[SECURITY-L] Noticias CAIS: Diretor da Microsoft culpa especialistas por incidentes de segurança

[Daniela Regina Barbetti]

----- Forwarded message from Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br> -----

From: Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br>
Subject: [S] Noticias CAIS: Diretor da Microsoft culpa especialistas por incidentes de segurança
To: <seguranca em pangeia.com.br>
Date: Wed, 24 Oct 2001 11:56:55 -0200 (EDT)

Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)
---------------------------------------------------------------------

[fonte:http://www.terra.com.br/informatica/2001/10/23/012.htm]

Diretor da Microsoft culpa especialistas por incidentes de segurança

Terça, 23 de outubro de 2001, 15h23

Para Scott Culp, diretor do Centro de Segurança da Microsoft, o que se
convencionou chamar de "full disclosure" (revelação de todas as
informações sobre falhas de segurança) é "anarquia da informação". Em um
recente artigo
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/noarch.asp),
ele questiona a atitude dos especialistas da comunidade de segurança em
relação à natureza das informações divulgadas sobre as vulnerabilidades
dos sistemas. Na verdade, ele acusa os adeptos do "full disclosure" de
colaborar para a disseminação de worms como Code Red, Nimda, Sadmind, Lion
e Ramen.

Culp afirma que as pessoas que criam esses worms - que são justamente
julgadas como criminosos - precisam de ajuda para espalhá-los pelos
sistemas. "E nós, da comunidade de segurança, damos essa ajuda a eles
(...), seguindo uma prática que pode ser descrita como anarquia da
informação".

Essa prática consiste em publicar, passo a passo, instruções para explorar
vulnerabilidades de segurança, sem considerar como essas informações podem
ser usadas. De fato, inúmeras vezes elas são usadas para fins nocivos,
pois de maneira geral os worms exploram as mesmas falhas, e usando
técnicas muito semelhantes.

Culp acha que, apesar da nobre intenção de esclarecer os administradores
de sistemas sobre as vulnerabilidades, algumas informações acabam tendo um
efeito contrário. "Mostrar o caminho para explorar as vulnerabilidades não
ajuda os administradores a proteger seus sistemas. Na grande maioria dos
casos, o único modo de proteção é aplicar uma correção que mude o
comportamento do sistema e elimine a vulnerabilidade. O administrador não
precisa saber como essa vulnerabilidade funciona", defende o executivo. E
compara:  "não mais do que uma pessoa precisa saber o que causa uma dor de
cabeça para tomar uma aspirina".

Para ele, o ponto de fundamental importância é que as empresas devem - e
podem - adotar políticas mais responsáveis para tratar as falhas de
segurança, sem colocar outras pessoas em risco com a "anarquia da
informação".

Um trecho do artigo diz que muitas empresas de segurança, quando encontram
uma vulnerabilidade, informam o fabricante e trabalham com ele enquanto a
correção (patch) está sendo desenvolvida. Quando o patch está pronto, elas
publicam informações que discutem quais produtos são afetados pela
vulnerabilidade, quais os efeitos, qual a extensão do prejuízo para o
sistema e o que o usuário pode fazer para se defender. Esse tipo de
informação protege o usuário, não o coloca em risco. Em outros casos, os
profissionais de segurança desenvolvem ferramentas para que os usuários
façam diagnósticos de seus sistemas - e isso também pode ser feito com
responsabilidade.

Culp acredita e tenta convencer-nos de que muitos administradores não
estão dando a devida importância aos patches criados para corrigir as
falhas. "Temos que tornar mais fácil para o usuário manter o seu sistema
seguro. Se os métodos correntes de proteção são ineficazes, será ainda
mais importante tratar com cuidado a informação destrutiva em potencial".
Ele termina dizendo que a Microsoft fará o seu papel na defesa de seus
clientes e discutirá com outros líderes da indústria da informática "para
construir um consenso amplo nesse assunto".

É interessante notar que tais comentários surgem num momento em que a
Microsoft sofreu duros golpes por causa de recentes incidentes de
segurança. Os worms aos quais Culp se refere - notadamente o Code Red e o
Nimda - que se aproveitam de falhas de produtos da Microsoft, causaram
grandes estragos e serviram para uma recomendação explícita do respeitado
Gartner Group para que os sites usassem servidores de outras empresas.

Há poucos dias, a filial britânica da gigante de Redmond se envolveu num
bate-boca com administradores ingleses. Aquela acusou estes de serem
negligentes na atualização de seus softwares, estes revidaram com o
clássico argumento da insegurança dos produtos Microsoft.

Na verdade, a discussão em torno das conseqüências - positivas ou
negativas - do "full disclosure" não é exatamente uma novidade. Já
aconteceu em outros momentos em que os incidentes de segurança saltaram
aos olhos. Parece que entramos num novo ciclo.

Elias Levy, ex-mediador da conhecida lista Bugtraq, na qual é possível
encontrar todo tipo de informação sobre vulnerabilidades, publicou sua
própria defesa (http://www.securityfocus.com/news/238) sobre a divulgação
completa de falhas de segurança. Para Levy, que acaba de abandonar a
função de mediador da Bugtraq para se dedicar mais ao cargo de Chief
Technology Officer da SecurityFocus, o "full disclosure" é um mal
necessário. "Em um mundo perfeito, não haveria necessidade do full
disclosure. Mas nós não vivemos em um mundo perfeito".

Toda essa grita em torno do tema, em vez de simples tentativa de se eximir
de culpas, pode ser justamente a admissão de que os incidentes de
segurança têm alcançado um ponto tão crítico, que não se pode ficar calado
- nem que seja para acusar o outro. Se isso servir para uma tomada de
consciência, tanto melhor.

Priscila Perdoncini


----- End forwarded message -----