Se você tem alguma dúvida sobre segurança da informação
(antivírus, invasões, cibercrime, roubo de dados etc), vá até o fim da
reportagem e utilize a seção de comentários. A coluna responde perguntas
deixadas por leitores todas as quintas-feiras.
Uma das discussões que mais divide opiniões em segurança de sistemas é
a forma pela qual uma falha deve ser divulgada. Há quem diga que isso
deva ocorrer imediatamente, sem que os programadores do software sejam
avisados antes – a chamada “revelação total” (“full disclosure”, em
inglês); há quem diga que nenhuma informação deve ser divulgada antes de
uma correção estar disponível. O Google tem uma postura em relação a
isso: 60 dias para uma falha qualquer, e apenas 7 dias para uma brecha
que está “sendo explorada”.
Com essa postura, o Google toca no calcanhar de Aquiles dos produtos
tradicionais: a demora na disponibilização e aplicação de correções de
segurança.
Os dois prazos são um tanto apertados, mas o de 60 dias é mais
flexível, sendo apenas uma “recomendação”. Quanto aos que estiver “sob
ataque”, este parece não ser negociável – a empresa responsável pelo
software vulnerável deve divulgar um alerta, aviso ou outra forma de
orientação em até sete dias. Caso não o faça, o Google pretende divulgar
a informação do ataque.
O que é uma brecha “sob ataque”? Existem dois tipos de ataque: um
deles é focalizado, específico; outro é massivo, buscando atingir o
maior número de vítimas possível. Lidar com esse primeiro tipo de ataque
é mais complicado, porque se trata de uma vulnerabilidade que apenas um
pequeno grupo de invasores conhece. Liberar detalhes técnicos nesse
caso pode não ser benéfico. O Google deverá considerar isso no futuro.
Apesar das recomendações do Google, um pesquisador da empresa, Tavis Ormandy, publicou um código para explorar uma brecha no Windows que permite a qualquer usuário
obter o controle total do sistema. Isso permite que um vírus executado a
partir de um usuário limitado ganhe acesso administrativo sem precisar
da permissão do “Controle de Contas de Usuário”.
Ormandy não fez a publicação da falha em nome do Google, mas como
pesquisador independente. Em outra ocasião, em que fez a mesma coisa,
ele afirmou que as ações dele não tem relação com o Google. Para a
Microsoft, as ações do pesquisador deveriam refletir os valores da
empresa.
Ver mais em http://g1.globo.com/platb/seguranca-digital
Nenhum comentário:
Postar um comentário