DATA DA PUBLICAÇÃO 23/04/2011 | Informática
''Não corrigimos falhas menores para não danificar o produto'', diz Microsoft
A Microsoft divulga todos os meses atualizações de segurança de seus produtos para corrigir falhas encontradas por hackers e pesquisadores. Porém, alguns problemas nunca receberam correção, mesmo depois de terem se tornado públicos.
Segundo Mike Reavey, diretor do Microsoft Security Response Center, falhas com pouco risco não são corrigidas pois podem prejudicar outras funções do produto que estão funcionando normalmente. “Os próprios consumidores não iriam aplicar a correção de qualquer jeito”, afirmou Reavey em entrevista exclusiva ao G1.
Reavey esteve em São Paulo para participar do Fórum BlueHat Security, organizado pela Microsoft para discutir as prevenções e os riscos à segurança digital. O Microsoft Security Response Center é responsável por encontrar e solucionar brechas existentes nos produtos da empresa.
Reavey contou ao G1 como é o ritmo de trabalho da sua equipe e como a Microsoft lida com as novas ameaças. Entre as revelações do executivo está a de que o grupo de segurança não usa filtro de spam para que nenhum possível relato de vulnerabilidade seja perdido.
Veja abaixo a íntegra da entrevista.
Por que existem falhas publicadas na internet que ainda não receberam correção?
Mike Reavey – O Microsoft Security Response Center sempre vai investigar qualquer falha que apareça. Nós trabalhamos para ter certeza que a maioria das falhas serão consertadas antes que os nossos consumidores fiquem sabendo. Às vezes, há problemas detectados que possuem riscos menores ou que são pouco práticos para um ataque. Além disso, aquele problema talvez requeira uma mudança na configuração e na arquitetura do produto. Se nós consertarmos essa falha, talvez prejudique outras funções do produto.
Então, para ataques de pouca severidade ou impraticáveis, nós não queremos parar a funcionalidade de sistemas que estão funcionando pois os consumidores não iriam aplicar a correção de qualquer jeito. Porém, em casos de ataques grandes, não vamos apenas corrigir o problema, como vamos colocar soluções para que as pessoas se protejam.
No entanto, é importante saber que 85% das falhas que nós reportamos – de forma privada – foram corrigidas antes que houvesse qualquer notificação pública. Portanto, a grande maioria das falhas são consertadas antes que os usuários sejam expostos a qualquer tipo de risco.
Como funciona o trabalho do Microsoft Security Response Center?
Mike Reavey – O time do Security Response coordena qualquer vulnerabilidade que é encontrada em produtos da Microsoft, como Windows, Internet Explorer e Office. Nós não criamos a correção. Nós trabalhamos com engenheiros do produto, que conhecem bem o sistema, e eles nos ajudam a criar a correção. O que fazemos é trabalhar com a equipe do produto para entender a brecha encontrada pelo hacker. Mais do que apenas consertar um problema, nossa equipe tenta resolver o maior número possível de falhas. Desta forma, quando os consumidores baixam a atualização, ela irá durar por mais tempo.
Quantas pessoas trabalham no Microsoft Security Response Center?
Mike Reavey – Mais de 40 pessoas. Porém, nós temos funcionários dedicados nas equipes dos produtos que também trabalham nos problemas de segurança. Para a maioria das ocorrências, há centenas de pessoas trabalhando na atualização de segurança. E, para incidentes maiores, é possível ter mais de 1 mil funcionários focados na falha.
Como é feita a escala dos funcionários?
Mike Reavey – Em uma grande falha, nós trabalhamos no modelo chamado “seguindo o sol” (quando as tarefas são repassadas para equipes em outras partes do mundo). A Microsoft é uma empresa global que trabalha com equipes em várias partes do mundo, como China, Índia e Europa. Muitas falhas são resolvidas durante o horário comercial. Porém, em incidentes de alta prioridade, nós não paramos de funcionar e trabalhamos 24 horas por dia em sete dias por semana no modelo “seguindo o sol” (quando um escritório fecha na Califórnia, outra equipe pega as tarefas no Japão, por exemplo).
Como a Microsoft acompanha as mudanças na área da segurança?
Mike Reavey – O nosso trabalho nunca é chato. Nós acompanhamos o desenvolvimento do cenário de segurança ao longo dos anos e a Microsoft tem crescido junto com esse panorama. Porém, uma das razões que fazemos eventos como o “BlueHat” é porque a comunidade de pesquisadores está sempre encontrando novas maneiras inovadoras de testar a segurança dos produtos. Nós criamos uma relação com essa comunidade para entender a sua metodologia.
Como a Microsoft gerencia os avisos de brechas enviados pelos clientes?
Mike Reavey – Os tipos de vulnerabilidade estão sempre mudando e as defesas também. Nós recebemos mais de 100 mil e-mails no site da Microsoft Security por ano. Nós temos funcionários que olham todos esses e-mails para entender se algum deles envolve vulnerabilidade. A maioria dessas mensagens não tem relação com segurança. Por isso, acabamos selecionando 1 mil e-mails para investigar. Chegam perguntas de suporte como “minha conta do Hotmail está comprometida”. Mas isso é normal porque o endereço da Microsoft Security é muito procurado. Porém, não usamos filtro de spam e nem sistema automático porque podemos receber problemas críticos também. Realmente temos pessoas que cuidam do e-mail 24 horas por dia.
Quais os principais desafios das ameaças de hoje?
Mike Reavey – As ameaças estão ficando melhores e mais desafiadoras em várias áreas. Por
exemplo: quando eu cheguei na Microsoft (em 2003), você via vírus que atacavam as máquinas quando o usuário não estava fazendo nada. Hoje, não se vê mais isso pois as ameaças estão diferentes. O que está acontecendo hoje, mais do que nunca, é um esforço colaborativo, uma defesa de base da comunidade, onde não há um produto trabalhando por si só tentando resolver o problema. Eles estão trabalhando com outros. Eu acho que isso é necessário para tentar criar mais confiança na internet.
Como é sempre ter que corrigir um problema novo em um produto diferente?
Mike Reavey – É sempre muito desafiador para a Microsoft atualizar os seus produtos, pois há várias versões, em diversas línguas e com diferentes funções. Mesmo assim, atualizamos os sistemas todos os meses, na segunda terça-feira de cada mês, às 10h [horário do Pacífico, 15h de Brasília]. Algumas vezes, atualizamos 600 milhões de sistemas [de usuários] durante a primeira semana do mês. E, se nós “invalidamos” algo, as pessoas não irão instalar a atualização. Então, a prioridade número 1 nas nossas atualizações de segurança é ter sempre muita qualidade. Nós construímos processos e testamos sistemas e isso leva algum tempo. Por isso, realizar esses testes é um processo muito intenso e que leva tempo.
Segundo Mike Reavey, diretor do Microsoft Security Response Center, falhas com pouco risco não são corrigidas pois podem prejudicar outras funções do produto que estão funcionando normalmente. “Os próprios consumidores não iriam aplicar a correção de qualquer jeito”, afirmou Reavey em entrevista exclusiva ao G1.
Reavey esteve em São Paulo para participar do Fórum BlueHat Security, organizado pela Microsoft para discutir as prevenções e os riscos à segurança digital. O Microsoft Security Response Center é responsável por encontrar e solucionar brechas existentes nos produtos da empresa.
Reavey contou ao G1 como é o ritmo de trabalho da sua equipe e como a Microsoft lida com as novas ameaças. Entre as revelações do executivo está a de que o grupo de segurança não usa filtro de spam para que nenhum possível relato de vulnerabilidade seja perdido.
Veja abaixo a íntegra da entrevista.
Por que existem falhas publicadas na internet que ainda não receberam correção?
Mike Reavey – O Microsoft Security Response Center sempre vai investigar qualquer falha que apareça. Nós trabalhamos para ter certeza que a maioria das falhas serão consertadas antes que os nossos consumidores fiquem sabendo. Às vezes, há problemas detectados que possuem riscos menores ou que são pouco práticos para um ataque. Além disso, aquele problema talvez requeira uma mudança na configuração e na arquitetura do produto. Se nós consertarmos essa falha, talvez prejudique outras funções do produto.
Então, para ataques de pouca severidade ou impraticáveis, nós não queremos parar a funcionalidade de sistemas que estão funcionando pois os consumidores não iriam aplicar a correção de qualquer jeito. Porém, em casos de ataques grandes, não vamos apenas corrigir o problema, como vamos colocar soluções para que as pessoas se protejam.
No entanto, é importante saber que 85% das falhas que nós reportamos – de forma privada – foram corrigidas antes que houvesse qualquer notificação pública. Portanto, a grande maioria das falhas são consertadas antes que os usuários sejam expostos a qualquer tipo de risco.
Como funciona o trabalho do Microsoft Security Response Center?
Mike Reavey – O time do Security Response coordena qualquer vulnerabilidade que é encontrada em produtos da Microsoft, como Windows, Internet Explorer e Office. Nós não criamos a correção. Nós trabalhamos com engenheiros do produto, que conhecem bem o sistema, e eles nos ajudam a criar a correção. O que fazemos é trabalhar com a equipe do produto para entender a brecha encontrada pelo hacker. Mais do que apenas consertar um problema, nossa equipe tenta resolver o maior número possível de falhas. Desta forma, quando os consumidores baixam a atualização, ela irá durar por mais tempo.
Quantas pessoas trabalham no Microsoft Security Response Center?
Mike Reavey – Mais de 40 pessoas. Porém, nós temos funcionários dedicados nas equipes dos produtos que também trabalham nos problemas de segurança. Para a maioria das ocorrências, há centenas de pessoas trabalhando na atualização de segurança. E, para incidentes maiores, é possível ter mais de 1 mil funcionários focados na falha.
Como é feita a escala dos funcionários?
Mike Reavey – Em uma grande falha, nós trabalhamos no modelo chamado “seguindo o sol” (quando as tarefas são repassadas para equipes em outras partes do mundo). A Microsoft é uma empresa global que trabalha com equipes em várias partes do mundo, como China, Índia e Europa. Muitas falhas são resolvidas durante o horário comercial. Porém, em incidentes de alta prioridade, nós não paramos de funcionar e trabalhamos 24 horas por dia em sete dias por semana no modelo “seguindo o sol” (quando um escritório fecha na Califórnia, outra equipe pega as tarefas no Japão, por exemplo).
Como a Microsoft acompanha as mudanças na área da segurança?
Mike Reavey – O nosso trabalho nunca é chato. Nós acompanhamos o desenvolvimento do cenário de segurança ao longo dos anos e a Microsoft tem crescido junto com esse panorama. Porém, uma das razões que fazemos eventos como o “BlueHat” é porque a comunidade de pesquisadores está sempre encontrando novas maneiras inovadoras de testar a segurança dos produtos. Nós criamos uma relação com essa comunidade para entender a sua metodologia.
Como a Microsoft gerencia os avisos de brechas enviados pelos clientes?
Mike Reavey – Os tipos de vulnerabilidade estão sempre mudando e as defesas também. Nós recebemos mais de 100 mil e-mails no site da Microsoft Security por ano. Nós temos funcionários que olham todos esses e-mails para entender se algum deles envolve vulnerabilidade. A maioria dessas mensagens não tem relação com segurança. Por isso, acabamos selecionando 1 mil e-mails para investigar. Chegam perguntas de suporte como “minha conta do Hotmail está comprometida”. Mas isso é normal porque o endereço da Microsoft Security é muito procurado. Porém, não usamos filtro de spam e nem sistema automático porque podemos receber problemas críticos também. Realmente temos pessoas que cuidam do e-mail 24 horas por dia.
Quais os principais desafios das ameaças de hoje?
Mike Reavey – As ameaças estão ficando melhores e mais desafiadoras em várias áreas. Por
exemplo: quando eu cheguei na Microsoft (em 2003), você via vírus que atacavam as máquinas quando o usuário não estava fazendo nada. Hoje, não se vê mais isso pois as ameaças estão diferentes. O que está acontecendo hoje, mais do que nunca, é um esforço colaborativo, uma defesa de base da comunidade, onde não há um produto trabalhando por si só tentando resolver o problema. Eles estão trabalhando com outros. Eu acho que isso é necessário para tentar criar mais confiança na internet.
Como é sempre ter que corrigir um problema novo em um produto diferente?
Mike Reavey – É sempre muito desafiador para a Microsoft atualizar os seus produtos, pois há várias versões, em diversas línguas e com diferentes funções. Mesmo assim, atualizamos os sistemas todos os meses, na segunda terça-feira de cada mês, às 10h [horário do Pacífico, 15h de Brasília]. Algumas vezes, atualizamos 600 milhões de sistemas [de usuários] durante a primeira semana do mês. E, se nós “invalidamos” algo, as pessoas não irão instalar a atualização. Então, a prioridade número 1 nas nossas atualizações de segurança é ter sempre muita qualidade. Nós construímos processos e testamos sistemas e isso leva algum tempo. Por isso, realizar esses testes é um processo muito intenso e que leva tempo.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda