Brechas surgem já na estréia dos programas
Apesar da promessa de lucro, boa parte dos hackers e dos pesquisa-
dores independentes ainda divulga suas descobertas sem cobrar nada.
Em busca de respeito para seu grupo ou de reconhecimento profissio-
nal, os especialistas em segurança conseguem encontrar falhas quase
de forma simultânea ao lançamento oficial dos novos programas.
Quanto mais rápido os problemas aparecem, mais prestígio o pesqui-
sador recebe.
Um exemplo: no mês passado, uma falha que permitia a invasão de
computadores usando a nova versão do popular tocador Winamp foi
publicada na internet um dia antes do que o próprio programa.
Outro caso curioso aconteceu com o navegador Internet Explorer 7, que
teve a sua versão pública de testes "carimbada" pela identificação de
falhas apenas 15 minutos após o seu lançamento. A descoberta foi
feita pelo especialista Tom Ferris, do portal de segurança digital
Security Protocols (www.security-protocols.com).
Esse tipo de brecha de segurança ganha o rótulo de "0 day" e tem
maior repercussão quando os programas afetados são usados por um
grande número de pessoas. Antes de se tornar conhecido do grande
público e conquistar mais de 10% do mercado de navegadores, as
falhas de segurança encontradas no Firefox eram pouco divulgadas.
Geralmente, elas eram descobertas pela própria equipe de desenvol-
vedores e não causavam qualquer estrago na reputação do soft. Desde
2004, porém, cada brecha que aparece ganha as manchetes dos princi-
pais sites de segurança.
Mea-culpa
A demora no lançamento das correções também incentiva os caçadores de
falhas. As fabricantes de software costumam classificar as brechas
recém-descobertas em diferentes níveis de risco. No caso de riscos
considerados moderados, a correção pode demorar mais de um mês para
ser lançada. Nesse período, porém, a deficiência do programa pode ser
aproveitada de outra forma e causar problemas maiores.
Para a gerente de produtos de segurança da Microsoft do Brasil, Ana
Cláudia Alves, a técnica correta é agrupar todos os patches para que
as correções sejam feitas de forma mais eficiente. "Em casos mais
graves, entretanto, nós lançamos a correção antes do previsto", diz
Cláudia. Ela cita como exemplo a falha no reconhecimento das imagens
WMF, do Windows, que precisou de um remendo dez dias após sua desco-
berta.
A pressa em expor os programas famosos faz com que códigos incom-
pletos sejam apresentados como ameaças reais. Chamadas de proof-of-
concept, esse tipo de vulnerabilidade é exibido apenas para provar
que é possível explorar um erro de programação de um determinado
produto. Na prática, os únicos prejudicados são os produtores do
software.
[Folha de S.Paulo]
.
---
Não leve nada pro lado pessoal. Apenas divirta-se.
Comentários: www.yahoogroups.com/group/goldenlist-L/messages
Newsletter: www.yahoogroups.com/group/goldenlist/messages
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/goldenlist-L/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
