A recente notícia de que o código-fonte XP foi disponibilizado ao público foi recebida com respostas variadas. Compreensivelmente, algumas pessoas assumem que ele está fora de suporte há tanto tempo que não importa. No entanto, há algumas formas chave que esta exposição pode ter um sério impacto.

Primeiro, há o risco de verticais críticas

Esta notícia fez-me pensar sobre o problema que ainda persiste relacionado com os sistemas operacionais em fim de vida que permeiam diferentes sectores. Enquanto a quota de mercado global das máquinas Windows XP é de apenas 0,82%, no entanto essa proeminência aumenta em certos segmentos da indústria – incluindo máquinas ATM e dispositivos médicos.

Então, enquanto me sentava para escrever isto, fui procurar amigos nos setores financeiro e de saúde para pesquisar um pouco mais sobre o assunto. Embora a resposta ideal para, “Quantas máquinas ATM e dispositivos médicos ainda estão rodando Windows XP?” fosse 0%, a realidade não é tão simples assim.

Em 8 de abril de 2014, a Microsoft terminou o suporte padrão para Windows XP. Na época, o Payment Card Industry Security Standards Council (PCI SSC) estimou que 95% dos caixas eletrônicos do mundo estavam rodando Windows XP, e assim a migração começou para o Windows 7. A Trend Micro Research e a Europol exploraram ainda mais os riscos de segurança cibernética para máquinas ATM em 2017.

Adiante 6 anos até 14 de janeiro de 2020, quando a Microsoft tornou efetivo o fim de vida útil (EoL) do Windows 7. Estima-se que a mudança afetará 85% dos mais de 3,5 milhões de caixas eletrônicos rodando os sistemas operacionais da Microsoft globalmente. Desta vez, porém, a atualização exigirá que os implantadores de ATMs atualizem tanto o software quanto o hardware. O custo dessa atualização para instituições financeiras e implantadores de ATMs é alto, tanto em termos de gastos reais quanto com seus recursos gerais para suportar uma mudança tão generalizada.

De acordo com aqueles com quem falei, a exposição estimada dos ATMs ainda rodando Windows XP mesmo depois de 6 anos é de aproximadamente 25%. Por estimativa aproximada, isso poderia ser mais de 750 mil máquinas no mundo todo, resultando em um risco considerável.

Por causa dos custos significativos de versionamento dessas máquinas, alguns no setor financeiro estão exigindo os sistemas operacionais Windows. Isso pode aliviar o custo e a carga de atualização dos ATMs a cada poucos anos, mas não resolve o risco de ataques aos ATMs. Ainda neste verão, Diebold lançou um alerta descrevendo uma nova campanha de jackpot em que os criminosos cibernéticos estavam alavancando uma caixa preta conectada para enviar comandos de distribuição ilegítimos que potencialmente incluíam partes proprietárias da pilha de software do Diebold. Seja seu Windows, Linux, ou mesmo uma pilha proprietária, o custo ao longo do tempo de não atualizar o software é muito maior do que a transição inicial, tanto em termos de exposição quanto de risco.

Na saúde, a exposição é muito maior, e francamente o risco também é. Uma grande parte dos dispositivos de imagem expostos conectados à Internet em hospitais nos EUA e em sistemas operacionais globalmente ultrapassados, de acordo com o relatório Trend Micro Research em 2017.

Os dispositivos médicos rodando Windows XP incluem máquinas que fazem raios-X, MRIs, mamografias e tomografias computadorizadas. O risco torna-se tangível quando o acesso a esses dispositivos é interrompido, degradado ou negado.

Também há risco além de indústrias críticas

Embora o risco para indústrias e máquinas críticas seja alto, não é a única área de risco que o Windows XP ainda representa. Há duas outras maneiras que a exposição ao código fonte pode ter um impacto mais amplo.

1. Algumas partes do mundo ainda dependem muito deste sistema operacional. Apesar do fim do suporte, o Windows XP prevalece em alguns mercados globais. Isto cria um grande alvo para os criminosos cibernéticos que procuram uma vitória rápida.
2. Os sistemas legados do Windows XP ainda existem no Windows 10. Os criminosos cibernéticos poderiam procurar por bugs XP nesses códigos legados que ainda estão sob suporte, criando uma cadeia de exploração viável que funcionaria nos sistemas operacionais modernos.

Dustin Childs, gerente de comunicação da Trend Micro’s Zero Day Initiative, disse isso sobre o possível impacto:

“Neste momento, os desenvolvedores de exploração provavelmente estão despejando através do código procurando por bugs que eles podem usar contra os sistemas operacionais modernos. No entanto, não é uma tradução de 1 para 1. Sistemas operacionais modernos têm atenuações adicionais que tornam a exploração mais difícil. É outra razão pela qual você deve atualizar para o sistema operacional mais recente para se beneficiar das novas características defensivas.”

Atualizações nunca são simples. A revisão de um ambiente de negócios típico para executar um novo sistema operacional requer um aumento significativo e orçamento. Multiplique isso na escala de um governo, sistema hospitalar, fábrica ou ATMs globalmente dispersos, e você enfrenta um problema que muitos são incapazes de resolver.