Vergonha para humanos? IA encontra 12 falhas no OpenSSL que ninguém viu desde 98

O OpenSSL é um padrão de segurança que protege a maior parte da internet, sendo revisado por pesquisadores constantemente para evitar falhas. Um estudo da empresa de cibersegurança Aisle descobriu, recentemente, 12 vulnerabilidades no código da ferramenta com a ajuda de inteligência artificial: algumas delas, com mais de uma década, passaram despercebidas do olhar humano.

• Qual a diferença entre HTTP e HTTPS?
• O que é uma vulnerabilidade de dia zero (Zero-Day)?

As falhas, categorizadas com CVEs, vão de severidade alta a moderada, com algumas variantes de baixa severidade. Entre as mais críticas, estão vulnerabilidades que permitem o transbordamento de buffer, levando a execução remota de códigos, e falta de validação que pode levar ao mesmo problema, mas baseado em empilhamento (stack).

OpenSSL, bugs e IA

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Os problemas de baixo risco no OpenSSL vão de falhas de encriptação a corrupção e exaustão de memória, bem como crashes em processos da ferramenta. Algumas das vulnerabilidades, segundo a Aisle, já estavam no sistema desde 1998, passando batidas pela detecção manual de falhas por olhos humanos.

O OpenSSL é uma das ferramentas mais populares para implementar protocolos TLS e SSL na segurança de sites: se você já visitou um website com url HTTPS (a maioria, atualmente, tem essa característica), a chance da encriptação e proteção da página ser feita com OpenSSL é alta. A Aisle já lançou correções para os problemas identificados pela pesquisa, em parceria com a OpenSSL.

De acordo com os pesquisadores responsáveis pelo achado, o kit de IA usado consegue detectar contexto e entender o código analisado, ajudando na detecção de ameaças e vulnerabilidades, até mesmo gerando uma pontuação de prioridade para evitar falsos positivos.

A indústria da cibersegurança tem visto um aumento no uso de IA para aumentar a efetividade da segurança dos sistemas, especialmente no combate a ameaças digitais que também já usam inteligência artificial. No mínimo, as ferramentas automatizadas conseguem realizar o trabalho de revisão de falhas mais rapidamente do que o esforço manual humano.

Leia também:

• Explosão de vagas: Cibersegurança cresce 200% e supera vagas de barista
• Nada mais é seguro: Hackers usam e-mail legítimo da Microsoft para aplicar golpe
• Loja vende malwares "sob medida" para roubar dados do Google Chrome

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: Aisle