Um Grupo de Pesquisa em Segurança Promete Transformar Setembro no ‘Mês dos Bugs’
Durante todo o mês, pesquisadores da Abysssec prometem divulgar vulnerabilidades em softwares de empresas como Microsoft, Adobe, Mozilla e Apple. Um grupo pouco conhecido de pesquisadores de segurança promete dar início a partir desta quarta-feira (1/9) a um mês inteiro de divulgação de bugs, que são responsáveis por vulnerabilidades em softwares de empresas como Adobe, Microsoft, Mozilla, Apple e outras.
Mas o pesquisador que deu origem aos “festivais de bugs” quatro anos atrás não está tão otimista em relação ao impacto que uma ação dessas poderá ter.
O “Month of Abysssec Undisclosed Bugs” (MOAUB) divulgará falhas no Excel e no Internet Explorer da Microsoft; no painel de controle de hospedagem de sites cPanel Web, do Linux; e vários outros softwares, afirmou em agosto a Abysssec Security Research, em seu blog.
“Eles são ameaçadores – pelo menos, as empresas afetadas o verão como ameaça – porque divulgam vulnerabilidades em todo tipo de software, de aplicações desktop a navegadores”, disse Jamz Yaneza, gerente de pesquisas de ameaça da Trend Micro, na terça-feira (31/8).
Medidas imediatas
A Microsoft, que ganhou bastante destaque no anúncio do MOAUB, afirmou estar a par dos planos do grupo. “Como sempre, se e quando uma vulnerabilidade for tornada pública, a Microsoft adotará medidas imediatas para determinar a resposta adequada aos nossos clientes”, disse Jerry Bryant, gerente de grupo do Microsoft Security Response Center (MSRC).
Yaneza admitiu nunca ter ouvido falar da Abysssec antes.
Yaneza admitiu nunca ter ouvido falar da Abysssec antes.
De acordo com o site do grupo, a Abysssec é formada por quatro pesquisadores – nenhum deles identificado por seu nome completo – que se especializaram em testes de penetração, desenvolvimento de explorações e revisões de segurança de aplicativos. O site da Abysssec foi registrado em 2008, mas o registro Who Is está escondido por trás de um muro de privacidade.
No entanto, a rede social LinkedIn lista Shahin Ramezany, de Albany, em Nova York (EUA), como um pesquisador da Abysssec. O grupo não respondeu a um pedido de entrevista encaminhado por e-mail.
“A partir d0 inicio de setembro, nós iremos liberar uma coleção de vulnerabilidades de aplicações web e de dia-zero, e análise binária detalhada (e provas-de-conceito) para alertas publicados recentemente por empresas como Microsoft, Mozilla, Sun, Apple, Adobe, HP e Novell”, afirmou o grupo.
Alcance da mão
Yaneza recomendou aos usuários prestarem atenção às revelações do MOAUB, mas não demonstrou preocupação quanto às ameaças. “Serão todas frutas ao alcance da mão”, disse ele, referindo-se ao termo que descreve vulnerabilidades de fácil detecção. “Nós já vimos vulnerabilidades nesses programas, não estou tão preocupado assim. Se os usuários aplicarem correções como de costume e mantiverem ativado o recebimento automático de patches, eles estarão bem.”
As festas de “mês de bugs” foram populares há alguns anos, mas a prática tem sido pouco usada desde 2007. Em julho de 2006, H.D. Moore, que agora é o principal executivo de segurança da Rapid7, promoveu um evento chamado “Month of Browser Bugs” para demonstrar vulnerabilidades nos navegadores Internet Explorer 6, Firefox, Safari e Opera. O evento de um mês de bugs criado por Moore inspirou vários outros, como o “Month of Kernel Bugs” em novembro de 2006 e o “Month of Apple Bugs” em janeiro de 2007.
Yaneza classificou o “mês de bugs” da Abysssec de “golpe publicitário” concebido para chamar a atenção para o grupo.
Yaneza classificou o “mês de bugs” da Abysssec de “golpe publicitário” concebido para chamar a atenção para o grupo.
Atenção necessária
Moore concordou. “É verdade, eles são golpes publicitários, mas não é esse o ponto”, afirmou. “Projetos como o Month of Browser Bugs, e o do kernel e o da Apple, levam os fornecedores a consertarem um bocado de vulnerabilidades, dúzias e dúzias, e chamam a atenção da pesquisa em segurança para uma área necessária.” Mas ele não tem certeza de que o MOAUB levará a isso. “Outros projetos tinham como foco uma área geral, como navegadores e Apple”, disse Moore. “Mas esse parece lidar com muitas vulnerabilidades. Não sei se terá o mesmo impacto.”
Bryant, da Microsoft, também questionou a iniciativa. “A divulgação pública de vulnerabilidades só colabora para colocar os clientes em risco”, disse por e-mail, repetindo uma velha posição defendida pela empresa.
A Abysssec vai publicar suas descobertas no site Exploit Database ao longo do mês de setembro.
Fonte: http://idgnow.uol.com.br/seguranca/2010/09/01/grupo-de-pesquisa-em-seguranca-promete-transformar-setembro-no-mes-dos-bugs/
Tags: Adobe, Apple, Internet Explorer, Microsoft, Mozilla, Segurança, Abysssec, Abysssec Security Research, Adobe, Apple, cPanel Web, Excel, Firefox, H.D. Moore, Internet Explorer, Internet Explorer 6, Jamz Yaneza, Linux, Microsoft, MOAUB, Month of Browser Bugs, Mozilla, Opera, Rapid7, Safari, Trend Micro, vulnerabilidades
| < Anterior | Próximo > |
|---|
