2013/12/20
Recompensas obrigatórias por vulnerabilidades?
As notícias de roubos de dados e vulnerabilidades que permitem a instalação de malware e a criação de numerosas botnets são algo que se tornou tão frequente que já quase nem pode ser considerada "notícia". Há um investigador que fez um estudo e apresentou uma proposta interessante: e se as empresas fossem obrigadas a dar recompensas milionárias por vulnerabilidades descobertas nos seus softwares?
Há empresas que já têm programas deste tipo em funcionamento (Google, Facebook, e outras), que visam desincentivar que as vulnerabilidades descobertas sejam vendidas no mercado negro a pessoas ou entidades que as irão utilizar para criar malware, exploits, virus, etc. Mas isto é algo puramente voluntário, e muitas vezes as recompensas são de valor irrisório quando comparado com os valores que são oferecidos no mercado negro.
Segundo este novo estudo, as grandes empresas poderiam pagar recompensas milionárias por cada vulnerabilidade, na ordem dos 150 mil dólares - bem acima dos valores pagos pelas tais entidades "maliciosas" - pois isso teria um impacto irrisório nos seus lucros anuais de centenas de milhões (ou milhares de milhões).
Por outro lado, com o interesse redobrado em se apanharem vulnerabilidades, as próprias empresas teriam maior empenho em garantir que os seus produtos fossem "à prova de vulnerabilidades"; pelo menos... de forma mais empenhada do que actualmente, em que essas falhas não lhes representam custos directos, mesmo que indirectamente possam vir a causar milhões de prejuízo aos seus clientes.
Eu fico assustado com a quantidade de falhas básicas de segurança que muitas empresas continuam a praticar - desde aquelas que se limitam a guardar as passwords em plain text e a enviar para o email dos clientes quando pedem a sua recuperação, às outras que deveriam saber o que fazem - mas que usam pseudo-sistemas de protecção que na realidade nada protegem (apenas dificultam um pouco mais o trabalho dos atacantes.)
Tal como sou apologista da responsabilização das pessoas pelos actos que cometem, penso que também seria mais do que justo que as empresas tivessem maior responsabilidade pelas vulnerabilidades nos seus programas - mesmo tendo em conta que não se deverá dar início uma "caça às bruxas" quanto a este assunto, pois existem inúmeros casos complexos em que uma vulnerabilidade poderá não ter origem num só local/sistema, mas ser o resultado de um conjunto de situações exploradas para atingir um determinado propósito. De qualquer forma... esta ideia das recompensas avultadas obrigatórias parece-me uma ideia que merece ser explorada e discutida.
(E neste momento já estou a imaginar alguns de vocês a esfregar as mãos e a fazer contas de cabeça: ora "X vulnerabilidades descobertas por mês" x $150,000 x 12 meses = rendimento suficiente para se dedicarem a isto a tempo inteiro. :)
Subscrever:
Enviar feedback (Atom)
"(E neste momento já estou a imaginar alguns" ... "Deixa-me cá deixar umas vulnerabilidades no programa que estou a escrever, depois é só encontrar alguém que as "descubra" e safamos-nos à grande" ;-)
ResponderEliminar