DATA DA PUBLICAÇÃO 21/06/2010 | Informática
Pesquisador se envolve em polêmica por divulgação de brecha no Windows
Tavis Ormandy conseguiu dobrar a Oracle para que ela corrigisse rapidamente uma falha no Java. O pesquisador de segurança resolveu tentar o mesmo com a Microsoft na semana passada. O objetivo será alcançado, mas a Microsoft e a imprensa envolveram Ormandy em uma situação polêmica e difícil, mencionando, repetidamente, a relação do especialista com a empresa em que trabalha: o Google. Ormandy, por sua vez, afirmou desde o início que a pesquisa e a informação divulgada é fruto de seu trabalho pessoal e não do Google.
>>> Google, Microsoft e imprensa se envolvem em debate sobre divulgação de vulnerabilidade
Microsoft reagiu e lançou correção temporária para
falha. (Foto: Reprodução)O pesquisador Tavis Ormandy publicou na quarta-feira passada (9) as informações técnicas sobre uma brecha no sistema de ajuda do Windows. Com a falha, uma visita a uma página web é suficiente para comprometer o sistema. A brecha, que segue sem correção definitiva, gerou uma nova polêmica sobre a divulgação de brechas, com um diferencial: Ormandy trabalha para o Google.
O especialista em segurança Brad Spengler, o “spender”, postou nesta quinta-feira (17) uma mensagem na lista de discussão Dailydave. Em grande parte, a mensagem de Spengler coloca a culpa na imprensa. Ormandy se distanciou da sua relação de empregado desde que divulgou as informações sobre a falha; o pesquisador deixou claro que era uma decisão pessoal, e foi a imprensa que uniu um ao outro e transformou isso em uma cruzada do Google contra a Microsoft.
É claro que a Microsoft tentou jogar a responsabilidade toda no Google e não em Ormandy; era a posição do blog oficial de segurança da companhia, que nem mesmo citou o nome de Tavis Ormandy e chama as correções temporárias propostas pelo especialista de “soluções do Google”.
Spengler também critica a Microsoft e outras empresas por recompensarem pesquisadores apenas mencionando o nome deles nos boletins de segurança. Segundo ele, isso não faz nenhuma diferença para o pesquisador. Entre especialistas, há um movimento para não mais fornecer informações sobre brechas de forma gratuita.
Em segundo plano na discussão ficou o mérito da descoberta do especialista: uma brecha gravíssima para versões XP e 2003 do Windows que pode funcionar em qualquer navegador web e também a afirmação de que o pesquisador teria sido “ignorado” se não tivesse apresentado um código que funcionasse para explorar a falha. Empresas de desenvolvimento de software costumam dizer que é errado publicar informações sobre falhas antes de uma correção estar disponível. Contudo, elas reservam a si o direito de levar quanto tempo quiserem para solucionar um problema, ou mesmo considerá-lo de baixo risco e adiar ainda mais uma correção.
Segundo o Zero Day Initiative, da empresa de segurança TippingPoint, que nunca divulga detalhes de falhas antes de elas serem corrigidas, a Microsoft tem em suas mãos uma brecha de alto risco há quase dois anos que ainda aguarda correção. A companhia de segurança Computer Associates também ainda não consertou uma falha que conhece há dois anos. A IBM ainda não corrigiu outra já conhecida há três anos.
A eEye, outra companhia de segurança, diz que informou a Cisco sobre um problema há dois anos e meio. Essa vulnerabilidade também ainda não foi corrigida. Em outras palavras, é um problema que aparece em todas as empresas e, por algum motivo, quando um pesquisador acredita que sua descoberta merece mais atenção, ele é considerado “errado”.
É o pouco caso das empresas para com algumas falhas e a demora para o lançamento de uma correção que leva especialistas como Tavis Ormandy a agir de forma independente e levar ao público os detalhes, antes que a falha seja usada em um ataque como a Operação Aurora, que se infiltrou na rede do Google.
Ormandy acredita que a Microsoft não cooperou com sua descoberta e o teria ignorado. Por isso viu a necessidade de revelar as informações publicamente apenas quatro dias após ter avisado a empresa.
De qualquer forma, a brecha já está sendo explorada na internet e a Microsoft disponibilizou uma correção rápida “Fix It” para corrigir o problema temporariamente até que uma solução definitiva seja disponibilizada.
>>> Código de servidor IRC é comprometido para incluir “porta dos fundos”
O servidor de IRC UnrealIRCd teve seu código alterado maliciosamente em novembro de 2009. Só agora os desenvolvedores notaram o problema. O código permite que o invasor execute qualquer comando nos servidores Linux que estiverem com o UnrealIRCd. Quem tem o servidor no Windows não está em risco, exceto se compilou seu próprio servidor.
O software é um servidor de bate-papo popular. A alteração “trojanizada” chegou aos servidores do Gentoo Linux, que redistribuíram o programa infectado.
Não é a primeira vez que alterações maliciosas são feitas em programas de Linux. Em 2008, a Red Hat redistribuiu o programa OpenSSH, usado para administração remota de servidores, por suspeita de alterações maliciosas. Em 2002, os códigos do OpenSSH e também do Sendmail – programa popular para envio de e-mail pelo Linux – foram alterados para comprometer os sistemas de quem fosse instalar os programas.
>>> Games eram alvo de ataque on-line que infectou o ‘Wall Street Journal’
Os ataques que a coluna comentou no resumo de notícias da semana passada tinham como objetivo roubar credenciais usadas em jogos on-line, segundo novas informações divulgadas pelas empresas de segurança. Entre os sites comprometidos pelos ataques estão os jornais “The Wall Street Journal” e o “Jerusalem Post”.
Os invasores se aproveitaram de brechas do tipo SQL Injection para alterar as páginas e incluir um código malicioso que instalava vírus em PCs de visitantes que estivessem vulneráveis. O vírus, uma vez instalado, roubava a senha e o nome do usuário usado nos jogos. Os criminosos depois roubam a conta, deixando o personagem virtual “pelado” e vendem os itens por dinheiro real.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
>>> Google, Microsoft e imprensa se envolvem em debate sobre divulgação de vulnerabilidade
Microsoft reagiu e lançou correção temporária para
falha. (Foto: Reprodução)O pesquisador Tavis Ormandy publicou na quarta-feira passada (9) as informações técnicas sobre uma brecha no sistema de ajuda do Windows. Com a falha, uma visita a uma página web é suficiente para comprometer o sistema. A brecha, que segue sem correção definitiva, gerou uma nova polêmica sobre a divulgação de brechas, com um diferencial: Ormandy trabalha para o Google.
O especialista em segurança Brad Spengler, o “spender”, postou nesta quinta-feira (17) uma mensagem na lista de discussão Dailydave. Em grande parte, a mensagem de Spengler coloca a culpa na imprensa. Ormandy se distanciou da sua relação de empregado desde que divulgou as informações sobre a falha; o pesquisador deixou claro que era uma decisão pessoal, e foi a imprensa que uniu um ao outro e transformou isso em uma cruzada do Google contra a Microsoft.
É claro que a Microsoft tentou jogar a responsabilidade toda no Google e não em Ormandy; era a posição do blog oficial de segurança da companhia, que nem mesmo citou o nome de Tavis Ormandy e chama as correções temporárias propostas pelo especialista de “soluções do Google”.
Spengler também critica a Microsoft e outras empresas por recompensarem pesquisadores apenas mencionando o nome deles nos boletins de segurança. Segundo ele, isso não faz nenhuma diferença para o pesquisador. Entre especialistas, há um movimento para não mais fornecer informações sobre brechas de forma gratuita.
Em segundo plano na discussão ficou o mérito da descoberta do especialista: uma brecha gravíssima para versões XP e 2003 do Windows que pode funcionar em qualquer navegador web e também a afirmação de que o pesquisador teria sido “ignorado” se não tivesse apresentado um código que funcionasse para explorar a falha. Empresas de desenvolvimento de software costumam dizer que é errado publicar informações sobre falhas antes de uma correção estar disponível. Contudo, elas reservam a si o direito de levar quanto tempo quiserem para solucionar um problema, ou mesmo considerá-lo de baixo risco e adiar ainda mais uma correção.
Segundo o Zero Day Initiative, da empresa de segurança TippingPoint, que nunca divulga detalhes de falhas antes de elas serem corrigidas, a Microsoft tem em suas mãos uma brecha de alto risco há quase dois anos que ainda aguarda correção. A companhia de segurança Computer Associates também ainda não consertou uma falha que conhece há dois anos. A IBM ainda não corrigiu outra já conhecida há três anos.
A eEye, outra companhia de segurança, diz que informou a Cisco sobre um problema há dois anos e meio. Essa vulnerabilidade também ainda não foi corrigida. Em outras palavras, é um problema que aparece em todas as empresas e, por algum motivo, quando um pesquisador acredita que sua descoberta merece mais atenção, ele é considerado “errado”.
É o pouco caso das empresas para com algumas falhas e a demora para o lançamento de uma correção que leva especialistas como Tavis Ormandy a agir de forma independente e levar ao público os detalhes, antes que a falha seja usada em um ataque como a Operação Aurora, que se infiltrou na rede do Google.
Ormandy acredita que a Microsoft não cooperou com sua descoberta e o teria ignorado. Por isso viu a necessidade de revelar as informações publicamente apenas quatro dias após ter avisado a empresa.
De qualquer forma, a brecha já está sendo explorada na internet e a Microsoft disponibilizou uma correção rápida “Fix It” para corrigir o problema temporariamente até que uma solução definitiva seja disponibilizada.
>>> Código de servidor IRC é comprometido para incluir “porta dos fundos”
O servidor de IRC UnrealIRCd teve seu código alterado maliciosamente em novembro de 2009. Só agora os desenvolvedores notaram o problema. O código permite que o invasor execute qualquer comando nos servidores Linux que estiverem com o UnrealIRCd. Quem tem o servidor no Windows não está em risco, exceto se compilou seu próprio servidor.
O software é um servidor de bate-papo popular. A alteração “trojanizada” chegou aos servidores do Gentoo Linux, que redistribuíram o programa infectado.
Não é a primeira vez que alterações maliciosas são feitas em programas de Linux. Em 2008, a Red Hat redistribuiu o programa OpenSSH, usado para administração remota de servidores, por suspeita de alterações maliciosas. Em 2002, os códigos do OpenSSH e também do Sendmail – programa popular para envio de e-mail pelo Linux – foram alterados para comprometer os sistemas de quem fosse instalar os programas.
>>> Games eram alvo de ataque on-line que infectou o ‘Wall Street Journal’
Os ataques que a coluna comentou no resumo de notícias da semana passada tinham como objetivo roubar credenciais usadas em jogos on-line, segundo novas informações divulgadas pelas empresas de segurança. Entre os sites comprometidos pelos ataques estão os jornais “The Wall Street Journal” e o “Jerusalem Post”.
Os invasores se aproveitaram de brechas do tipo SQL Injection para alterar as páginas e incluir um código malicioso que instalava vírus em PCs de visitantes que estivessem vulneráveis. O vírus, uma vez instalado, roubava a senha e o nome do usuário usado nos jogos. Os criminosos depois roubam a conta, deixando o personagem virtual “pelado” e vendem os itens por dinheiro real.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda