Uma chamada para uma melhor coordenação da divulgação de vulnerabilidades
Por Chris Betz
Por anos os nossos clientes vêm se defendendo contra ataques cibernéticos e temos estado junto com vocês. E não estamos indo para qualquer lugar. Sabemos onde queremos ir. Muitas vezes, procuramos as forças para prejudicar e perturbar pessoas e tecnologias, na tentativa de enfraquecer os dispositivos e serviços do qual as pessoas passaram a depender e a confiar. Assim como ações mal-intencionadas são planejadas, contra-medidas também são implementadas por empresas como a Microsoft. Esses esforços a fim de proteger todos contra um amplo espectro de atividades variando de tentativas de phishing que se concentram na engenharia social, como ataques sofisticados por adversários persistentes e determinados. (E sim, as pessoas têm um papel a desempenhar – criar senhas fortes, implementar boas políticas e práticas, manter-se em dia com o melhor da sua habilidade na detecção e resposta, etc. Mas vamos deixar esses tópicos para outro dia).
Com tudo o que se está se passando, este é um momento para os pesquisadores de segurança e as empresas de software se unirem e não ficar em desacordo sobre as importantes estratégias de proteção, tais como a divulgação de vulnerabilidades e a correção dos mesmas.
Em termos da indústria de software em geral, cada jogador tem sua responsabilidade, e nós acreditamos na Divulgação Coordenada de Vulnerabilidades (DCV). Este é um tópico que o profissional da tecnologia de segurança tem debatido durante anos. Por fim, a colaboração entre investigadores e fornecedores existe a fim de evitar as vulnerabiliades no campo e criar oportunidades para que os clientes e seus dados estejam melhores protegidos contra ataques cibernéticos.
Os que são a favor da plena revelação pública, acreditam que este método forçam os fornecedores de software a corrigir as vulnerabilidades mais rapidamente e faz com que os clientes se desenvolvam e tomem as providências necessárias para se proteger. Estamos em desacordo. Divulgar informações sem contexto ou forçar um determinado caminho para outras proteções, e criar pressões indevidas complica ainda mais o ambiente técnico. É necessário avaliar plenamente o potencial de cada vulnerabilidade, conceber e avaliar contra o vasto panorama de ameaças, e emitir um "fix" antes que ela seja divulgado para o público em geral, incluindo aqueles que iriam usar a vulnerabilidade para orquestrar um ataque.
A filosofia do (DCV) e ação que foi tomada hoje como a empresa - Google – que liberou informações sobre uma vulnerabilidade em um produto da Microsoft, dois dias antes do planejamento e da nossa bem conhecida e coordenada Terça-feira de Atualizações (Patch Tuesday/Update Tuesday), apesar do nosso pedido que eles evitassem fazê-lo. Especificamente, nós pedimos ao Google para trabalhar conosco a fim de proteger os clientes através de retenção da fonte e os detalhes até a Terça –feira, 13 de Janeiro, quando lançaremos uma correção. Apesar do Google saber do cronograma de divulgação, a decisão enfraquece os princípios e cria uma "pegadinha", com os clientes que podem sofrer como resultado disso. O que é certo para o Google não é sempre certo para os clientes. Instamos o Google a fazer proteção dos clientes nosso objectivo principal e coletivo.
Há muito tempo a Microsoft acredita que divulgação coordenada é a abordagem certa, e minimiza os riscos para os clientes. Acreditamos que aqueles que plenamente revelam uma vulnerabilidade antes que correção esteja amplamente disponível estão a prestar um desserviço a milhões de pessoas e aos sistemas da qual eles dependem. Outras empresas e indivíduos acreditam que a divulgação é necessária porque isso força os clientes a se defenderem, embora a grande maioria não tomam nenhuma ação, sendo em grande parte dependente de um fornecedor de software para liberar uma atualização de segurança. Mesmo para aquelas que são capazes de tomar medidas preparatórias, o risco é significativamente maior ao anunciar publicamente as informações que um criminoso cibernético pode obter e poderia usar para orquestrar um ataque e assume que, tomar medidas e se tornem cientes do problema. Das vulnerabilidades divulgadas e coordenadas de forma privada que são corrigidas pelos fornecedores de software, descobrimos que quase nenhuma é explorada antes que um "fix" tenha sido fornecido aos clientes, e mesmo depois que uma "correção" é colocada à disposição do público, apenas uma muito pequena quantidade são sempre explorados. Por outro lado, o recorde de vulnerabilidades divulgadas publicamente antes que ascorreções estejam disponíveis para produtos afetados é muito pior, com cibercrimes mais freqüentemente orquestrando ataques contra aqueles que não têm ou não podem proteger-se a si mesmos.
Outro aspecto que a DCV debate tem a ver com distribuição - especificamente a quantidade de tempo que é aceitável antes de um pesquisador em geral comunicar a existência de uma vulnerabilidade. O parecer sobre este ponto varia amplamente. A nossa abordagem e que temos defendido e encorajados outros adotar, é que os investigadores trabalharem com o fornecedor para entregar uma atualização que proteja os clientes antes que os detalhes da vulnerabilidade seja divulgado. É claro que há casos em que a falta de resposta de um(s) fornecedor(es) desafia o plano, mas ainda assim nosso foco é proteger os clientes. Você pode ver os nossos valores em ação através da nossos próprios especialistas de segurança que encontram e reportam vulnerabilidades em muitas empresas, em produtos, inclusive alguns dos quais poderíamos receber crédito, e muitos que não são reconhecidos publicamente. Não acreditamos que seria direito ter nossos pesquisadores de segurança encontrar vulnerabilidades nos produtos concorrentes, aplicar pressão para que a correção esteja pronta dentro de um determinado período de tempo, e em seguida, publicamente divulgar informações que possam ser utilizadas para explorar a vulnerabilidade e atacar os clientes antes que uma correção seja criada.
Responder às vulnerabilidades de segurança pode ser um complexo, extenso e demorado processo. Como um fornecedor de software, esta é uma área em que temos anos de experiência. Algumas das complexidade na distribuição da discussão está enraizada na variedade de ambientes que nós, como profissionais de segurança devemos considerar: impacto no mundo real no ambiente do cliente, o número de plataformas suportadas onde o problema existe, e a complexidade da correção. As vulnerabilidades não são todas iguais, nem tem tamanho definido. E uma atualização para um serviço online pode ter diferente complexidade e as dependências de uma correção para um produto de software, ou software cuja plataforma exista em dezenas de milhares onde pessoas já construíram seus aplicativos, dispositivos de hardware. Uma atenciosa colaboração entre fornecedores leva esses atributos em conta.
Para chegar a um lugar onde a estratégia de segurança é importante como proteger os clientes, temos que trabalhar juntos. Devemos apreciar e reconhecer a colaboração positiva, a partilha de informação e orientação para a obtenção de resultados em curso com muitos leitores segurança hoje. Pedimos aos investigadores privados divulgar vulnerabilidades para fornecedores de software, trabalhando com eles até que uma correção seja disponibilizada antes de compartilhar todos os detalhes publicamente. Isso é uma parceria onde os clientes se beneficiam ao máximo. Políticas e estratégias que limitam ou ignoram a parceria não beneficiam os pesquisadores, fornecedores de software, tão pouco nossos clientes. Trata-se de um jogo de soma de zeros em que todas as partes acabam feridas.
Vamos enfrentá-la, nenhum software é perfeito. É, depois de tudo, feito por seres humanos. A Microsoft tem a responsabilidade de trabalhar no melhor interesse dos nossos clientes para tratar dos problemas de segurança rapidamente, de um modo abrangente, e de uma forma que continua a permitir que o vasto ecossistema forneça tecnologia para impactar positivamente a vida das pessoas. Software é orgânico, os padrões de uso e práticas e novos sistemas são construídos em cima dos produtos que testes (e em alguns casos) ultrapassam os limites de sua concepção original. De várias maneiras, é emocionante viver em um mundo de software em rápida evolução. Indicando que estes pontos não é , de forma alguma, uma abdicação da responsabilidade. A nossa tarefa é construir o melhor software possível que podemos, e para protegê-lo continuamente com o melhor de nossa capacidade. Estamos todos juntos!
Chris Betz
Diretor sênior, MSRC
Trustworthy Computing
[Nota: na nossa própria página de política DCV (disponível em microsoft.com/cvd ), nós mencionamos as exceções para os casos em que se pode lançar um comunicado sobre uma vulnerabilidade em que um software de terceiro antes que uma atualização esteja pronta, inclusive quando os detalhes técnicos se tornaram conhecidos publicamente, quando há evidências de exploração de uma vulnerabilidade sem patches, e quando o vendedor não responde aos pedidos de discussão.]