O mercado de vulnerabilidades e o Futuro da Segurança

O presente artigo é uma tradução livre para o português do artigo "The Vulnerabilities Market and the Future of Security" do autor americano Bruce Schneier. A publicação e tradução só foi possível diante da autorização direta do autor. A única condição solicitada por ele foi a indicação do link original do artigo, que pode ser encontrado diretamente aqui. O artigo também foi publicado na revista americana Forbes.

O mercado de vulnerabilidades e o Futuro da Segurança

Por Bruce Schneier

Trad. Guilherme Damasio Goulart e Vinícius da Silveira Serafim

     Diversos artigos têm sido publicados sobre o novo mercado de “zero-day exploits"[1], envolvendo vulnerabilidades computacionais novas e sem correção. Eles não se referem apenas às empresas de software, as quais às vezes pagam recompensas para os pesquisadores que as alertarem sobre vulnerabilidades de segurança, podendo, assim, corrigi-las. Atualmente há também governos -  e empresas que vendem para governos - que compram vulnerabilidades com a intenção de as manterem em segredo para, após, poderem explorá-las.

    

        Esse mercado é maior do que as pessoas têm consciência e está se tornando ainda cada vez maior. Recentemente, a revista Forbes publicou uma lista de preços para os “zero-day exploits”, juntamente com a história de um hacker que recebeu U$ 250.000,00 de um “contratado do governo americano” (no início eu não acreditei na história e na lista de preços, mas fui convencido de que ambas eram verdadeiras). A revista Forbes publicou um perfil de uma empresa chamada Vupen, cujo negócio é vender “zero-day exploits”. Outras empresas estão nesse ramo e vão desde startups como a Netragard e a Endgame até grandes empresas de fornecimento de soluções de defesa como a Northrop Grumman, General Dynamics e Raytheon.

       A situação é muito diferente da ocorrida em 2007, quando o pesquisador Charlie Miller escreveu sobre as suas tentativas de vender os “zero-day exploits”; e também da pesquisa feita em 2010 que revelou não haver muito dinheiro envolvido na venda de “zero day exploits”. O mercado amadureceu substancialmente nos últimos anos. Esse novo mercado perturba a economia envolvida no ato de encontrar vulnerabilidades de segurança e o faz em detrimento de todos nós.

     Há muito venho sustentando que o processo de encontrar vulnerabilidades de segurança em sistemas e softwares aumenta a segurança global. Isso ocorre pois a economia da caça de vulnerabilidades favorece a sua divulgação. Enquanto o principal ganho de se encontrar vulnerabilidades for a notoriedade, a divulgação pública das vulnerabilidades tem um único caminho óbvio. De fato, levou anos para a nossa indústria mover-se de um modelo de divulgação total - anunciando a vulnerabilidade publicamente e suportando as consequências - para um modelo chamado de “divulgação responsável”: dando ao fornecedor de software a vantagem de corrigir a vulnerabilidade. A alteração nessa economia é o que provoca a mudança: em vez de ganhar apenas notoriedade técnica, alguém que tenha sucesso encontrando vulnerabilidades pode obter algum lucro como consultor (e facilita ser um pesquisar de segurança responsável). Mas, independente das motivações, uma vulnerabilidade descoberta significa - na maior parte dos casos - uma vulnerabilidade corrigida. E uma vulnerabilidade corrigida torna todos mais seguros.

   É por isso que o novo mercado de vulnerabilidades é tão perigoso; ele resulta no fato das vulnerabilidades permanecerem secretas e sem correção. Isso é ainda mais lucrativo do que o mercado de vulnerabilidades públicas, o que significa que mais hackers escolherão esse caminho. E ao contrário da recompensa anterior de notoriedade e de trabalhos de consultoria, isso dá aos desenvolvedores de softwares de uma empresa o incentivo de, deliberadamente, criar vulnerabilidades nos produtos em que eles estão trabalhando, para em seguida vendê-los secretamente a algum órgão do governo.

     Nenhum fornecedor executa a revisão de código fonte em um nível necessário para detectar e provar a má intenção nesse tipo de sabotagem. Ainda mais importante, o novo mercado de vulnerabilidades de segurança resulta em uma variedade de órgãos governamentais ao redor do mundo que possuem um forte interesse em que essas vulnerabilidades permaneçam sem correção. Entre esses há desde órgãos que realizam a aplicação ou cumprimento das leis (como o FBI e a polícia alemã que estão tentando construir ferramentas específicas de vigiância da Internet); órgãos de inteligência como a NSA[2], que estão tentando construir ferramentas de vigilância em massa da Internet e até organizações militares que tentam construir armas cibernéticas.

    Todos esses órgãos, por muito tempo, tiveram que lidar com a dúvida entre usar as novas vulnerabilidades descobertas para proteger ou para atacar. Dentro da NSA, isso era tradicionalmente visto como um dilema[3], e o debate se dava entre o COMSEC (communications security) e o SIGINT (signals intelligence), ambos da NSA. Se eles encontrassem uma falha em um algoritmo criptográfico popular, poderiam utlizar essa informação ou para corrigir o algoritmo e tornar a comunicação de todos mais segura, ou eles poderiam explorar a falha para fins de espionagem - enquanto, ao mesmo tempo, isso permitisse que as pessoas que eles desejavam proteger permanecessem vulneráveis. Esse debate se arrastou durante décadas dentro da NSA. Pelo que eu ouvi, até por volta de 2000, o COMSEC vinha ganhando as discussões com folga, mas as coisas mudaram completamente após o 11 de Setembro.[4]

    Todo o sentido na divulgação de vulnerabilidades de segurança é impor uma pressão nos fornecedores para que produzam programas mais seguros. Não que eles só corrijam vulnerabilidades que se tornam públicas - o medo da má publicidade faz com que eles implementem processos mais seguros de desenvolvimento de programas. Trata-se de outro processo econômico: o custo de projetar um programa seguro é, em primeiro lugar, menor do que o custo relacionado com a má publicidade após o anúncio de uma vulnerabilidade mais o custo de escrever e distribuir a correção do software. Eu seria o primeiro a admitir que isso não é perfeito - há ainda muitos programas mal escritos por aí - mas é o melhor incentivo que nós temos.

    Nós sempre esperamos que a NSA (e outros como ela) mantenha em segredo as vulnerabilidades que descobrir. Com o surgimento dessas novas pressões para manter os “zero-day exploits” secretos, e vendê-los para a exploração, haverá ainda menos incentivos para os fabricantes de softwares garantirem a segurança de seus produtos.

      Se por um lado cresce o incentivo para que os hackers mantenham as vulnerabilidades em segredo, por outro, diminui o incentivo para os fabricantes construírem softwares seguros. Conforme colocado em um ensaio recente da EFF[5], isso é “segurança para 1%”, e faz o resto de nós menos seguros.

5

Notas

1. O termo “zero-day exploits” não foi traduzido, sendo mantido no original por uma questão de estilo e devida compreensão. Não se tem visto a tradução desse termo em textos brasileiros, mas seria algo semelhante à "exploração de dia zero". No inglês, também são utilizados os termos “zero-hour”, “day-zero” seguidos de “attack” ou “threat”. Um “zero-day exploit” nada mais é do que uma ameaça que explora uma vulnerabilidade em um sistema informático que era desconhecida até o momento, inclusive pela empresa desenvolvedora do software. Mais informações podem ser lidas em http://en.wikipedia.org/wiki/Zero-day_attack.

2. NSA significa “National Security Agency”.

3. O termo original é “equities issue” e foi traduzido como “dilema” baseado no artigo do mesmo autor chamado "Dual-Use Technologies and the Equities Issue". No aspecto militar, basicamente as tecnologias possuem um uso "dual", e podem ser usadas tanto no ataque quanto na defesa. Em função disso, quando um órgão militar descobre uma vulnerabilidade em uma dessas tecnologias, ele pode tomar duas ações diferentes: a primeira é alertar o fabricante, o que faz com que a vulnerabilidade seja corrigida. Dessa forma, do ponto de vista militar, tanto os cidadãos como os inimigos ficarão mais seguros. A segunda possibilidade é ficar em silêncio e, com isso, aproveitar-se da vulnerabilidade. No entanto, isso deixa tanto a população como os inimigos menos seguros. O dilema ou paradoxo, aqui, refere-se à escolha em divulgar ou não a vulnerabilidade. 
4. Conforme o artigo "Dual-Use Technologies and the Equities Issue" já citado anteriormente, a posição da NSA pós 11 de Setembro, foi a de manter em sigilo as vulnerabilidades. 

5. A sigla EFF refere-se à "Electronic Frontier Foundation".