A McAfee renomeou o Hacker Safe, principal produto da ScanAlert, uma empresa adquirida pela gigante por 50 milhões de dólares em outubro do ano passado. A ferramenta, que agora chama-se McAfee Secure, exibe nos websites que contratam o serviço uma figura que certifica que os mesmos são seguros com o texto “Hacker Safe”. No Brasil, o nome usado é Site Blindado.
Ao clicar na imagem exibida pelos sites é possível ver uma página que diz que, se o site tem o selo, você pode comprar “tranqüilo”. Porém várias críticas tem sido direcionadas ao serviço desde que websites “protegidos” foram comprometidos.
Protegido contra hackers?
Parece que não
Para exibir o selo, o site do cliente é primeiro examinado pelo McAfee Secure, que encontra brechas no servidor e nas páginas do site. Ou, pelo menos, tenta. Se nenhuma vulnerabilidade é encontrada, o website pode exibir uma imagem que diz “Site Blindado”, “Hacker Safe” ou “McAfee Secure”. O problema é que brechas ainda existem mesmo que não detectadas pela ferramenta, o que significa que usuários dos websites que fazem uso do serviço estão sendo simplesmente enganados.
As críticas mais recentes são relacionados ao fato de que diversas brechas de XSS não são detectadas — mais de 60 clientes do serviço tiveram problemas deste tipo em seus sites. A McAfee chegou a afirmar que estas brechas não oferecem grande risco porque “não podem ser usadas para comprometer um servidor“.
Discordando da afirmação de que XSS “não representa risco”, o especialista em segurança Russ McRee publicou um vídeo mostrando uma falha de XSS no site da McAfee que faz o site da gigante exibir uma mensagem dizendo “Este site NÃO É McAfee Secure”…
Nathan McFeters, especialista em segurança da Ernst & Young e blogueiro do site ZDNet, pensa que a McAfee deve mudar o tom da ferramenta para deixar claro que não existe uma maneira de certificar que um site é totalmente seguro, muito menos com um simples exame automatizado.
Penso como McFeters, porém o princípio por trás da ferramenta é exatamente o selo de “segurança” — a idéia de construir confiança entre o website e o internauta. Se o selo não diz nada e o exame de vulnerabilidade não funciona, teria a McAfee gasto 50 milhões em uma empresa cuja principal propriedade parece ser a marca registrada “Hacker Safe” impressa em uma imagem JPG GIF?
Linha Defensiva 
Também concordo com McFeters, quanto a “deixar claro que não existe uma maneira de certificar que um site é totalmente seguro”.
Me parece meio arrogante dizer que algo é “Hacker Safe”.
Todos sabem que hoje em dia não é possivel encontrarmos algo “seguro contra hackers”.
Sinceramente, não sou a favor da colocação de nenhum tipo de selo ou imagem que “comprove” a segurança de algum site, pelo fato de isso ser uma coisa que pode enganar muitos usuários, principalmente os mais leigos.
CurtirCurtir
Jefferson Johner
Eu idem. É aquela velha história da confiança na imagem ou no uniforme. Não dá para confiar.
Se eu fosse um criminoso, eu poderia exibir uma imagem falsa do “hacker safe” no meu site sem problema algum, pois já estaria cometendo crimes de qualquer jeito. Só sites legítimos teriam problemas ao exibir falsamente a imagem (o que é uma ironia…)
CurtirCurtir