Um grupo de empresas de tecnologia criou uma associação com vista a controlar quando é que o público deve ser avisado de falhas de segurança no seu software que poderão, eventualmente, colocar os computadores em risco de serem atacados por cibercriminosos, informou a agência Reuters.



Designada de Organization for Internet Security (OIS) esta aliança tem como objectivo estabelecer regras para a divulgação de vulnerabilidades de segurança e "assegurar que as empresas de segurança e as produtoras de software, bem como os investigadores em segurança, possam proteger mais eficazmente os utilizadores da Internet", de acordo com um comunicado citado por aquela agência de notícias.



Esta aliança partiu de uma ideia da Microsoft apresentada publicamente no início de Novembro de 2001. Para além da gigante de software, outros membros fundadores do OIS identificados no comunicado do grupo foram a IBM, Oracle, Hewlett-Packard, Sun, Compaq, Silicon Graphics, Cisco, Symantec, Network Associates, Internet Security Systems, BindView, Foundstone, Guardent e @Stake. Segundo a Reuters, o grupo reuniu-se na RSA Conference - um evento organizado pela companhia de segurança informática RSA, em San José, Califórnia, na semana passada.



Para além da aliança, será ainda formado um conselho consultivo constituído na sua grande maioria por gestores de rede "que podem oferecer uma perspectiva única sobre as necessidades dos utilizadores informáticos e dos fornecedores de infra-estrutura de rede", tal como referiu o comunicado.



A Microsoft, cujo software está na origem de maior parte dos bugs de segurança e vírus, criticou os investigadores de segurança por estes não darem tempo suficiente às produtoras de software antes de avisarem o público sobre vulnerabilidades nos seus produtos.



Por seu lado, os especialistas em segurança informática têm vindo a argumentar que a Microsoft levou demasiado tempo a reconhecer certos problemas e a resolvê-los, deixando os computadores vulneráveis a ataques durante esse período. Na sua opinião, ao divulgarem a informação, o seu objectivo é levar as produtoras de software a agir e a dar aos utilizadores uma oportunidade para resolver a situação antes de um cracker - hacker com intenções destrutivas e maliciosas - possa tirar vantagem do buraco de segurança.



Neste mesmo âmbito, na quarta-feira passada - dia 20 de Fevereiro -, foi anunciada uma proposta entregue à Internet Enginering Task Force por investigadores da MITRE e da @Stake que recomendava que fosse dado às produtos de software um prazo de 10 dias para responder a relatos de vulnerabilidades e de 30 dias para solucioná-las, antes que essa informação fosse tornada pública, informou ainda a agência noticiosa.



Segundo Chris Wysopal, director de investigação e desenvolvimento da @Stake e co-autor da proposta, citado pela Reuters, no caso das produtoras de software que possuem diferentes versões dos seus produtos destinadas a múltiplas plataformas, programar e testar códigos de correcção leva tempo: "Quase que não podem fazer nadas em menos de um mês."



Este problema esteve recentemente em destaque quando Gary McGraw, director tecnológico da Cigital, revelou o que considerou ser limitações numa nova funcionalidade de segurança do novo software de programação da Microsoft para a sua plataforma de serviços Web .NET. McGraw divulgou publicamente as suas críticas na semana passada, no mesmo dia em que o produto foi lançado.



Quando a Microsoft argumentou que McGraw não se tinha dirigido primeiro a si, este afirmou que os utilizadores não foram prejudicados pela revelação de dados e que ainda não tinham sido desenvolvidos quaisquer programas vulneráveis. Noutras alturas, quando os programas estão já disponíveis no mercado, os investigadores avisam os utilizadores acerca da vulnerabilidade e por vezes lançam software de forma a ajudá-los a testar os seus sistemas para ver se estão afectados por essa falha.



A Microsoft e outras empresas queixaram-se de que a divulgação demasiado rápida de falhas poderia gerar ataques ao avisar crackers da vulnerabilidade potencial e, em alguns casos, oferecendo-lhes uma ferramenta útil para explorá-la. O surgimento desta aliança acontece numa altura em que a Microsoft está a tentar aumentar a sua imagem de segurança. A companhia tornou a iniciativa "Trustworthy Computing" uma peça essencial da sua estratégia em Janeiro, ao afirmar que vai tornar a segurança na principal funcionalidade dos seus produtos de software.



Notícias Relacionadas:

2002-01-17 - Segurança e privacidade em primeiro plano na nova estratégia Microsoft

2001-11-28 - Empresas de segurança afirmam que Microsoft .NET é segura

2001-11-09 - Microsoft quer restringir divulgação pública de falhas de segurança