uma ferramenta essencial em seu arsenal.
