EUA deviam comprar vulnerabilidades “zero day”

O especialista em segurança, Dan Greer, acha também que seria útil o XP tornar-se open source, para a comunidade poder dar suporte aos utilizadores.

Dan Geer (DR)_CSO da In-Q-TelO governo dos EUA devia pagar 10 vezes o preço da informação sobre uma vulnerabilidade do tipo “zero day”, para dominar o mercado, sugeriu na conferência Black Hat 2014, o CSO da In-Q-Tel, Dan Greer. Este especialista em segurança das TI, acrescenta que depois as autoridades deviam tornar esses dados públicos, para serem menos potentes e úteis aos cibercriminosos.

Isso reduziria as ameaças globais contra o tráfego da Internet em geral, e custaria menos do que os danos causados por ataques reais, diz o responsável da operação de capital de risco da Central Intelligence Agency. A ideia teria um impacto significativo sobre a segurança em geral tendo em conta que a maioria dos softwares não está cheia de falhas de segurança.

No entanto, se essa ocorrência fosse densa, o esquema não funcionaria tão bem: os fornecedores de software iriam acabar por gastar todo o seu tempo a corrigir falhas nos produtos.  “Mas eu acredito que sejam suficientemente escassas para se dominar o mercado, e nós podermos fazer a diferença”, considerou Geer.

Houve uma época na qual encontrar vulnerabilidades era um passatempo com a recompensa a ser o direito a gabar-se. Mas agora encontrar falhas é um trabalho a tempo inteiro, mas garante que os investigadores não partilhem as suas descobertas, levando portanto a um aumento na taxa de ataques de “zero day”.

Outra das propostas de Geer seria tornar o Windows XP open source , como forma de evitar que os utilizadores fossem abandonados pela Microsoft. O mesmo podia aplicar-se a outros fabricantes e software, ainda muito utilizado, mas sem suporte.

Entregar o suporte à comunidade seria a “pior opção” com excepção das outras para, Dan Greer.

Ao abandonar o processo de actualizações os produtores deviam entregar essa função ao público em geral. É injusto os fabricantes terminarem oficialmente o suporte a certas plataformas, mas, ao mesmo tempo continuarem a apoiar os clientes capazes de pagar de forma suplementar pelo suporte, considera.

Reconheceu que a solução não é perfeita, dada a incerteza sobre como a comunidade open source suportaria o software. “É a pior opção,” Geer disse, “com excepção de todas as outras”.

Um outra sugestão remete para a responsabilização dos fornecedores de software ​​pelos danos causados com os seus produtos na organização dos clientes. Os políticos teriam de legislar sobre isso, mas acabaria com o facto de os fabricantes terem “um passe livre para o mau software”, prevê.

Geer diz ainda que o software incorporado em dispositivos com acesso à Internet, tais como routers domésticos e sensores deviam ou incluir interfaces de gestão à distância ou com uma duração limitada. Dessa forma as falhas descobertas podiam ser corrigida remotamente através da interface, ou era eliminada acabando-se o prazo de validade.




Deixe um comentário

O seu email não será publicado