"Reportar vulnerabilidades é para os fortes"
“Um pesquisador norte-americano se envolveu recentemente em um problema por divulgar falhas de segurança em um site específico (ele não cita qual) e quase foi preso por isso. Como conseqüência, ele postou este texto criticando as atitudes das empresas de desenvolvimento de software e os órgãos de investigação pela sua atitude contra os pesquisadores de falhas de vulnerabilidade.” A nota foi enviada por Fábio Emilio Costa (fabiocosta0305Θgmail·com), que enviou este link para mais detalhes.(postado por Augusto Campos)
Comentários dos leitores
Comentário de Dm7
23/05/06 14:27 - usuário registrado #2071
É triste como certas leis e: É triste como certas leis e organizações podem se tornar burras... esse tipo de situação é que favorece o crime, já que quando surge alguém que está prestando um serviço, pode ser simplesmente mal interpretado ou usado como bode expiatório.
Comentário de Copernico Vespucio
23/05/06 16:25 - usuário registrado #4868
Espelhos e Fumaça: É o absurdo de disfarçar a própria incompetência atribuindo a culpa pela falha a quem a encontrou.
Paga-se pelo crime dos néscios com o sangue dos sábios. Acontece frequentemente, e a muito tempo.
Por causa disso, a forma ideal de divulgar vulnerabilidades é em sites de segurança (que os Hackers usam como fonte de conhecimento), sob anonimato.
Ou, no caso de um banco ou serviço público, use seu notebook para conectar wireless em um aeroporto e ponha a notícia em um site de grande circulação.
Paga-se pelo crime dos néscios com o sangue dos sábios. Acontece frequentemente, e a muito tempo.
Por causa disso, a forma ideal de divulgar vulnerabilidades é em sites de segurança (que os Hackers usam como fonte de conhecimento), sob anonimato.
Ou, no caso de um banco ou serviço público, use seu notebook para conectar wireless em um aeroporto e ponha a notícia em um site de grande circulação.
Comentário de marcus
23/05/06 17:45 - usuário registrado #274
Responsabilidade: Eu acho que falhas de segurança tem que ser divulgadas com responsabilidade.
Várias espécies de "pestes digitais" são criadas explorando falhas de segurança, e caso não haja uma correção disponível para o problema, quem "paga o pato" é o usuário.
Agora, se o fabricante/desenvolvedor é notificado na falha e não toma atitude... tem que divulgar mesmo que é pra ver se toma vergonha.
Mas um especialista em segurança que fica divulgado a "torto e a direito" tudo que descobre, somente pra ganhar fama... tem que tomar na cara (não sei se foi o caso).
Várias espécies de "pestes digitais" são criadas explorando falhas de segurança, e caso não haja uma correção disponível para o problema, quem "paga o pato" é o usuário.
Agora, se o fabricante/desenvolvedor é notificado na falha e não toma atitude... tem que divulgar mesmo que é pra ver se toma vergonha.
Mas um especialista em segurança que fica divulgado a "torto e a direito" tudo que descobre, somente pra ganhar fama... tem que tomar na cara (não sei se foi o caso).
Comentário de giganttee
23/05/06 20:26 - usuário registrado #3622
O usuário continua "pagando: O usuário continua "pagando o pato", existindo correção ou não. A diferença é que divulgando-a, o usuário "paga o pato" conscientemente. Não vamos agora impedir que falhas de segurança não sejam reportadas a menos que se tenha correções. Ou então jogar a culpa em quem divulgou e tomá-lo como bode-espiatório.
Comentário de Copernico Vespucio
24/05/06 12:26 - usuário registrado #4868
depende....: Mas um especialista em segurança que fica divulgado a "torto e a direito" tudo que descobre, somente pra ganhar fama... tem que tomar na cara (não sei se foi o caso).
Dependendo de quem foi o responsável pela falha, vc. pode se encrencar feio reportando a falha para "as pessoas certas". Encontre uma falha em um portal de E-Business de alguma grande companhia, ou em um site de banco, informe a eles do problema e eles rapidamente vão arrumar um jeito de prender você. Muitas vezes sem consertar a falha (pq apenas prender vc. é mais barato).
Ou seja, os usuários continuam pagando o pato e vc. se danou também. Pra mim então não tem acordo: manda a denúncia anônima para a mídia e deixa com que eles se virem.
Dependendo de quem foi o responsável pela falha, vc. pode se encrencar feio reportando a falha para "as pessoas certas". Encontre uma falha em um portal de E-Business de alguma grande companhia, ou em um site de banco, informe a eles do problema e eles rapidamente vão arrumar um jeito de prender você. Muitas vezes sem consertar a falha (pq apenas prender vc. é mais barato).
Ou seja, os usuários continuam pagando o pato e vc. se danou também. Pra mim então não tem acordo: manda a denúncia anônima para a mídia e deixa com que eles se virem.
Comentário de escovadordebit
24/05/06 13:48 - usuário registrado #282
Atitude estúpida.: É a atitude mais estúpida que ja tive conhecimento.
Hoje você acessa a informação que pode estar hospedada em qualquer lugar do planeta, e sob os mais diferentes pareceres jurídicos.
Será que estes caras realmente esperam poder controlar isso?
Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."
Hoje você acessa a informação que pode estar hospedada em qualquer lugar do planeta, e sob os mais diferentes pareceres jurídicos.
Será que estes caras realmente esperam poder controlar isso?
Linux user #226380
"Linux é amigável... Ele apenas sabe escolher os amigos."
Comentário de .;.;
24/05/06 16:24
Isso me lembra aqueles: Isso me lembra aqueles casos, que você avisa seu amigo de que a namorada dele tá traindo ele, e ele briga com você.
Comentário de Dm7
25/05/06 1:52 - usuário registrado #2071
Acho que se a pessoa pensa: Acho que se a pessoa pensa em questão de fama, pode acabar de "salto alto" mesmo... agora se faz para obter conhecimento e satisfação pessoal, ainda prefiro ver como um serviço, e não como uma atitude criminosa... criminosa é a incompetência dupla de quem persegue quem reporta vulnerabilidades...