Especialistas da área da segurança e fabricantes de software parecem estar em desacordo quanto às consequências da venda livre de vulnerabilidades informáticas, uma prática que se tornou popular com as recentes tentativas de leilão no eBay de falhas no código da folha de cálculo da Microsoft para as quais ainda não existia correcção.



Estas duas acções, que o eBay acabou por suspender considerando-as como ilegais - a primeira na semana passada e a segunda no início desta semana -, chamaram a atenção dos especialistas para o efeito que este "novo mercado" poderá ter em termos de segurança. A indústria da segurança informática e a comunidade de investigação mostram-se atraídos pela questão e já existe mesmo quem encoraje tais práticas, como é o caso da iDefense da VeriSign e da TippingPoint da 3Com, iniciativas na área da investigação que incentivam programadores independentes a detectarem tais falhas.



Já as fabricantes de software tendem a discordar com tais tácticas afirmando que a exposição das vulnerabilidades pode abalar significativamente a confiança dos consumidores nos seus produtos e até fazer oscilar a capitalização bolsista. "A primeira preocupação é a segurança dos consumidores", refere a Microsoft numa declaração enviada à publicação SecurityFocus. "É por isso que a Microsoft continua a encorajar a publicação responsável das vulnerabilidades; porque minimiza o risco para os utilizadores de computadores. Acreditamos que a prática de divulgação comum mente aceite de reportar as vulnerabilidades directamente ao fabricante serve os melhores interesses de todos".



Pelo contrário, há quem defenda que um sistema de mercado livre que permitisse aos investigadores vender informação sobre vulnerabilidades de segurança confirmadas ajudaria a tornar o software mais seguro. É o caso de Greg Hoglund, CEO da empresa de reverse engineering HB Gary que em declarações à SecurityFocus afirmou que tais práticas seriam um excelente incentivo para empresas como a Microsoft investirem mais na segurança informática.



A ideia de recorrer a leilões para maximizar os lucros de um programador e valorizar a segurança informática não é contudo nova, salienta Hoglund, que há dois anos atrás reservou o domínio "zerobay.com" com a intenção de criar um site de leilões, mas dúvidas acerca das responsabilidades civis e criminais levaram-no a desistir do plano poucos dias antes do site ficar online.



O programador que tentou vender a informação acerca dos bugs no Microsoft Excel no eBay - auto-intitulado "Fearall" - também acredita que tais leilões poderão criar forças de mercado adicionais originando um software mais seguro. Os argumentos de que os cibercriminosos conseguiriam usar tal marketplace para apurar os seus ataques são infundados, afirmou, citado pela SecurityFocus.



Notícias Relacionadas:

2005-12-05 - Malware que explora falha não corrigida no IE usa sites para adultos para se propagar

2005-11-30 - Código explora vulnerabilidade Windows na gestão de ficheiros de imagem