Todas as áreas do conhecimento humano possuem suas perguntas, digamos assim, incômodas ou impertinentes. Ou porque vão contra o pensamento comum (e confortável), ou porque tocam em pontos polêmicos. Não seria diferente em segurança da informação. Vejamos quatro dessas questões. Meu objetivo não é julgá-las e sim listar argumentos para que cada um construa sua opinião.
Senhas
A primeira é a respeito das senhas. Está nas boas práticas da segurança desde sempre que as senhas devem ser alteradas periodicamente, em média 90 dias. Dez em dez políticas de segurança possuem essa regra, e ninguém questiona isso. Quando perguntado o porquê, o administrador de segurança responderá que é uma boa prática para aumentar a segurança. Porém algumas pessoas começaram a se perguntar: “qual realmente o motivo de se trocar a senha a cada x dias?. Isso é ainda necessário em 2008?”
Eles argumentam que hoje em dia a quase totalidade dos sistemas exigem senhas complexas com letras, números e algarismos especiais. Os mecanismos de proteção de senha estão mais avançados e muitos usam autenticação baseada em dois fatores. Por outro lado, alguém que escreva suas senhas em um post-it abaixo do mousepad continuará fazendo, seja qual for a periodicidade de troca. Mas o ponto principal é que hoje temos que lidar com dezenas de senhas. Como nenhum ser humano tem memória inesgostável a gente acaba usando senhas semelhantes onde é possível. Como a maior parte dessas senhas necessitam ser alteradas periodicamente, a pessoa acaba por fazer alterações insignificantes em suas senhas, ou pior, escreve em algum lugar que pode ser muito mais vulnerável que a memória. Nessa visão, a prática de mudança periódica de senhas diminuiria o nível de segurança. Primeiro porque a pessoa tenderá a usar senhas mais fáceis de lembrar e alterar, e segundo porque terá que anotar essa senha em algum lugar.
Patchs
Hoje é uma prática comum os fabricantes disponibilizarem correções de segurança para os bugs em seu software. Tornou-se uma prática tão comum que alguns elegeram dias específicos para publicá-las. Además quase todos desenvolveram pequenos agentes para atualização automática, que verificam a existência de uma patch, efetuam o download e a instalam, alguns automaticamente. Os usuários se habituaram com esse método e o tratam com normalidade, e o que deveria ser uma exceção se tornou normal, como se fosse normal um fabricante soltar software com falhas graves de segurança para depois corrigir. Há ainda um agravante, muitas vezes os próprios agentes de atualização possuem bugs de segurança e servem como porta de entrada para invasores.
Ainda sobre as patchs, temos uma questão bem polêmica exemplificada pela seguinte situação: em Novembro a Microsoft emitiu um alerta e publicou uma patch para a vulnerabilidade MS08-067. Entre cinco a seis semanas depois, o ataque “conficker” tinha infectado, de acordo com a PC World, 500 mil sistemas ao redor do mundo. Ou seja, apesar da funcionalidade de atualização automática do Windows, milhares de sistemas (talvez milhões) permanecem vulneráveis mesmo que o bug seja considerado crítico. Isso está levando algumas pessoas a questionar se não seria justificável que as atualizações críticas fossem aplicadas sem conhecimento do usuário, com o argumento de que a negligência de alguns usuários está prejudicanto outros. A discussão é bem polêmica e dificilmente seria adotada por fabricantes já que invade a área da privacidade, mas é um assunto que vale a discussão.
Computadores Inseguros e o Roubo de Dados
Continuando um pouco o tópico anterior, imagine que uma pessoa tem seus dados de cartão de crédito ou bancários roubados em seu próprio computador, invadido por este estar desatualizado e vulnerável. Qual a responsabilidade do usuário e qual a do banco ou empresa de comércio eletrônico? E se esse computador fosse usado para atacar outra pessoa ou empresa? Qual a reponsabilidade do usuário que por negligência deixou seu computador vulnerável? Ou seria por desconhecimento e portanto sem culpa?
A Ética da Publicação de Vulnerabilidades
Imagine que você é um estudioso de segurança e descobre uma vulnerabilidade em algum sistema, e que essa vulnerabilidade quando explorada poderia dar acesso privilegiado aos computadores de milhões de usuários. O que você faria? (a) Enviaria a informação diretamente ao fabricante para que este providenciasse uma correção; (b) Publicaria imediatamente na Internet inclusive com o código para explorá-la; (c) Venderia a informação para alguma das empresas de segurança que compram vulnerabilidades.
Se você nunca pensou no assunto, então benvindo à discussão da ética na publicação de vulnerabilidades. De início a mais responsável parece ser a primeira opção. Você envia ao fabricante que rapidamente publica um alerta com os devidos créditos a você e desenvolve uma correção. Mas, e se o fabricante simplesmente o ignorasse? Você ainda manteria a vulnerabilidade em segredo, mesmo que milhares de usuários ficassem expostos a uma invasão?
A segunda opção é a escolhida por diversos pesquisadores independentes, sobretudo aqueles que seguem a velha máxima do hackerismo, de que a “informação deve ser livre”. Essa opção também não deixa ser uma “punição ao fabricante descuidado”, embora os verdadeiros punidos sejam os usuários inocentes. Mas enfim não há nada ilícito em publicar informações, embora seja discutível no ponto de vista da ética.
Mas a terceira é com certeza a mais polêmica, pois trata do mercado de compra e venda de vulnerabilidades. Esse mercado surgiu quando algumas empresas de segurança, sérias, começaram a pagar pesquisadores independentes de vulnerabilidades. Essas empresas sustentam que pagar pesquisadores é ético ao incentivar a pesquisa de segurança e recompensar aqueles que não desejam se associar a um determinado empregador. Por outro lado, os críticos suspeitam que grupos de crackers utilizariam esses programas para financiar suas atividades ilegais. Assim uma vulnerabilidade vendida pagaria a pesquisa de outras que seriam mantidas em segredo até serem usadas para um ataque.
Nenhum comentário:
Postar um comentário