Gerenciamento de código-fonte é ponto fraco de ataques Aurora

As empresas devem tomar passos extras para garantir a segurança do código fonte dos ataques conhecidos como Aurora que atingiram Google, Adobe, Intel e outras nos últimos meses.

A avaliação é da fabricante de produtos de segurança McAfee, que soltou um relatório detalhando o jeito que o código fonte foi acessado em alguns desses ataques. “Nós vimos ataques dirigidos contra softwares de configuração de gerenciamento de produtos”, afirmou o CTO da empresa, George Kurtz.

Em muitos dos ataques engenheiros e a área de tecnologia foram contaminadas com softwares maliciosos. Em alguns casos, sistemas de gerenciamento de código fonte foram acessados e o código foi baixado por fora dos firewalls das empresas, segundo Kurtz.

“Esses sistemas são feitos para você poder ter múltiplas pessoas pelo mundo trabalhando neles”, disse Kurtz. Isso frequentemente dá aos invasores diversos meios de conseguir o código. Para piorar a situação, sistemas de gerenciamento de código fonte “não são protegidos nem muito monitorados”, ele disse. Isso significa que eles podem ser alvos fáceis em ataques futuros.

Para ilustrar o ponto, pesquisadores da McAfee olharam o sistema de gerenciamento de código fonte usado pelo Google, chamado Perforce. Eles encontraram diversos problemas. O Perforce manda senhas pela internet de maneira não-criptografada, permitindo que usuários anônimos criem novas contas e rodem em privilégios maiores do que o necessário, dando a hackers um jeito a mais de explorar o sistema.

A Perforce não comentou o estudo da McAfee, mas os erros que foram encontrados têm a ver com os ataques Aurora, divulgados pelo Google em janeiro.

Isso porque os crackers Aurora não precisaram invadir nenhum sistema de gerenciamento de código fonte. Eles puderam acessar de computadores de engenheiros, de acordo com o parceiro da Isec Partners, Alex Stamos.

Um problema maior é o fato dos hackers Aurora serem capazes de acessar dados a partir de um pequeno número de máquinas, ele disse. “A maior parte dos engenheiros tem acesso maior do que precisam”, afirmou.

Com acesso aos sistemas de código fonte, criminosos podem alterar softwares ou acessar mecanismos de maneira não convencional. Ou então eles podem simplesmente baixar o código para analisar em busca de bugs. Qualquer um desses cenários é assustador, segundo especialistas em segurança.