Publicidade
Publicidade
12/04/2006
-
10h23
JULIANO BARRETO
da Folha de S.Paulo
Apesar da promessa de lucro, boa parte dos hackers e dos pesquisadores independentes ainda divulga suas descobertas sem cobrar nada. Em busca de respeito para seu grupo ou de reconhecimento profissional, os especialistas em segurança conseguem encontrar falhas quase de forma simultânea ao lançamento oficial dos novos programas. Quanto mais rápido os problemas aparecem, mais prestígio o pesquisador recebe.
Um exemplo: no mês passado, uma falha que permitia a invasão de computadores usando a nova versão do popular tocador Winamp (www.winamp.com) foi publicada na internet um dia antes do que o próprio programa.
Outro caso curioso aconteceu com o navegador Internet Explorer 7, que teve a sua versão pública de testes "carimbada" pela identificação de falhas apenas 15 minutos após o seu lançamento. A descoberta foi feita pelo especialista Tom Ferris, do portal de segurança digital Security Protocols (www.security-protocols.com).
Esse tipo de brecha de segurança ganha o rótulo de "0 day" e tem maior repercussão quando os programas afetados são usados por um grande número de pessoas. Antes de se tornar conhecido do grande público e conquistar mais de 10% do mercado de navegadores, as falhas de segurança encontradas no Firefox eram pouco divulgadas. Geralmente, elas eram descobertas pela própria equipe de desenvolvedores e não causavam qualquer estrago na reputação do soft. Desde 2004, porém, cada brecha que aparece ganha as manchetes dos principais sites de segurança.
Mea-culpa
A demora no lançamento das correções também incentiva os caçadores de falhas. As fabricantes de software costumam classificar as brechas recém-descobertas em diferentes níveis de risco.
No caso de riscos considerados moderados, a correção pode demorar mais de um mês para ser lançada. Nesse período, porém, a deficiência do programa pode ser aproveitada de outra forma e causar problemas maiores.
Para a gerente de produtos de segurança da Microsoft do Brasil, Ana Cláudia Alves, a técnica correta é agrupar todos os patches para que as correções sejam feitas de forma mais eficiente.
"Em casos mais graves, entretanto, nós lançamos a correção antes do previsto", diz Alves. Ela cita como exemplo a falha no reconhecimento das imagens WMF, do Windows, que precisou de um remendo dez dias após sua descoberta.
A pressa em expor os programas famosos faz com que códigos incompletos sejam apresentados como ameaças reais.
Chamadas de proof-of-concept, esse tipo de vulnerabilidade é exibido apenas para provar que é possível explorar um erro de programação de um determinado produto. Na prática, os únicos prejudicados são os produtores do software.
Leia mais
Empresas usam hackers para achar falhas
Especial
Leia o que já foi publicado sobre falhas em programas
Brechas surgem já na estréia dos programas
Publicidade
da Folha de S.Paulo
Apesar da promessa de lucro, boa parte dos hackers e dos pesquisadores independentes ainda divulga suas descobertas sem cobrar nada. Em busca de respeito para seu grupo ou de reconhecimento profissional, os especialistas em segurança conseguem encontrar falhas quase de forma simultânea ao lançamento oficial dos novos programas. Quanto mais rápido os problemas aparecem, mais prestígio o pesquisador recebe.
Um exemplo: no mês passado, uma falha que permitia a invasão de computadores usando a nova versão do popular tocador Winamp (www.winamp.com) foi publicada na internet um dia antes do que o próprio programa.
Outro caso curioso aconteceu com o navegador Internet Explorer 7, que teve a sua versão pública de testes "carimbada" pela identificação de falhas apenas 15 minutos após o seu lançamento. A descoberta foi feita pelo especialista Tom Ferris, do portal de segurança digital Security Protocols (www.security-protocols.com).
Esse tipo de brecha de segurança ganha o rótulo de "0 day" e tem maior repercussão quando os programas afetados são usados por um grande número de pessoas. Antes de se tornar conhecido do grande público e conquistar mais de 10% do mercado de navegadores, as falhas de segurança encontradas no Firefox eram pouco divulgadas. Geralmente, elas eram descobertas pela própria equipe de desenvolvedores e não causavam qualquer estrago na reputação do soft. Desde 2004, porém, cada brecha que aparece ganha as manchetes dos principais sites de segurança.
Mea-culpa
A demora no lançamento das correções também incentiva os caçadores de falhas. As fabricantes de software costumam classificar as brechas recém-descobertas em diferentes níveis de risco.
No caso de riscos considerados moderados, a correção pode demorar mais de um mês para ser lançada. Nesse período, porém, a deficiência do programa pode ser aproveitada de outra forma e causar problemas maiores.
Para a gerente de produtos de segurança da Microsoft do Brasil, Ana Cláudia Alves, a técnica correta é agrupar todos os patches para que as correções sejam feitas de forma mais eficiente.
"Em casos mais graves, entretanto, nós lançamos a correção antes do previsto", diz Alves. Ela cita como exemplo a falha no reconhecimento das imagens WMF, do Windows, que precisou de um remendo dez dias após sua descoberta.
A pressa em expor os programas famosos faz com que códigos incompletos sejam apresentados como ameaças reais.
Chamadas de proof-of-concept, esse tipo de vulnerabilidade é exibido apenas para provar que é possível explorar um erro de programação de um determinado produto. Na prática, os únicos prejudicados são os produtores do software.
Leia mais
Especial
Publicidade
As Últimas que Você não Leu
Publicidade
+ LidasÍndice
- Novo acelerador de partículas brasileiro deve ficar pronto até 2018
- Robôs que fazem sexo ficam mais reais e até já respondem a carícias
- Maratona hacker da ONU premia app que conecta médico a pacientes do SUS
- Confira lista de feeds do site da Folha
- Facebook e Google colaboram para combater notícias falsas na França
+ Comentadas