O mundo da cibersegurança está em alerta devido às ferramentas assistidas por Inteligência Artificial, que estão a encontrar vulnerabilidades mais rápido do que nunca. Segundo o site Tom’s Hardware, a janela padrão de noventa dias para a divulgação e resolução de falhas está a desaparecer rapidamente. Para ilustrar esta realidade com números concretos, surgiu o Zero-Day Clock (ZDC), um projecto que mostra as consequências da falta de segurança ao longo do tempo.
O colapso da janela de segurança
Criado por Sergej Epp, da Sysdig, este portal tem o apoio de grande parte das principais empresas de tecnologia e cibersegurança. Os dados são claros: o tempo médio entre a descoberta de uma vulnerabilidade e a sua exploração caiu de quase um ano, em 2021, para pouco mais de um dia, em 2026. A tendência é assustadora, e o ZDC prevê que, em 2027, este valor desça para apenas uma hora e um minuto. Muitas destas falhas afectam desde infraestruturas críticas até ao simples browser que utilizamos diariamente.
Os gráficos mostram ainda que a percentagem de ataques “zero-day” (quando os piratas informáticos já estão a usar a falha antes do anúncio oficial) subiu de 31% há cinco anos para uns impressionantes 73,2% na actualidade. A percentagem de vulnerabilidades não exploradas passou de cerca de 60 a 70% em 2021 para uns meros 25% actualmente, e isto apenas no momento da divulgação. Passadas seis semanas, nenhuma falha permanece por explorar. Importa notar que estes dados representam apenas a ponta do icebergue, porque rastreiam apenas falhas públicas.
Medidas urgentes e ferramentas de defesa
Para travar esta ameaça, os investigadores do ZDC publicaram um apelo à acção. As recomendações dividem-se em várias frentes essenciais:
- Activação de segurança por defeito e arquitectura “zero-trust” – É essencial garantir que cada peça de firmware, software, framework e plataforma de hardware tem todas as funcionalidades de segurança activadas desde o primeiro momento, adoptando sempre que possível uma arquitectura de confiança zero.
- Transição para linguagens de programação seguras – Uma vez que 70% das vulnerabilidades são consequência de erros de segurança de memória, a utilização de linguagens como Rust, em detrimento de C ou C++, assume-se como uma obrigação para a indústria.
- Criação de sistemas descartáveis – As infraestruturas devem ser desenhadas para serem descartáveis por defeito, o que significa que uma máquina comprometida por um ataque informático pode ser restaurada de forma simples e rápida.
- Ferramentas de Inteligência Artificial de código aberto para defesa – Para combater os bots de IA dos atacantes, o ZDC recomenda a disponibilização de ferramentas gratuitas e de código aberto para os defensores. É vital que os profissionais de segurança tenham acesso a recursos avançados para conhecerem a fundo os seus sistemas, códigos e registos.
Responsabilidade legal e o papel dos governos
As recomendações mais complexas envolvem a legislação. O especialista em cibersegurança Bruce Schneier, defende a responsabilização legal dos criadores de software por vulnerabilidades prejudiciais. Schneier sublinha que nenhuma indústria melhorou a segurança sem ser forçada pelos governos e que produtos inseguros, mas fáceis de usar e rápidos a chegar ao mercado, acabam sempre por vencer a concorrência.
Existe também um apelo para rever leis sobre IA que acabam por dar vantagem aos atacantes. Por exemplo, a iniciativa europeia “Stop the Clock” embora bem-intencionada para abrandar a propagação da IA, acaba por prejudicar a segurança ao atrasar as defesas, enquanto os cibercriminosos ignoram as regras e aceleram os seus esforços. Por fim, o ZDC defende que a segurança de software deve ser uma prioridade geopolítica, com financiamento adequado, e que os investigadores de cibersegurança devem ser incluídos no processo legislativo para evitar a criação de leis desajustadas da realidade técnica.
