Quando um ruim atualização de software da empresa de segurança CrowdStrike inadvertidamente causou caos digital em todo o mundo no mês passado, os primeiros sinais foram os computadores Windows mostrando o Tela Azul da Morte. Como sites e serviços desceu e as pessoas se esforçavam para entender o que estava acontecendo, informações conflitantes e imprecisas estavam por toda parte. Correndo para entender a crise, o pesquisador de segurança de Mac de longa data Patrick Wardle sabia que havia um lugar onde ele poderia procurar para obter os fatos: relatórios de falhas de computadores impactados pelo bug.
“Embora eu não seja um pesquisador do Windows, fiquei intrigado com o que estava acontecendo, e havia essa escassez de informações”, Wardle conta à WIRED. “As pessoas estavam dizendo que era um problema da Microsoft, porque os sistemas Windows estavam com tela azul, e havia muitas teorias malucas. Mas, na verdade, não tinha nada a ver com a Microsoft. Então, fui aos relatórios de falhas, que para mim contêm a verdade suprema. E se você estivesse olhando lá, seria capaz de identificar a causa subjacente muito antes de CrowdStrike aparecer e dizer isso.”
Na conferência de segurança Black Hat em Las Vegas na quinta-feira, Wardle defendeu que os relatórios de falhas são uma ferramenta subutilizada. Esses instantâneos do sistema dão aos desenvolvedores e mantenedores de software uma visão sobre possíveis problemas com seu código. E Wardle enfatiza que eles podem ser particularmente uma fonte de informações sobre vulnerabilidades potencialmente exploráveis em software — tanto para defensores quanto para invasores.
Em sua palestra, Wardle apresentou vários exemplos de vulnerabilidades que ele encontrou em software quando o aplicativo travou e ele vasculhou o relatório procurando pela possível causa. Os usuários podem visualizar facilmente seus próprios relatórios de travamento no Windows, macOS e Linux, e eles também estão disponíveis no Android e iOS, embora possam ser mais desafiadores de acessar em sistemas operacionais móveis. Wardle observa que, para obter insights de relatórios de travamento, você precisa de um entendimento básico de instruções escritas no código de máquina de baixo nível conhecido como Assembly, mas ele enfatiza que a recompensa vale a pena.
Em sua palestra no Black Hat, Wardle apresentou múltiplas vulnerabilidades que ele descobriu simplesmente examinando relatórios de falhas em seus próprios dispositivos — incluindo bugs na ferramenta de análise YARA e na versão atual do sistema operacional macOS da Apple. Na verdade, quando Wardle descobriu em 2018 que um Bug do iOS fazia com que aplicativos travassem sempre que exibissem o emoji da bandeira de Taiwanele chegou ao fundo do que estava acontecendo usando, você adivinhou, relatórios de acidentes.
“Revelamos conclusivamente que a Apple havia concordado com as exigências da China para censurar a bandeira taiwanesa, mas seu código de censura tinha um bug — ridículo”, ele diz. “Meu amigo que observou isso originalmente disse: ‘Meu telefone está sendo hackeado pelos chineses. Sempre que você me manda mensagem, ele trava. Ou você está me hackeando?’ E eu disse: ‘Rude, eu não hackearia você. E também, rude, se eu hackeasse você, eu não travaria seu telefone.’ Então, eu puxei os relatórios de travamento para ver o que estava acontecendo.”
Wardle enfatiza que se ele consegue encontrar tantas vulnerabilidades apenas olhando os relatórios de falhas de seus próprios dispositivos e dos de seus amigos, os desenvolvedores de software precisam estar olhando para lá também. Atores criminosos sofisticados e hackers bem financiados apoiados pelo estado provavelmente já estão tirando ideias de seus próprios relatórios de falhas. Ao longo dos anos, as notícias indicaram que as agências de inteligência como a Agência de Segurança Nacional dos EUA faça meus logs de travamento. Wardle aponta que os relatórios de travamento também são uma fonte valiosa de informações para detectar malware, pois podem revelar atividades anômalas e potencialmente suspeitas. O notório corretor de spyware Grupo NSOpor exemplo, frequentemente criariam mecanismos em seu malware especificamente para excluir relatórios de falhas imediatamente após infectar um dispositivo. E o fato de que o malware geralmente tem bugs torna as falhas mais prováveis e os relatórios de falhas valiosos para os invasores também para entender o que deu errado com seu código.
“Com os relatórios de acidentes, a verdade está lá fora”, diz Wardle. “Ou, eu acho, lá dentro.”
