APIs zumbis são pega-traças em seu sistema
Você tem uma peça antiga em seu guarda-roupa. Entretanto, está ali, esquecida, levada à categoria “moda obsoleta”. Antes, servia para otimizar o visual com outra peça. Ou, no caso de cintos e lenços, conectava melhor uma peça a outra. APIs zumbis em seu dispositivo não são diferentes.
A peça no guarda-roupa, ao perder sua função principal, adquire outra. Isto é, se torna atrativo para pragas, sendo um verdadeiro pega-traças. Dali, esses insetos podem seguir para outras peças do guarda-roupa e infestar todo o sistema.
Os chamados APIs zumbis têm essa função e você vai compreender isso mais abaixo. Antes, é preciso esclarecer direitinho o que são APIs.
Afinal, o termo é recorrente no universo de desenvolvedores, mas nem todos os usuários de dispositivos sabem o que são. Nem têm obrigação de saber, em princípio.
Por outro lado, você vai saber também como se proteger dessa zumbizada.
Nota: há uma diferença entre API zumbi e API não autorizada. A Prensa vai publicar matéria sobre esse segundo tipo de programa em breve.
Você tem e talvez não saiba
Algumas cenas de filmes sobre zumbis comedores de cérebro são emblemáticas. Mostram que as pessoas não percebem que o indivíduo ao lado é um zumbi. Essas cenas são emblemáticas porque retratam parte da realidade atual.
Muitas empresas e cidadãos podem nem saber que há APIs em seus sistemas. Afinal, no caso de empresas, adquirem programas e sistemas de terceiros para facilitar processos internos. Quanto a cidadãos, instalam com constância joguinhos e aplicativos aparentemente necessários para outras utilidades.
Ainda: grandes empresas de tecnologia fazem atualização automática em seus programas. A instalação de novas versões é ou sugerida para usuários, ou feita sem que ele saiba. Junto, lá vão APIs para dentro do dispositivo.
Com o tempo, esses programinhas se veem velhos, antiquados. Mas não são excluídos. Assim, ou não se sabe que eles estão lá ou se pensa que são inofensivos.
Como você vai perceber, é exatamente aí que o perigo habita. No fim das contas, invasores criminosos se aproveitam dessa desatenção.
APIs e APIs zumbis
Há um bom tempo, os programas de computadores - e posteriormente de celulares - eram criados de maneira linear. Ou melhor, suas linhas de comando não tinham “saltos”. Cada instrução gerava outra ou recebia “ordens” de outra internamente, dentro do próprio programa.
Então, um desenvolvedor precisava “fechar todas as possibilidades” de efeitos. Com isso, buscava evitar conflitos internos, os chamados “bugs” ou “travamentos”.
Com essa ação, os programas eram enormes, com milhares de linhas de comandos. Quanto mais linhas, mais possibilidades de conflitos.
Além disso, o desenvolvimento de programas precisava centenas de horas, o que era bem estressante. Isso se dava até mesmo com os programas mais simples.
Eram como uma longa estrada sem atalhos.
APIs são atalhos abertos; APIs zumbis são fechados
O termo em si é sigla em inglês para Application Programming Interface. Este site, Prensa, tem vários artigos publicados sobre elas. E “atalho” é a ideia mais apropriada para a definição.
Imagine um programa enorme; ele é feito de “blocos de comandos” com determinada função. A depender do objetivo, vários desses blocos são acionados muitas vezes.
A função da API é assumir as atividades desses blocos. Assim, já estando prontas no mercado, basta o desenvolvedor adaptá-las a comandos específicos. E um programa inicialmente extenso pode lançar mão de várias APIs.
Veja aqui por que uma empresa deve investir em APIs.
Com isso, horas e horas são economizadas, o que deixa o programa com menor valor e, portanto, mais acessível. Nesse sentido, APIs são atalhos intensamente úteis, eficazes e eficientes.
Bem, até que o tempo os torne obsoletos e os transforme em atalhos fechados. Ou seja, completamente inúteis. Pior que isso, pois ocupam espaço no dispositivo e ainda podem se tornar grandes portas de acesso a programas mal intencionados.
Por isso, são chamados de APIs zumbis.
APIs zumbis e os hackers
Há no mercado tipos bem diferentes de APIs zumbis. Afinal, esses blocos de comandos independentes existem há pelo menos duas décadas. É de se esperar que muitos se tornem verdadeiros elefantes na sala.
Entretanto, qualquer que seja o tipo ou função, todas as APIs zumbis compartilham um traço específico: não são mais gerenciadas por seus criadores. Assim, estão obviamente desatualizadas, não são confiáveis; portanto, são necessariamente dispensáveis.
APIs zumbis estão para hackers como traças em guarda-roupas estão para outros tecidos. São atrativos constantes. Afinal, APIs zumbis, ao serem engolidas pela evolução da tecnologia, deixam de ser úteis.
Assim, permanecem inativas para o dispositivo, mas altamente propícias a hackers. Estes vivem à procura de APIs zumbis para distorcer suas funções iniciais. Elas deixam o sistema muito mais vulnerável a ações mal intencionadas.
A Salt Security é empresa voltada à segurança de APIs; segundo analistas desse mercado, a corporação é líder há anos. Ela emitiu um relatório há poucos meses que alarmou esse mesmo mercado. Veja a seguir.
Campo adequado para hackers
Este artigo da Prensa oferece uma série de dicas de proteção. Veja lá.
Especialistas na Salt identificaram aumento de 348% nos ataques de APIs nos primeiros meses de 2021. Ainda: quase 95% dos CEOs que responderam à pesquisa disseram ter sofrido alguma espécie de ataque por APIs nos 12 meses anteriores.
Veja, esses dados terríveis não se referem às APIs zumbis em si, mas a outras APIs que aproveitam da presença delas. Ainda: a previsão é que metade das APIs atuais deixe de ser gerenciável nos próximos meses.
Nesse cenário, significa que muitos APIs vão se tornar APIs zumbis nos próximos meses. Ou seja, campo fértil para hackers e outros criminosos cibernéticos.
Os hackers se beneficiam de APIS zumbis de muitas maneiras. Dentre essas, há duas mais comuns.
Roubo de identidade: assumem a identidade de algum usuário com bom nível hierárquico numa empresa, capaz de acessar dados de uma rede de clientes.
Injeção de outra API: hackers podem criar APIs que “conversem” com APIs zumbis. Assim, o criminoso inclui códigos maliciosos e consegue executá-los diretamente no servidor. Para isso, lança mão de blocos de SQL, XSS e outros esquemas
Um dos maiores perigos
Você está notando até aqui e vai confirmar mais abaixo que APIs zumbis são fortes fontes de insegurança digital. Dessa maneira, representam perigo especialmente para corporações que cultivam centenas de milhares de clientes conectados a seus sistemas.
A mídia é plena de notícias a respeito de sobrecargas de sistemas. Quando um aplicativo importante é lançado no mercado - algo como e-título e formulários de matrícula no Enem -, geralmente os usuários não conseguem acessá-lo nos primeiros dias de operação.
Isso é normal. Contudo, em muitos casos, houve o chamado código de negação de serviço (DDoS). O criminoso vasculha o sistema, encontra uma API zumbi adequada e inclui seu próprio código de comando de solicitação de acesso.
A partir de então, o hacker gera milhares de acessos por minuto para estrangular o sistema. Muitas vezes, é grande a chance de o hacker não ter qualquer vantagem financeira com essa ação; entretanto, seu ego é alimentado e seu orgulho se torna avantajado perante seus comparsas.
Como APIs se tornam zumbis
Uma API se converte em zumbi por uma série de motivos, um deles já foi mencionado acima:
evolução da tecnologia, mais particularmente das linguagens de programação;
versões antigas de APIs podem ser substituídas por novas;
arquiteturas de programação diferenciadas que dispensam APIs já existentes no mercado - como elas já estavam no dispositivo, ali permanecem;
desenvolvedores precisariam de mais linhas de programas para identificar uma API obsoleta;
APIs vencidas podem ser necessárias em situações raras após substituídas; então, os desenvolvedores as deixam lá ao deus-dará;
APIs podem ter sido instaladas como instrumento de testes. Contudo, por não corresponderem adequadamente ao objetivo inicial, são “esquecidas” no sistema.
Descubra seus zumbis
Como você viu, esses blocos antes funcionais que perderam seu propósito são perigosos. É preciso se livrar deles, pois a possibilidade de que causem danos é grande.
E danos não apenas operacionais, como travamento ou perda parcial de dados. Esses danos podem estar ligados diretamente à segurança de dados. Afinal, APIs zumbis são amigos de criminosos. Assim, é evidente que o usuário deve tomar ação assertiva de autolivramento de percalços, de prevenção de problemas.
A primeira ação eficiente é promover inspeção das APIs instaladas. A Nordic APIs elencou algumas questões que podem ajudar muito nesse processo. Algumas delas são destinadas a empresas e corporações.
Afinal, se APIs zumbis já são danosas para cidadãos, imagine como podem ser destrutivas para organizações. Nesse horizonte, as empresas devem levantar respostas contundentes quanto a:
Exposição exagerada de dados aparentemente comuns;
Nível de facilidade ou dificuldade de acesso de usuários;
Criptografia e política de segurança internas eficientes ;
Colaboradores, parceiros e terceirizados realmente confiáveis;
Importância ou não dos dados coletados ou oferecidos.
Quanto à preocupação do cidadão, há ferramentas realmente úteis no mercado capazes de “limpar o sistema”.
Zumbis nas grandes
Não importa o tamanho da empresa; sendo usuária de tecnologia, está sujeita a ter uma ou muitas APIs em seus processos. Isso ocorre especialmente em empresas envolvidas em produção de tecnologia da informação. Assim, seja a empresa do Zé da Esquina ou o Google, ela consome APIs.
A equipe do site API Mike se diz formada por especialistas “extremamente experientes, conhecedores e enraizados no mundo da API Security”. Ela garante que muitas grandes empresas mantêm seus programas e sistemas alimentados por APIs.
Além disso, essas APIs têm grande chance de estar descontinuadas justamente por compor processos grandes, complexos. Afinal, quanto maior a empresa, maior é o fluxo de necessidades de conversão de mercados a suas ofertas. Isso praticamente as obriga a assumir atualização constante.
Alguns exemplos
→ O Yahoo!
As informações sobre clima no Yahoo! foram e são buscadas por milhares de usuários ao redor do mundo. O que a esmagadora maioria desses usuários não sabe é que elas, as informações, são otimizadas por blocos de comandos, ou seja, APIs.
O fato é que essa API foi descontinuada no início de 2019. No entanto, muitas outras APIs mundo afora continuam a se conectar ao Yahoo! Tempo. Sabe-se lá o que podem fazer com as informações coletadas.
→ O Google
Ainda segundo o API Mike, a API do Google Maps foi paralisada no primeiro trimestre de 2019. O problema é que muitos desenvolvedores independentes fizeram que permanecesse ativa com objetivos dos mais diversos; alguns deles preocupantes.
→ O Twitter
A suspensão de uma API do Twitter é ainda mais antiga, data de meados de 2013. Ainda assim, desenvolvedores também independentes continuam a buscar dados importantes naquela API.
Pix zumbi
Em fevereiro deste ano, o setor de economia do UOL divulgou que mais ou menos 300 instituições financeiras foram afetadas por invasão de hackers. Elas têm funções ligadas diretamente no sistema Pix, o que fez os efeitos da invasão chegarem a mais de 160 mil clientes.
Tudo indica que a invasão se deu a partir de falhas de segurança numa das APIs da empresa contratada pelo Banco Central. Não há certeza de que tal API esteja na categoria zumbi; entretanto, o sistema Pix não é novo, apesar de estar no mercado há pouco menos de um ano.
Dessa maneira, tem-se impressão de que não tenha havido tempo para que APIs se tornem obsoletas. Por outro lado, sabe-se que o sistema entrou em planejamento há mais de 5 anos. Nesse caso, sim, é tempo suficiente para que muitos pequenos programas que compõem o todo tenham sido atualizados.
Então, é isso. A tecnologia da informação tem favorecido as sociedades com cada vez maior eficiência. O problema é que nada é perfeito.
Este artigo foi escrito por Serg Smigg e publicado originalmente em Prensa.li.