Michael Lynn, 24 anos, se demitiu da empresa onde trabalhava — a firma de segurança Internet Security Systems — para poder demonstrar, durante a conferência BlackHat, novos métodos de explorar falhas consideradas previamente de baixo risco em roteadores Cisco. A Cisco tentou, inutilmente, silenciar a apresentação de Lynn, fazendo com que detalhes da demonstração desaparecessem da programação da conferência e destruindo mais de 2000 CDs contendo a demonstração.

Lynn teve de pedir demissão do emprego para fazer a apresentação, pois a Internet Security Systems queria que ele retirasse partes críticas da sua demonstração. Acredita-se que eles não queriam divulgar isso porque eles é quem oferecem soluções de segurança ou porque queriam evitar um processo da Cisco.

As falhas já eram conhecidas, porém todas elas eram consideradas de baixo risco, pois só permitiam o travamento remoto do roteador. Lynn demonstrou que é possível utilizar essas falhas para fazer com que os roteadores executassem código remoto, o que torna essas falhas extremamente graves.

Esse acontecimento está gerando uma enorme polêmica. Divulgar falhas é importante para incentivar empresas e indivíduos a atualizar seus programas. Lynn divulgou os novos métodos em uma conferência, mas poderia ser pior se um hacker malicioso descobrisse-os e tirasse utiliza eles na Internet sem avisar a Cisco da gravidade dos problemas.

Um processo da Cisco foi iniciado contra Lynn. Como Lynn teve de utilizar Engenharia Reversa para descobrir as falhas, ele violou os termos de uso da Cisco, que proibe a utilização de Engenharia Reversa em seu software, tornando a forma que Lynn utilizou para obter dados ilegal. Entretanto, ele e a Cisco entraram em um acordo onde Lynn não pode divulgar novas informações sobre o problema durante a BlackHat nem durante a DEF CON e entregar qualquer material relacionado a demonstração.

Ententendo a gravidade do problema

Para que dois sistemas possam se comunicar na Internet é necessário que um saiba como chegar até o outro. Para isso, existem os chamados roteadores. Roteadores são como as rodovias da Internet e quando algum deles está indisponível, pode não ser possível se conectar em um determinado sistema, ou seja, eles são a base de toda a comunicação na Internet.

A Cisco é a fabricante mais tradicional de roteadores e quase todos os roteadores utilizados na Internet são da Cisco. O novo modo de explorar as falhas, de acordo com Lynn, poderia fazer com que dados fossem interceptados ou redirecionados para servidores maliciosos.

Tentando amenizar o problema, a Cisco divulgou uma nota dizendo que o problema não era grave. O especialista de segurança Bruce Schneier diz que a nota é um resultado da hora extra feita pela máquina de propaganda da Cisco.

A apresentação de Lynn (que pode ser encontrada facilmente na Internet) não discutiu nada novo, porém facilitará a criação de exploits para explorar falhas em roteadores para executar código remoto. Isso torna diversas falhas de roteadores graves, visto que muitas delas eram consideradas de baixo risco.

O que você pode fazer

Roteadores são mantidos por provedores e empresas. Se a empresa onde você trabalha possui um roteador Cisco, tenha certeza que ele está atualizado para não ser afetado. Diversas falhas antes consideradas de baixo risco, que possiblitavam apenas o travamento do equipamento, podem ser utilizadas para executar código remoto.

Se por qualquer motivo você possui um roteador Cisco em sua casa, não deixe de procurar patches e atualizações.

Divulgação de Falhas

Não é a primeira vez que uma companhia de segurança tenta silenciar, inutilmente, a divulgação de falhas (ou, nesse caso, um novo método para explorá-las). Esse caso colocou novamente em pauta a polêmica sobre a divulgação de falhas de segurança: como devem ser divulgadas, onde e para quem.

É importante lembrar que, nesse caso, não existe uma nova falha sendo exibida. Mostra apenas novos métodos para explorar falhas existentes, ou seja, a Cisco já sabia das falhas que Lynn utilizou. Todas elas também já possuem patches de segurança. Lynn apenas mostrou que as falhas não eram de baixo risco como a Cisco havia dito.

O que você acha da divulgação de falhas de segurança? Não deixe de votar na enquete sobre o assunto criada no fórum ou comentar nessa notícia.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.