Um grupo de criminosos virtuais atacou o site de hospedagem de imagens “Imageshack” nesta sexta-feira (10), substituindo várias ilustrações e fotos de usuários por uma mensagem de protesto “antissegurança”. O grupo, que se autodenonima Anti-sec, pede o fim da prática conhecida como full-disclosure e declara guerra à indústria de segurança.
A mensagem descreve a prática de full-discuslore, que se dá por meio da postagem dos detalhes de uma vulnerabilidade juntamente com o código capaz de explorá-la. Segundo o Anti-sec, é uma prática puramente comercial, porque serve como publicidade para o pesquisador ou empresa que identificou a brecha. Além disso, reduz a segurança das pessoas, por permitir que mesmo indivíduos sem conhecimento algum consigam realizar ataques virtuais.
Mensagem ameaça grupos de segurança (clique para ampliar)
O movimento anti-sec existe pelo menos desde 2006, mas ganhou notoriedade no mês passado, quando destruiu todos os sites pertencentes ao grupo de segurança Astalavista. Pela mensagem deixada no Imageshack, o grupo foi aparentemente reestruturado. “Agora não será como antes”, diz o final do texto.
Embora a mensagem dê uma imagem positiva para o grupo, que supostamente estaria preocupado com a segurança dos internautas, especialistas desconfiam que a motivação do grupo seja evitar a publicação de detalhes das falhas. A exposição pública desse tipo de informação normalmente força os desenvolvedores a agirem e eliminarem as vulnerabilidades, o que causa problemas para quem de fato quer utilizá-las de forma maliciosa.
Até o início da prática de full-disclosure, em meados dos anos 90, era comum que os responsáveis por softwares simplesmente ignorassem as falhas de segurança, já que o público nunca saberia de sua existência. Quando as informações começaram a se tornar públicas, já não era mais possível ignorá-las. É a ameaça de “full-disclosure” que ainda dá incentivo para que as empresas valorizem a descoberta de falhas.
Linha Defensiva 