Capa » Notícias

Diretor da Microsoft culpa especialistas por incidentes de segurança

Terça, 23 de outubro de 2001, 15h23
Para Scott Culp, diretor do Centro de Segurança da Microsoft, o que se convencionou chamar de "full disclosure" (revelação de todas as informações sobre falhas de segurança) é "anarquia da informação". Em um recente artigo, ele questiona a atitude dos especialistas da comunidade de segurança em relação à natureza das informações divulgadas sobre as vulnerabilidades dos sistemas. Na verdade, ele acusa os adeptos do "full disclosure" de colaborar para a disseminação de worms como Code Red, Nimda, Sadmind, Lion e Ramen.

Culp afirma que as pessoas que criam esses worms – que são justamente julgadas como criminosos – precisam de ajuda para espalhá-los pelos sistemas. "E nós, da comunidade de segurança, damos essa ajuda a eles (...), seguindo uma prática que pode ser descrita como anarquia da informação".

Essa prática consiste em publicar, passo a passo, instruções para explorar vulnerabilidades de segurança, sem considerar como essas informações podem ser usadas. De fato, inúmeras vezes elas são usadas para fins nocivos, pois de maneira geral os worms exploram as mesmas falhas, e usando técnicas muito semelhantes.

Culp acha que, apesar da nobre intenção de esclarecer os administradores de sistemas sobre as vulnerabilidades, algumas informações acabam tendo um efeito contrário. "Mostrar o caminho para explorar as vulnerabilidades não ajuda os administradores a proteger seus sistemas. Na grande maioria dos casos, o único modo de proteção é aplicar uma correção que mude o comportamento do sistema e elimine a vulnerabilidade. O administrador não precisa saber como essa vulnerabilidade funciona", defende o executivo. E compara: "não mais do que uma pessoa precisa saber o que causa uma dor de cabeça para tomar uma aspirina".

Para ele, o ponto de fundamental importância é que as empresas devem – e podem – adotar políticas mais responsáveis para tratar as falhas de segurança, sem colocar outras pessoas em risco com a "anarquia da informação".

Um trecho do artigo diz que muitas empresas de segurança, quando encontram uma vulnerabilidade, informam o fabricante e trabalham com ele enquanto a correção (patch) está sendo desenvolvida. Quando o patch está pronto, elas publicam informações que discutem quais produtos são afetados pela vulnerabilidade, quais os efeitos, qual a extensão do prejuízo para o sistema e o que o usuário pode fazer para se defender. Esse tipo de informação protege o usuário, não o coloca em risco. Em outros casos, os profissionais de segurança desenvolvem ferramentas para que os usuários façam diagnósticos de seus sistemas – e isso também pode ser feito com responsabilidade.

Culp acredita e tenta convencer-nos de que muitos administradores não estão dando a devida importância aos patches criados para corrigir as falhas. "Temos que tornar mais fácil para o usuário manter o seu sistema seguro. Se os métodos correntes de proteção são ineficazes, será ainda mais importante tratar com cuidado a informação destrutiva em potencial". Ele termina dizendo que a Microsoft fará o seu papel na defesa de seus clientes e discutirá com outros líderes da indústria da informática "para construir um consenso amplo nesse assunto".

É interessante notar que tais comentários surgem num momento em que a Microsoft sofreu duros golpes por causa de recentes incidentes de segurança. Os worms aos quais Culp se refere — notadamente o Code Red e o Nimda — que se aproveitam de falhas de produtos da Microsoft, causaram grandes estragos e serviram para uma recomendação explícita do respeitado Gartner Group para que os sites usassem servidores de outras empresas.

Há poucos dias, a filial britânica da gigante de Redmond se envolveu num bate-boca com administradores ingleses. Aquela acusou estes de serem negligentes na atualização de seus softwares, estes revidaram com o clássico argumento da insegurança dos produtos Microsoft.

Na verdade, a discussão em torno das conseqüências — positivas ou negativas — do "full disclosure" não é exatamente uma novidade. Já aconteceu em outros momentos em que os incidentes de segurança saltaram aos olhos. Parece que entramos num novo ciclo.

Elias Levy, ex-mediador da conhecida lista Bugtraq, na qual é possível encontrar todo tipo de informação sobre vulnerabilidades, publicou sua própria defesa sobre a divulgação completa de falhas de segurança. Para Levy, que acaba de abandonar a função de mediador da Bugtraq para se dedicar mais ao cargo de Chief Technology Officer da SecurityFocus, o "full disclosure" é um mal necessário. "Em um mundo perfeito, não haveria necessidade do full disclosure. Mas nós não vivemos em um mundo perfeito".

Toda essa grita em torno do tema, em vez de simples tentativa de se eximir de culpas, pode ser justamente a admissão de que os incidentes de segurança têm alcançado um ponto tão crítico, que não se pode ficar calado — nem que seja para acusar o outro. Se isso servir para uma tomada de consciência, tanto melhor.

Priscila Perdoncini

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.