Rahul Kashyap, pesquisador da McAfee, publicou no blog do Avert Labs um comentário criticando a TippingPoint, da 3Com, por patrocinar a competição de segurança Pwn To Own da conferência CanSecWest. O patrocínio se deu por meio do Zero Day Initiative [ZDI], um programa que recompensa pesquisadores de segurança pelas novas vulnerabilidades que encontram.

A crítica é fundamentada em uma análise do Gartner, que afirmou que competições, como a Pwn To Own, criam riscos desnecessários à segurança da Internet. A competição expôs uma brecha no QuickTime e o ZDI pagou 10 mil dólares por informações exclusivas da falha, descoberta pelo pesquisador Dino Dai Zovi.

A principal reclamação do Gartner é que este tipo de competição não é compatível com o responsible disclosure, o método de divulgação de vulnerabilidades onde o pesquisador deve esperar que a empresa divulgue uma correção antes de publicar detalhes técnicos sobre a falha.

Se o Gartner quiser ter razão, no entanto, precisará de outro exemplo, já que nenhuma informação técnica da falha foi liberada antes de um patch ser lançado pela Apple. Boatos circularam dizendo que algum participante da conferência poderia ter capturado o código malicioso, mas os organizadores da competição negaram que isto fosse possível e o boato não se confirmou.

O fato da mídia saber da existência de uma vulnerabilidade não significa que há informações suficientes para que criminosos consigam tirar proveito dela. Até mesmo a empresa de consultoria eEye divulga informações limitadas das brechas que a empresa encontrou e que ainda não foram corrigidas. E ninguém nega que a eEye seja fiel ao responsible disclosure.

Se a competição não tivesse sido realizada, a falha no QuickTime ainda existiria e não haveria correção disponível. Mesmo que a falha tivesse sido descoberta de outra forma, é possível que ela não tivesse sido corrigida rapidamente e um pesquisador de antivírus poderia ter a surpresa de encontrar um website tirando proveito da falha, como ocorreu com a brecha no processamento de ANIs.

Só porque não sabemos de uma vulnerabilidade não quer dizer que ela não exista. São necessários incentivos para que pesquisadores de segurança possam descobrir as falhas e ter a certeza de que elas serão corrigidas. Não é o que acontece. Algumas empresas não se importam com as falhas de segurança e existem leis que podem permitir que as empresas processem os pesquisadores.

Por mais que programas como o ZDI da 3Com e o VCP da iDefense sejam criticados (e com razão), eles oferecem uma opção segura para os pesquisadores. Os especialistas são pagos pelas suas descobertas e podem deixar que as empresas entrem em contato com os desenvolvedores. Teríamos um problema se estas empresas fossem irresponsáveis, mas isto só os próprios pesquisadores é que podem avaliar.

Comentários no blog da McAfee (e outros que trataram do tema) estão mudando de assunto para falar sobre a polêmica do pagamento pelas vulnerabilidades. Entretanto, este não foi o motivo da crítica, nem a afirmação da análise do Gartner — que sugeria que não fossem realizadas novas competições de segurança.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.