O director de segurança informática da Microsoft Scott Culp revelou que a gigante do software tem vindo a desenvolver esforços com vista a restringir a partilha de informações sobre vulnerabilidades, de forma a impedir que hackers se aproveitem dessa informação para fins pouco "ortodoxos".



Durante uma apresentação realizada ontem no Trusted Computing Forum, Culp referiu os termos de várias parcerias que a Microsoft tem vindo a assinar com produtoras de software de segurança, como a @Stake, BindView, Internet Security Systems, Foundstone e Guardent. O objectivo destes acordos é preparar o lançamento de uma organização que defina princípios éticos para a divulgação responsável de falhas de segurança.



As produtoras de software terão que reter dados pormenorizados de segurança e de impedir a partilha do exploit code - programa parcial que facilita a programação de ferramentas de hacking e de worms que atacam os computadores através de uma vulnerabilidade específica, mas que constitui a única forma de verificar que um código de correcção funciona.



As empresas de software de segurança pretendem esforçar-se para evitar a revelação de detalhes que possam ser utilizados na exploração da vulnerabilidade durante um período de 30 dias após a descoberta inicial do problema.



Depois deste período de graça, ou no caso de algum atacante começar a explorar antes a vulnerabilidade, poderão ser publicados detalhes adicionais. Apenas no que toca à participação do caso junto das autoridades a organizações reconhecidas de protecção de infra-estrutura ou a "outras comunidades em que existem princípios que devem ser executados no sentido de deter distribuição não-controlada" desse tipo de informação, é que esse período de graça não será aplicado.



A nova organização vai ser constituída por membros, definidos como "empresas líderes do sector activamente envolvidas na pesquisa em segurança e na defesa de redes e produtoras de software líderes do mercado". Hierarquicamente inferiores serão os membros associados, definidos como "produtoras de software e organizações influentes no seio da comunidade de segurança que apoiam os fins da organização".



Por último, existirá o conselho consultivo, que será constituído por "clientes influentes da comunidade de segurança que apoiam os fins da organização". O anúncio formal deste grupo será realizado dentro de um mês. Muitos investigadores na área de segurança informática começaram, no entanto, desde já a criticar esta política de não-divulgação, afirmando que a mesma irá contribuir para aumentar mais ainda os bugs do software da Microsoft.


Notícias Relacionadas:

2001-11-06 - Microsoft admite falhas de segurança no serviço Wallet do Passport