publications Alexandre Freire
Especialista Sênior em Segurança da Informação
Professor convidado do curso de Pós-Graduação em Gestão de Segurança da Universidade Federal do Rio de Janeiro (Núcleo de Computação Eletrônica)

Último Segundo / O DIA

Alerta de falhas - fins justificam os meios ?

Por Cristina de Luca

Como se faz um alerta de bug ou falha de segurança? Existe um procedimento padrão? Segundo especilistas, como Alexandre Freire, da Schlumberger Information Solutions, é praxe o grupo de pesquisa ou indivíduo que descobre uma vulnerabilidade enviar um relatório detalhando o problema para a lista BugTraq, hospedada no site http://www.securityfocus.com. Ela é acessada por hackers, especialistas de segurança e equipes das principais empresas de TI que, quando alertadas de falhas em seus sistemas emitem um parecer chamado de “Security Advisor”.

Após a publicação do “Security Advisor” os fabricantes informam que reconhecem publicamente a falha e que estarão trabalhando em um patch para correção do problema. O lançamento do pacote de segurança é divulgado na forma de um Security Bulletin com as informações completas do furo, além dos links para download.

O próprio Vinicius k-Max, que nesta virada de ano seqüestrou diversas comunidades do Orkut, reconhece o procedimento em e-mail enviado ao Marlos, autor da reportagem publicada ao lado.

“ (...) os meios politicamente corretos e simpáticos de se mostrar falhas de segurança simplesmente não funcionam. A Bugtraq (na Ssecurity Focus) é a maior prova disso. A maioria das falhas de segurança é postada publicamente lá, inclusive com demonstrações práticas de como explorá-las (as famosas exploits). Esse tipo de atitude, apesar de ainda muito criticada, quase que obriga as empresas à correrem atrás da correção dos problemas o mais rápido possível. Se um bug existe mas ele não é divulgado, não é explorado, parece haver uma vista grossa ou preguiça das empresas que tiveram seus produtos afetos em fornecer rapidamente uma correção.”

O pecado de Vinicius k-Max? Ter recorrido a um site de baixa credibilidade e aceitado a sugestão de criar a dúvida do “boato” para, como ele mesmo diz, “pôr lenha na fogueira”. Para ele, certamente, os fins justificam os meios. Os donos das comunidades usurpadas discordam.

Até mesmo a jogada de marketing do site de humor co-autor da denúncia suscitou mais raiva e críticas, que aplausos. De todo o modo, o epsódio serviu, e muito, para provocar reflexões. A mais grave, a meu ver, continua a ser a arrogância ou negligência da empresas, de qualquer porte, sobre as falhas encontradas em seus produtos, corretamente reportadas.

Reprodução Oficial - Fonte : Jornal O Dia / Último Segundo (impresso e digital)

http://odia.ig.com.br/info/in120110.htm

RETORNAR PARA PÁGINA PRINCIPAL