Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Vulnerabilidades
  • Full-disclosure: o que ganhamos com essa prática de divulgação de vulnerabilidades?
Vulnerabilidades
_ 30 de dezembro de 2016

Full-disclosure: o que ganhamos com essa prática de divulgação de vulnerabilidades?

Por Leonardo Militelli, CEO e fundador da iBLISS Digital Security

Há muito tempo existe um mercado de pesquisa de vulnerabilidades, em que pesquisadores independentes ou funcionários de alguma empresa buscam por falhas em softwares, sistemas e aplicações conhecidas, como o Windows, o Flash e o Android, por exemplo. O assunto, no entanto, gera uma série de polêmicas, principalmente envolvendo a publicação dessas falhas, que muitas vezes ocorre sem o consentimento das empresas.

Enquanto alguns grupos de pesquisadores vendem as vulnerabilidades desconhecidas (que chamamos de zero-day), outras empresas sérias desenvolveram um programa de “divulgação responsável” de vulnerabilidades (em inglês, responsible disclosure). Nesse caso, quando encontram uma falha, cuidam para que a organização responsável pelo desenvolvimento da aplicação afetada se conscientize do erro e aguardam sua correção para então publicar a falha e receber os créditos pela descoberta. Trata-se de uma forma de demonstrar a capacidade técnica da equipe.

Porém, recentemente, temos visto uma série de veículos de imprensa divulgando falhas arbitrariamente, sem qualquer consentimento ou comunicação com a empresa afetada. Essa estratégia pode impactar drasticamente as operações, afinal, trata-se de uma falha de segurança sendo divulgada abertamente sem que a empresa ainda tenha tido tempo de solucioná-la.

“Denúncias” já são recorrentes na imprensa brasileira

Só este ano no Brasil, os veículos de comunicação brasileiros já publicaram uma série de casos semelhantes, em que jornalistas recebem denúncias contendo detalhes sobre falhas de segurança em diversas empresas.

Já há até veículos que incentivem a prática abertamente, colocando meios de contato à disposição para denúncias de vulnerabilidades em sistemas e aplicações.

As intenções por trás desse tipo de divulgação de vulnerabilidades geralmente são boas. Na maioria das vezes o objetivo é deixar cientes os usuários dos serviços afetados por vulnerabilidades, porém os resultados podem ser desastrosos.

Em agosto deste ano, uma empresa de cibersegurança com foco no setor de saúde publicou uma série de vulnerabilidades em sistemas de uma organização americana fabricante de dispositivos médicos, sem antes informar os responsáveis pelo desenvolvimento dos produtos. Ao vender as informações para uma pesquisadora de investimentos, a empresa de cibersegurança aumentou seus lucros consideravelmente, enquanto as ações da organização fabricante caíram 8%.

Os dois lados do debate

Na maioria das vezes, a intenção de quem publica a falha é garantir que a empresa afetada conserte as vulnerabilidades prontamente e recompense os esforços que levaram à sua descoberta. Existe também a preocupação em deixar o usuário ciente de que seus dados podem estar em perigo.

No Brasil vimos uma série de casos em que os pesquisadores se preocuparam em avisar as empresas afetadas, mas receberam respostas que beiravam a negligência. Nesses casos, a divulgação de vulnerabilidades poderia ensinar às empresas uma lição mais dura sobre a importância das estratégias de proteção.

No entanto, é importante entender os riscos aos quais os usuários ficam expostos quando uma vulnerabilidade antes desconhecida chega ao público. Vulnerabilidades do tipo zero-day, por exemplo, são muito mais perigosas quando chegam ao público antes de serem solucionadas, afinal, a maioria dos hackers não seria capaz de descobri-las sem que fossem publicadas.

Diante de tantos pontos, é importante questionarmos os benefícios desse tipo de divulgação de vulnerabilidades. Apesar de ser uma forma de pressionar as empresas para que cuidem da segurança de seus dados, esse tipo de ação pode causar um grande caos, podendo levar à perda de dados e de receita.

cibersegurança divulgação de vulnerabilidades hackers Vulnerabilidades
♥2
Saiba se blockchain pode ser vantajoso para a cibersegurança
28 de dezembro de 2016
As maiores preocupações dos líderes de segurança da TI em 2017
2 de janeiro de 2017

Postagens Recentes

  • Como manter a segurança de nossas crianças na Internet?
  • Seus colaboradores estão prontos para os desafios trazidos pela Segurança da Informação e Privacidade?
  • Resiliência Cibernética: como está sua resposta ao incidente?
  • IBLISS Digital Security anuncia parceria com a empresa INVIRON
  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.