Como você se sentiria se uma empresa especializada em manutenção de automóveis, descobrisse que o seu veículo tem um problema grave de segurança que permitisse que ele fosse furtado e... não lhe dissesse nada??? E pior, suponha que a fabricante do automóvel queira comprar essa informação e ainda assim essa empresa se recusar a vendê-la, afinal, porque vender a uma única entidade (no caso, a fabricante), se ela pode vender a informação para várias outras entidades (ladrões de carros, empresas e até governos)?
A grosso modo, é o que fazem empresas como a Vupen (www.vupen.com), elas vendem os chamados "Zero-day Exploits" que se aproveitam das "Zero-day Vulnerabilities" (ou Vulnerabilidades do Dia Zero), que são falhas de softwares comerciais ainda desconhecidas pelos fabricantes. Suponha que você descobriu uma falha de segurança no Microsoft Windows, que permitiria que um atacante tivesse acesso total e irrestrito a um computador. O caminho natural seria informar essa falha ao desenvolvedor do produto, nesta caso, a Microsoft, certo? Bom, nem todos pensam da mesma maneira. Algumas pessoas ao invés de relatar essa vulnerabilidade à fabricante, ou mesmo fazer o full disclosure da vulnerabilidade junto a comunidade acadêmica/especializada, preferem vender a informação a quem puder pagar seu preço, simples assim. E Vupen não está sozinha nessa. Conforme esse artigo do Bruce Schneier (traduzido aqui pelo pessoal da Brown Pipe Consultoria), intitulado "O mercado de vulnerabilidades e o futuro da segurança", empresas como Netragard, EndGame, Northrop Grumman, General Dynamics e Raytheon, estão no mercado de venda de vulnerabilidades desconhecidas dos fabricantes de software. O analista de segurança da Kaspersky, Fábio Assolini, afirma no episódio 46 do Podcast Segurança Legal que, uma falha "Zero-day" no IOS da Apple, chega a valer R$500.000,00 no mercado negro, e que, como já era de se esperar, os principais compradores são justamente governos.
Ora, não é preciso muito para compreender que a fórmula "mercado de vulnerabilidades em alta + programador ganancioso e sem ética mesmo que a equipe seja idônea + baixa qualidade de testes dos programas + pouca ou nenhuma auditoria no código = falha inserida propositalmente num sistema" para obter um lucro a mais no produto.
Cada vez mais me convenço que os problemas de tecnologia são, fundamentalmente, humanos. Computadores não roubam pessoas. Pessoas roubam pessoas. E por mais que me esforce, não consigo imaginar um futuro muito promissor ou uma mudança de postura, no que diz respeito ao mercado das vulnerabilidades.
t+
Cristiano
"A grandeza não consiste em receber honras, mas em merecê-las." - Aristóteles
Ora, não é preciso muito para compreender que a fórmula "mercado de vulnerabilidades em alta + programador ganancioso e sem ética mesmo que a equipe seja idônea + baixa qualidade de testes dos programas + pouca ou nenhuma auditoria no código = falha inserida propositalmente num sistema" para obter um lucro a mais no produto.
Cada vez mais me convenço que os problemas de tecnologia são, fundamentalmente, humanos. Computadores não roubam pessoas. Pessoas roubam pessoas. E por mais que me esforce, não consigo imaginar um futuro muito promissor ou uma mudança de postura, no que diz respeito ao mercado das vulnerabilidades.
t+
Cristiano
"A grandeza não consiste em receber honras, mas em merecê-las." - Aristóteles
Nenhum comentário:
Postar um comentário