Estudo do IEEE e USP visa a aumentar a Segurança em equipamentos

Um estudo desenvolvido por pesquisadores do Instituto dos Engenheiros Elétricos e Eletrônicos (IEEE),  organização profissional técnica dedicada ao avanço da tecnologia para a humanidade, e dos professores da Escola Politécnica da Universidade de São Paulo (USP), busca garantir mais segurança para equipamentos de computadores. O objetivo é proteger softwares e hardwares contra possíveis ataques realizados por alguma entidade maliciosa que possa atuar na cadeia de suprimentos – desde o momento em que o software/hardware é produzido até seu uso por corporações privadas e organismos públicos.

“A pesquisa pretende identificar vulnerabilidades ‘silenciosas’ em artefatos de hardware e software, e criar ou melhorar as ferramentas de segurança existentes para prevenir ou, ao menos, mitigar ataques realizados por agentes maliciosos na cadeia de suprimentos”, afirma Marcos Antônio Simplício Junior, membro do IEEE.

Um dos trabalhos desenvolvidos pelos pesquisadores para a segurança dos softwares busca identificar trechos suspeitos de serem “portas dos fundos”, ou seja, porções de código que possam ser usados pelo desenvolvedor que o inseriu para realizar alguma ação não autorizada. Um exemplo simples consiste na inclusão de uma senha mestre no software, o que permitiria ao atacante acessar contas de terceiros no sistema a qualquer momento.

Outro exemplo são funcionalidades indevidas, como a capacidade de alterar informações de um usuário diretamente no banco de dados para aumentar o saldo de sua conta. “O objetivo é fazer com que, se houver uma atividade suspeita, o gestor de segurança poderá ser prontamente avisado”, afirma.

Em relação a equipamentos de hardware, ao inserir um dispositivo de captura de dados junto aos chips de memória ou controladora de disco de um computador, o atacante poderia obter senhas e outras informações sigilosas de dentro do próprio computador, “acompanhando” o usuário de forma ilegal.

“Há um esforço de pesquisadores internacionais para a construção de mecanismos de proteção de peças de hardware para que componentes maliciosos não consigam se comunicar com dispositivos válidos no sistema, usando protocolos de proteção padronizados entre diversos fabricantes”, ressalta. Para Simplício, a ideia é trazer a segurança cibernética que observamos na internet também para dentro do computador.