O longo caminho para fora da idade das trevas da divulgação de vulnerabilidades


Em 2003, a pesquisadora de segurança Katie Moussouris estava trabalhando na empresa de segurança corporativa @ stake – que mais tarde seria adquirida pela Symantec – quando viu uma falha grave em uma unidade flash criptografada da Lexar. Depois de trabalhar com sua amiga Luís Miras para fazer engenharia reversa do aplicativo e examinar sua estrutura, os dois descobriram que era trivial descobrir a senha que descriptografava os dados da unidade. Mas quando eles tentaram avisar a Lexar? “As coisas deram errado”, diz Chris Wysopal, que também trabalhava na @stake na época.

A equipe do @stake tinha as mesmas duas opções que qualquer um quando descobre uma vulnerabilidade: publique as descobertas abertamente ou vá diretamente ao desenvolvedor, dando-lhes tempo para corrigir a falha antes de abrir o capital. Em teoria, parece que o último seria um ganha-ganha, pois reduz o risco de hackers explorarem o bug maliciosamente. Mas a realidade, neste caso e em tantos outros, pode rapidamente se tornar muito mais complicada e contenciosa.

Moussouris e seus colegas de trabalho tentaram entrar em contato com Lexar através de qualquer canal que pudessem encontrar, sem sucesso. A criptografia em si era sólida, mas um invasor poderia facilmente aproveitar um problema de implementação para vazar a senha em texto sem formatação. Depois de dois meses sem sucesso, a @stake decidiu abrir o capital para que as pessoas soubessem que os dados em suas unidades supostamente seguras poderiam, na realidade, ficar expostos.

“O objetivo era alertar as pessoas que a proteção estava absolutamente quebrada”, diz Moussouris. “Recomendamos tratá-lo como algo que não tem criptografia, porque é isso que estava acontecendo da nossa perspectiva”.

Isso, pelo menos, chamou a atenção de Lexar. A empresa entrou em contato com a @stake, dizendo que a divulgação não era responsável. Wysopal diz que, quando perguntou aos funcionários da Lexar por que eles não haviam respondido aos e-mails e chamadas da @ stake, eles disseram que pensavam que as comunicações eram spam. Eventualmente, a Lexar resolveu o problema em sua unidade flash segura de última geração, mas a empresa não conseguiu corrigi-lo no modelo que os pesquisadores examinaram.

Moussouris, agora CEO da empresa de consultoria de divulgação e recompensas por bugs Luta Security, e Wysopal, diretor de tecnologia da empresa de segurança de aplicativos Veracode e ex-membro do coletivo de hackers L0pht, compartilharam o conto de divulgação pesada como parte de uma conversa na sexta-feira no Conferência de segurança cibernética da RSA. Dizem que muito pouco mudou desde 2003.

Então, como agora, diz Moussouris, os pesquisadores podem enfrentar intimidações potenciais ou ameaças legais, especialmente se não trabalharem em uma empresa que possa fornecer proteção institucional. “Da minha perspectiva de carreira nos últimos 20 anos, mais ou menos, definitivamente não tem sido uma jornada fácil para a maioria dos fornecedores que aceitam a divulgação”, diz Moussouris. “Eu chamo de cinco estágios de luto pela resposta à vulnerabilidade que eles enfrentam. Ainda estamos ouvindo as mesmas histórias tristes de divulgação de muitos pesquisadores. Não é um problema resolvido”.

Através de anos de esforço conjunto, a divulgação agora está mais codificada e legitimada do que nunca. É cada vez mais comum as empresas de tecnologia oferecerem os chamados programas de recompensas por bugs que incentivam os pesquisadores a enviar descobertas de vulnerabilidade em troca de prêmios em dinheiro. Mas mesmo esses condutos, que Moussouris trabalhou duro para defender e normalizar, podem ser abusados. Algumas empresas sustentam erroneamente seus programas de recompensa de bugs como uma solução mágica para todos os problemas de segurança. E as recompensas por bugs podem ser restritivas de maneira contraproducente, limitando o escopo do que os pesquisadores podem realmente examinar ou até exigindo que os pesquisadores assinem acordos de confidencialidade, se quiserem receber recompensas.

Uma pesquisa realizada pela Veracode e 451 Research no último outono sobre divulgação coordenada reflete esse progresso misto. Dos 1.000 entrevistados nos Estados Unidos, Alemanha, França, Itália e Reino Unido, 26% disseram estar decepcionados com a eficácia das recompensas por bugs, e 7% disseram que as ferramentas são principalmente apenas um impulso de marketing. Da mesma forma, a pesquisa constatou que 47% das organizações representadas possuem programas de recompensas por bugs, mas apenas 19% dos relatórios de vulnerabilidade realmente saem desses programas na prática.

“É quase como se toda empresa de software tivesse que passar por essa jornada de cometer erros, ter um problema e ter um pesquisador ensinando-os”, diz Wysopal. “No setor de segurança, estamos constantemente aprendendo as mesmas lições repetidas vezes”.


Mais grandes histórias WIRED



Fonte

Leave a Reply

Your email address will not be published. Required fields are marked *