Divulgação completa (segurança do computador)

AjustarCompartirImprimirCitar
Política em segurança informática

No campo da segurança de computadores, pesquisadores independentes geralmente descobrem falhas em software que podem ser usadas para causar comportamento não intencional; essas falhas são chamadas de vulnerabilidades. O processo pelo qual a análise dessas vulnerabilidades é compartilhada com terceiros é objeto de muito debate e é referido como a política de divulgação do pesquisador. Divulgação completa é a prática de publicar análises de vulnerabilidades de software o mais cedo possível, tornando os dados acessíveis a todos sem restrições. O objetivo principal de disseminar amplamente informações sobre vulnerabilidades é fazer com que as vítimas em potencial sejam tão bem informadas quanto aqueles que as atacam.

Em seu ensaio de 2007 sobre o assunto, Bruce Schneier afirmou que "A divulgação completa – a prática de tornar públicos os detalhes das vulnerabilidades de segurança – é uma ótima ideia. O escrutínio público é a única maneira confiável de melhorar a segurança, enquanto o sigilo apenas nos torna menos seguros". Leonard Rose, co-criador de uma lista de correio eletrônico que substituiu o bugtraq para se tornar o fórum de fato para disseminar avisos, explica "Não acreditamos em segurança por obscuridade e, até onde sabemos, total a divulgação é a única maneira de garantir que todos, não apenas os internos, tenham acesso às informações de que precisamos."

O debate sobre divulgação de vulnerabilidades

A controvérsia em torno da divulgação pública de informações confidenciais não é nova. A questão da divulgação completa foi levantada pela primeira vez no contexto da serralharia, em uma controvérsia do século 19 sobre se os pontos fracos nos sistemas de fechaduras deveriam ser mantidos em segredo na comunidade de serralheiros ou revelados ao público. Hoje, existem três principais políticas de divulgação nas quais a maioria das outras pode ser categorizada: não divulgação, divulgação coordenada e divulgação total.

As principais partes interessadas na pesquisa de vulnerabilidade têm suas políticas de divulgação moldadas por várias motivações, não é incomum observar campanhas, marketing ou lobby para que sua política preferencial seja adotada e castigar aqueles que discordam. Muitos pesquisadores de segurança proeminentes favorecem a divulgação completa, enquanto a maioria dos fornecedores prefere a divulgação coordenada. A não divulgação é geralmente favorecida por fornecedores de exploits comerciais e hackers blackhat.

Divulgação de vulnerabilidade coordenada

A divulgação coordenada de vulnerabilidades é uma política sob a qual os pesquisadores concordam em relatar vulnerabilidades a uma autoridade coordenadora, que então relata ao fornecedor, rastreia correções e mitigações e coordena a divulgação de informações com as partes interessadas, incluindo o público. Em alguns casos, a autoridade coordenadora é o fornecedor. A premissa da divulgação coordenada normalmente é que ninguém deve ser informado sobre uma vulnerabilidade até que o fornecedor do software diga que é hora. Embora muitas vezes haja exceções ou variações dessa política, a distribuição deve inicialmente ser limitada e os fornecedores têm acesso privilegiado a pesquisas não públicas.

O nome original dessa abordagem era "divulgação responsável", com base no ensaio do gerente de segurança da Microsoft, Scott Culp, "É hora de acabar com a anarquia da informação" (referindo-se à divulgação completa). Mais tarde, a Microsoft pediu que o termo fosse eliminado em favor de “Divulgação Coordenada de Vulnerabilidade” (CVD).

Embora o raciocínio varie, muitos profissionais argumentam que os usuários finais não podem se beneficiar do acesso às informações de vulnerabilidade sem orientação ou patches do fornecedor, portanto, os riscos de compartilhar a pesquisa com atores mal-intencionados são muito grandes para poucos benefícios. Como explica a Microsoft, "[a divulgação coordenada] atende aos melhores interesses de todos, garantindo que os clientes recebam atualizações abrangentes e de alta qualidade para vulnerabilidades de segurança, mas não sejam expostos a ataques mal-intencionados enquanto a atualização está sendo desenvolvida". 34;

Divulgação completa

A divulgação completa é a política de publicar informações sobre vulnerabilidades sem restrições o mais cedo possível, tornando as informações acessíveis ao público em geral sem restrições. Em geral, os defensores da divulgação completa acreditam que os benefícios da pesquisa de vulnerabilidade disponível gratuitamente superam os riscos, enquanto os oponentes preferem limitar a distribuição.

A disponibilidade gratuita de informações sobre vulnerabilidades permite que usuários e administradores entendam e reajam a vulnerabilidades em seus sistemas e permite que os clientes pressionem os fornecedores para corrigir vulnerabilidades que, de outra forma, os fornecedores não teriam incentivo para resolver. Existem alguns problemas fundamentais com a divulgação coordenada que a divulgação completa pode resolver.

  • Se os clientes não sabem sobre vulnerabilidades, eles não podem solicitar patches, e os fornecedores não têm incentivo econômico para corrigir vulnerabilidades.
  • Os administradores não podem tomar decisões informadas sobre os riscos para os seus sistemas, uma vez que as informações sobre vulnerabilidades são restritas.
  • Pesquisadores maliciosos que também sabem sobre a falha têm um longo período de tempo para continuar explorando a falha.

A descoberta de uma falha ou vulnerabilidade específica não é um evento mutuamente exclusivo, vários pesquisadores com motivações diferentes podem descobrir as mesmas falhas de forma independente.

Não há uma maneira padrão de tornar as informações de vulnerabilidade disponíveis ao público, os pesquisadores geralmente usam listas de discussão dedicadas ao tópico, trabalhos acadêmicos ou conferências do setor.

Não divulgação

A não divulgação é a política de que as informações de vulnerabilidade não devem ser compartilhadas, ou devem ser compartilhadas apenas sob acordo de não divulgação (seja contratual ou informalmente).

Os defensores comuns da não divulgação incluem fornecedores de exploração comercial, pesquisadores que pretendem explorar as falhas que encontram e defensores da segurança por meio da obscuridade.

Debate

Argumentos contra a divulgação coordenada

Pesquisadores a favor da divulgação coordenada acreditam que os usuários não podem fazer uso de conhecimento avançado de vulnerabilidades sem orientação do fornecedor e que a maioria é melhor atendida limitando a distribuição de informações de vulnerabilidade. Os defensores argumentam que invasores pouco qualificados podem usar essas informações para realizar ataques sofisticados que, de outra forma, estariam além de sua capacidade, e o benefício potencial não supera o dano potencial causado por agentes malévolos. Somente quando o fornecedor tiver preparado orientações que até mesmo os usuários menos sofisticados possam digerir, as informações devem ser tornadas públicas.

Este argumento pressupõe que a descoberta de vulnerabilidade é um evento mutuamente exclusivo, que apenas uma pessoa pode descobrir uma vulnerabilidade. Existem muitos exemplos de vulnerabilidades sendo descobertas simultaneamente, muitas vezes sendo exploradas em segredo antes da descoberta por outros pesquisadores. Embora possa haver usuários que não podem se beneficiar das informações de vulnerabilidade, os defensores da divulgação completa acreditam que isso demonstra desprezo pela inteligência dos usuários finais. Embora seja verdade que alguns usuários não podem se beneficiar das informações sobre vulnerabilidades, se estiverem preocupados com a segurança de suas redes, poderão contratar um especialista para ajudá-los, assim como você contrataria um mecânico para ajudar com um carro.

Argumentos contra a não divulgação

A não divulgação é normalmente usada quando um pesquisador pretende usar o conhecimento de uma vulnerabilidade para atacar sistemas de computador operados por seus inimigos, ou para trocar o conhecimento de uma vulnerabilidade a terceiros com fins lucrativos, que normalmente o usarão para atacar seus inimigos.

Os pesquisadores que praticam a não divulgação geralmente não estão preocupados em melhorar a segurança ou proteger as redes. No entanto, alguns proponentes argumentam que simplesmente não querem ajudar os fornecedores e afirmam não ter a intenção de prejudicar os outros.

Embora os defensores da divulgação completa e coordenada declarem objetivos e motivações semelhantes, simplesmente discordando sobre a melhor forma de alcançá-los, a não divulgação é totalmente incompatível.

Contenido relacionado

Operador bastardo do inferno

O Bastard Operator From Hell é um operador de computador fictício criado por Simon Travaglia, que desconta sua raiva nos usuários e outros que o importunam...

Asteróides (vídeo game)

Asteroids é um videogame arcade de tiro multidirecional com tema espacial projetado por Lyle Rains e Ed Logg, lançado em novembro de 1979 pela Atari, Inc. O...

Kamov Ka-50

O Kamov Ka-50 "Black Shark" é um helicóptero de ataque soviético/russo de assento único com o distinto sistema de rotor coaxial do escritório de...
Más resultados...
Tamaño del texto: