Vulnerabilidade nos Softwares

Na realidade, até certo ponto, às vezes, subestimamos quão vulnerável o software realmente é, ou pelo menos seu impacto no mundo real. Os principais provedores de software, hardware ou serviços tem aprendido a reparar de forma exagerada; ou seja, os pacotes mensais de inumeráveis patches em geral incluem alguns cuja importância é em grande medida teórica e/ou apenas afetará a poucas pessoas.

Por outro lado, os fãs de outros sistemas operativos tendem a subestimar a insegurança de um sistema operacional popular devido a suposta segurança do sistema operativo de sua preferência. Isso se deve em parte ao fanatismo geral e ao efeito de halo (quem está a favor de um sistema operacional, em geral, tende a minimizar suas debilidades em áreas específicas), também é encorajado pelas peculiaridades da interpretação de dados.

Por exemplo, a segurança de um sistema operacional, às vezes, diretamente proporcional a quantidade total anual de patches que requer (sob a suposição de que quanto mais frequente requerem a instalação de patches, mais vulnerável será). No entanto, também se pode sugerir que, como todos os sistemas operacionais complexos precisam patches a medida que se descobrem novos erros e aparecem novos exploits, a instalação frequente de patches na realidade é uma medida de diligência profissional e não de insegurança. De fato, o número de variáveis que intervém na metodologia, a eficácia e o desempenho dos patches faz com que qualquer dos pontos de vista pareçam simples demais.

Na realidade, o impacto preciso das vulnerabilidades que se podem corrigir com um patch é difícil de determinar. É certo que existem casos de alto perfil onde o malware aproveita as vulnerabilidades CVE: Stuxnet é um exemplo particularmente relevante, embora o uso de múltiplas ameaças 0-day sejam pouco frequente, e no geral, se vê como um subproduto do seu objetivo principal que é atacar sistemas específicos de alto valor. Este valor se considera em termos de importância política e militar, ao invés de valor monetário.

No entanto, grande parte (ou talvez a maioria) dos malware não dirigido parece depender principalmente da Engenharia Social, embora os exploits já conhecidos, às vezes, continuam sendo usadas como ameaça secundária, com a esperança de encontrar vítimas cujos sistemas não foram atualizados. No entanto, isso não significa que os usuários devem pensar que o malware digital “não é seu problema”.

Além do risco de danos colaterais aos sistemas que não coincidem com o perfil de destino, os atacantes frequentemente aproximam-se sigilosamente de um objeto de alto valor, utilizando um sistema de destino de menor valor como canal. Todo o malware é dirigido: em última instância, o que varia é o tamanho da população e à que se dirige.