Visite também: UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais] ·  Efetividade ·  Linux in Brazil ·  Floripa  

"Reportar vulnerabilidades é para os fortes"

Um pesquisador norte-americano se envolveu recentemente em um problema por divulgar falhas de segurança em um site específico (ele não cita qual) e quase foi preso por isso. Como conseqüência, ele postou este texto criticando as atitudes das empresas de desenvolvimento de software e os órgãos de investigação pela sua atitude contra os pesquisadores de falhas de vulnerabilidade.” A nota foi enviada por Fábio Emilio Costa (fabiocosta0305Θgmail·com), que enviou este link para mais detalhes.

Comentários dos leitores

Os comentários abaixo são responsabilidade de seus autores e não são revisados ou aprovados pelo BR-Linux. Consulte os Termos de uso para informações adicionais. Esta notícia foi arquivada, não será possível incluir novos comentários.
Comentário de Dm7
É triste como certas leis e: É triste como certas leis e organizações podem se tornar burras... esse tipo de situação é que favorece o crime, já que quando surge alguém que está prestando um serviço, pode ser simplesmente mal interpretado ou usado como bode expiatório.
Comentário de Copernico Vespucio
Espelhos e Fumaça: É o absurdo de disfarçar a própria incompetência atribuindo a culpa pela falha a quem a encontrou.

Paga-se pelo crime dos néscios com o sangue dos sábios. Acontece frequentemente, e a muito tempo.

Por causa disso, a forma ideal de divulgar vulnerabilidades é em sites de segurança (que os Hackers usam como fonte de conhecimento), sob anonimato.

Ou, no caso de um banco ou serviço público, use seu notebook para conectar wireless em um aeroporto e ponha a notícia em um site de grande circulação.
Comentário de marcus
Responsabilidade: Eu acho que falhas de segurança tem que ser divulgadas com responsabilidade.
Várias espécies de "pestes digitais" são criadas explorando falhas de segurança, e caso não haja uma correção disponível para o problema, quem "paga o pato" é o usuário.
Agora, se o fabricante/desenvolvedor é notificado na falha e não toma atitude... tem que divulgar mesmo que é pra ver se toma vergonha.
Mas um especialista em segurança que fica divulgado a "torto e a direito" tudo que descobre, somente pra ganhar fama... tem que tomar na cara (não sei se foi o caso).

Comentário de giganttee
O usuário continua "pagando: O usuário continua "pagando o pato", existindo correção ou não. A diferença é que divulgando-a, o usuário "paga o pato" conscientemente. Não vamos agora impedir que falhas de segurança não sejam reportadas a menos que se tenha correções. Ou então jogar a culpa em quem divulgou e tomá-lo como bode-espiatório.
Comentário de Copernico Vespucio
depende....: Mas um especialista em segurança que fica divulgado a "torto e a direito" tudo que descobre, somente pra ganhar fama... tem que tomar na cara (não sei se foi o caso).

Dependendo de quem foi o responsável pela falha, vc. pode se encrencar feio reportando a falha para "as pessoas certas". Encontre uma falha em um portal de E-Business de alguma grande companhia, ou em um site de banco, informe a eles do problema e eles rapidamente vão arrumar um jeito de prender você. Muitas vezes sem consertar a falha (pq apenas prender vc. é mais barato).

Ou seja, os usuários continuam pagando o pato e vc. se danou também. Pra mim então não tem acordo: manda a denúncia anônima para a mídia e deixa com que eles se virem.

Comentário de escovadordebit
Atitude estúpida.: É a atitude mais estúpida que ja tive conhecimento.
Hoje você acessa a informação que pode estar hospedada em qualquer lugar do planeta, e sob os mais diferentes pareceres jurídicos.

Será que estes caras realmente esperam poder controlar isso?

Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."
Comentário de .;.;
Isso me lembra aqueles: Isso me lembra aqueles casos, que você avisa seu amigo de que a namorada dele tá traindo ele, e ele briga com você.
Comentário de Dm7
Acho que se a pessoa pensa: Acho que se a pessoa pensa em questão de fama, pode acabar de "salto alto" mesmo... agora se faz para obter conhecimento e satisfação pessoal, ainda prefiro ver como um serviço, e não como uma atitude criminosa... criminosa é a incompetência dupla de quem persegue quem reporta vulnerabilidades...
BR-Linux.org
Linux® levado a sério desde 1996. Notícias, dicas e tutoriais em bom português sobre Linux e Código Aberto. "A página sobre software livre mais procurada no Brasil", segundo a Revista Isto É.
Expediente
Sobre o BR-Linux
Enviar notícia ou release
Contato, Termos de uso
FAQ, Newsletter, RSS
Banners e selos
Anunciar no BR-Linux
BR-Linux apóia
LinuxSecurity, Tempo Real
Suporte Livre, Drupal
Verdade Absoluta
Pandemonium
Efetividade, Floripa.net
sites da comunidade
Ajuda
Moderação
Flames: não responda!
Publicar seu texto
Computador para Todos
Notícias pré-2004
Tutoriais, HCL pré-2004