Full-disclosure: o que ganhamos com essa prática de divulgação de vulnerabilidades?
Por Leonardo Militelli, CEO e fundador da iBLISS Digital Security
Há muito tempo existe um mercado de pesquisa de vulnerabilidades, em que pesquisadores independentes ou funcionários de alguma empresa buscam por falhas em softwares, sistemas e aplicações conhecidas, como o Windows, o Flash e o Android, por exemplo. O assunto, no entanto, gera uma série de polêmicas, principalmente envolvendo a publicação dessas falhas, que muitas vezes ocorre sem o consentimento das empresas.
Enquanto alguns grupos de pesquisadores vendem as vulnerabilidades desconhecidas (que chamamos de zero-day), outras empresas sérias desenvolveram um programa de “divulgação responsável” de vulnerabilidades (em inglês, responsible disclosure). Nesse caso, quando encontram uma falha, cuidam para que a organização responsável pelo desenvolvimento da aplicação afetada se conscientize do erro e aguardam sua correção para então publicar a falha e receber os créditos pela descoberta. Trata-se de uma forma de demonstrar a capacidade técnica da equipe.
Porém, recentemente, temos visto uma série de veículos de imprensa divulgando falhas arbitrariamente, sem qualquer consentimento ou comunicação com a empresa afetada. Essa estratégia pode impactar drasticamente as operações, afinal, trata-se de uma falha de segurança sendo divulgada abertamente sem que a empresa ainda tenha tido tempo de solucioná-la.
“Denúncias” já são recorrentes na imprensa brasileira
Só este ano no Brasil, os veículos de comunicação brasileiros já publicaram uma série de casos semelhantes, em que jornalistas recebem denúncias contendo detalhes sobre falhas de segurança em diversas empresas.
Já há até veículos que incentivem a prática abertamente, colocando meios de contato à disposição para denúncias de vulnerabilidades em sistemas e aplicações.
As intenções por trás desse tipo de divulgação de vulnerabilidades geralmente são boas. Na maioria das vezes o objetivo é deixar cientes os usuários dos serviços afetados por vulnerabilidades, porém os resultados podem ser desastrosos.
Em agosto deste ano, uma empresa de cibersegurança com foco no setor de saúde publicou uma série de vulnerabilidades em sistemas de uma organização americana fabricante de dispositivos médicos, sem antes informar os responsáveis pelo desenvolvimento dos produtos. Ao vender as informações para uma pesquisadora de investimentos, a empresa de cibersegurança aumentou seus lucros consideravelmente, enquanto as ações da organização fabricante caíram 8%.
Os dois lados do debate
Na maioria das vezes, a intenção de quem publica a falha é garantir que a empresa afetada conserte as vulnerabilidades prontamente e recompense os esforços que levaram à sua descoberta. Existe também a preocupação em deixar o usuário ciente de que seus dados podem estar em perigo.
No Brasil vimos uma série de casos em que os pesquisadores se preocuparam em avisar as empresas afetadas, mas receberam respostas que beiravam a negligência. Nesses casos, a divulgação de vulnerabilidades poderia ensinar às empresas uma lição mais dura sobre a importância das estratégias de proteção.
No entanto, é importante entender os riscos aos quais os usuários ficam expostos quando uma vulnerabilidade antes desconhecida chega ao público. Vulnerabilidades do tipo zero-day, por exemplo, são muito mais perigosas quando chegam ao público antes de serem solucionadas, afinal, a maioria dos hackers não seria capaz de descobri-las sem que fossem publicadas.
Diante de tantos pontos, é importante questionarmos os benefícios desse tipo de divulgação de vulnerabilidades. Apesar de ser uma forma de pressionar as empresas para que cuidem da segurança de seus dados, esse tipo de ação pode causar um grande caos, podendo levar à perda de dados e de receita.