[Segurança] Atualizar sistemas nem sempre é possível

A recente infestação massiva do ransomware WannaCry (ou "ransomworm", se preferir) trouxe a tona, novamente, a discussão de que as empresas devem manter seus sistemas sempre atualizados. De fato, para se propagar e infectar máquinas em todo o mundo, o WannaCry explorava uma vulnerabilidade corrigida pela Microsoft 2 meses antes. Assim, quem estava com uma versão atual do Windows, com update automático ativado, e funcionando nada sofreu. Os problemas desse tipo normalmente ocorrem com mais frequência em computadores com Sistema Operacional antigo ou pirata, que não tem suporte nem atualização.

A atualização dos equipamentos (sistemas operacionais e aplicações) é a primeira exigência que vem à mente quando discutimos as recomendações básicas de segurança. Mas, como lembrou um artigo no portal CSO Online, "Patching não é uma bala de prata" pois nem sempre uma empresa pode atualizar todos os seus sistemas nem consegue fazer isso rapidamente.

Em vez de criticar cegamente as empresas que mantém sistemas desatualizados, é importante primeiro entender o porquê várias empresas tem restrição para aplicação de patches.

As principais razões para as empresas não atualizarem seus sistemas costumam ser as seguintes;

• Uso de "appliances": Diversas empresas fornecem equipamentos que são um "bundle" (uma "caixa preta") pré-configurada de hardware e software, e as empresas que os utilizam acabam tendo controle limitado sobre suas configurações e atualizações. A propósito, estes "appliances" são muito comuns no mercado de equipamentos de redes e de segurança. Muitos destes appliances rodam versões customizadas do Linux, e os fabricantes acabam sendo displicentes com as atualizações, de forma que nem sempre as atualizações para os appliances acompanham as atualizações no sistema operacional;
• Uso de sistemas especializados: isso acontece com muita frequêcia em sistemas de automação, sistemas industriais ou sistemas de instrumentação, onde os equipamentos funcionam por muitos anos, e muitas vezes sem nenhuma parada ou manutenção. Tais sistemas tem poucas atualizações, e assim os computadores permanecem desatualizados por simples falta de opção. Nesses tipos de equipamento também não permitem atualizar o Sistema Operacional nem tem possibilidade de instalar algum software adicional de proteção (como, por exemplo, instalar um anti-vírus). Qualquer tipo de atualização ou manutenção não aprovada pelo fabricante do equipamento pode fazer com que o equipamento pare de funcionar, causando grandes prejuízos operacionais e financeiros;
• Uso de sistemas legados e antigos: Um problema comum em grandes empresas é que elas possuem aplicações que rodam há muitos anos, e que há muito tempo deixaram de ser fabricadas e mantidas pelas empresas que os criaram. Ou essas empresas nem existem mais. Como uma atualização no sistema operacional pode causar incompatibilidade com o software e parar a aplicação, as empresas viram reféns, e a única solução seria coprar um novo sistema equivalente e aposentar o antigo. Mas aí nesta hora também surgem necessidades de compatibilidade do novo sistema com os dados armazenados no sistema antigo. ou seja, vira um problema tão grande que as empresas preferem manter o sistema velho funcionaneo do jeito que está, do que tentar colocar algo novo e mais seguro;
• Necessidade de compatibilidade com a aplicação: a grande maioria dos sistemas que rodam em servidores (desde bancos de dados a aplicações específicas) possuem uma lista de sistemas operacionais para os quais foram homologados pelo fabricante do software. Consequentemente, a área de TI só pode atualizar o sistema operacional ou instalar um patch no servidor se essa atualização for previamente homologada pelo fornecedor do sistema ou software que roda naquele determinado servidor. Infelizmente, essas homologações do fabricante de software podem demorar meses ou acontecer raramente. eu acredito que este é provavelmente um dos grandes impeditivo para qualquer atualização em servidores;
• Empresas com grande quantidade de servidores e equipamentos: Quando a empresa tem dezenas, centenas ou milhares de equipamentos para atualizar, o processo de atualização pode durar dias ou até mesmo meses. Isso porque quanquer atualização tem que ser monitorada, testada e, muitas vezes, realizada em horários específicos, para não impactar na operação do dia-a-dia. Engana-se quem pensa que uam atualização em servidores pode ser aplicada do dia para a noite. Há necessidad ede planejamento, coordenação e aprovação de várias áreas. pense também que o processo de atualização pode demorar alguns minutos ou horas, e multiplique isso pela quantidade de servidores da sua rede. Voilá, de repente uma instalação de um patch em 100 servidores pode demorar algumas semanas;
• "Freezing" do ambiente de TI: É comum que empresas "congelem" o seu ambiente de tecnologia em determinados momentos, normalmente associados a épocas críticas ao negócio (como, por exemplo, datasde grande processamento de pedidos ou nas festas de final de ano, quando vários funcionários entram em férias). Durante esses períodos, não é permitida qualquer modificação no ambiente: nem a inclusão de novos serviçod ou equipamentos, nem é permitida a modificação ou atualização dos servidores existentes. Se esse períuodo coincidor com o lançamento de um novo patch, provavelmente sua instalação será postergada para após o término do período de "freezing".

Não é a tôa que o ataque do WannaCry conseguiu atingir justamente empresas de grande porte, com milhares de computadores, locais ou instalações com baixa visão de segurança (por exemplo, órgãos públicos) ou lugares que costumam ter equipamentos desatualizados (como pode ter sido o caso dos hospitais no Reino Unido).

Há pouco tempo atrás o Fernando Mercês publicou um vídeo bem interessante sobre este assunto:

Quando não há possibilidade de manter seus equipamentos atualizados, a alternativa é manter esses equipamentos em redes específicas, separadas da rede corporativa principal, e isoladas da Internet, usando, por exemplo, equipamentos de firewall para criar esta rede segregada.