A indústria da segurança melhorou de várias maneiras, quer ao nível dos avanços tecnológicos como na colaboração, mas muitos desafios permanecem, especialmente, no que diz respeito à gestão de vulnerabilidades. Atualmente, parece que estamos presos num mesmo ciclo quando se trata de vulnerabilidades de segurança - uma vulnerabilidade é encontrada, corrigida e pouco tempo depois surge uma outra vulnerabilidade - corrige-se e repete-se o ciclo. A gestão dos riscos das vulnerabilidades e os riscos para a sociedade são muito altos para melhorias incrementais. É por isso que o Project Zero, equipa agnóstica dentro da Google e que estuda as vulnerabilidades zero-day nos sistemas de hardware e software, foi pioneira em patches zero day e na divulgação de cronogramas ao longo dos anos para a segurança dos utilizadores. Com base neste trabalho contínuo, estamos hoje a partilhar novos estudos e iniciativas para nos ajudar a sair deste ciclo infinito e melhorar a indústria como um todo.
Um ecossistema sem patches
Embora a notoriedade das vulnerabilidades zero-day estejam presentes normalmente na atualidade noticiosa, os riscos permanecem mesmo depois de serem conhecidas e corrigidas, o que se trata, na verdade, de uma história real. Estes riscos abrangem vários aspectos, desde o tempo de atraso na adoção pelos OEM, pelos pontos problemáticos de teste de patch, questões relacionadas com a atualização por parte do utilizador final, entre outros. Além disso, mais de um terço das vulnerabilidades zero-day exploradas que analisamos em 2022 são variantes das vulnerabilidades já corrigidas e que resultam da aplicação incompleta das correções à vulnerabilidade original da parte dos fornecedores. Num white paper que estamos hoje a disponibilizar propomos iniciativas em resposta a estes riscos, incluindo:
● Maior transparência da parte dos fornecedores e dos governos na exploração das vulnerabilidades e na adoção de patches para ajudar a comunidade a diagnosticar se as abordagens atuais estão a funcionar.
● Mais atenção aos pontos de atrito ao longo do ciclo de vida da vulnerabilidade de forma a garantir que os riscos para os utilizadores são abordados de uma forma abrangente.
● Responder à raiz das vulnerabilidades e dar prioridade ao desenvolvimento de práticas modernas de software seguro, com o objetivo de fechar totalmente as vias de ataque.
● Proteger a boa fé dos investigadores de segurança que contribuem significamente para a segurança através dos seus esforços para encontrar vulnerabilidades antes que os atacantes possam explorá-las. Infelizmente, estes investigadores ainda enfrentam ameaças de processos judiciais quando as suas contribuições não são bem-vindas ou são mal compreendidas, o que cria um efeito inibidor na investigação e na divulgação das vulnerabilidades.
Melhorar, de forma conjunta, o ecossistema
Fazer progressos nestas questões requer uma cooperação entre as partes interessadas, incluindo a indústria, que desenvolve as plataformas e serviços que os atacantes procuram explorar; os investigadores, que não só descobrem as vulnerabilidades, mas também identificam e conduzem a mitigações que podem fechar as vias inteiras de ataque; os utilizadores, que infelizmente ainda carregam um peso bastante elevado no que diz respeito à segurança; e os governos, que criam estruturas de incentivo que moldam o comportamento de todos estes outros atores. Estamos comprometidos em impulsionar o progresso ao lado destas partes interessadas e estamos, por isso, a anunciar os seguintes apoios:
● Hacking Policy Council: Pela primeira vez, estamos a ver leis (aprovadas e propostas) que exigem a divulgação privada das vulnerabilidades aos governos sob certas circunstâncias. É importante que tenhamos essas leis corretas. É por isso que estamos entusiasmados em sermos membros fundadores do Hacking Policy Council, um grupo de organizações e de líderes que se vão envolver na defesa de garantias de que as novas políticas e regulamentos apoiam as melhores práticas de gestão e de divulgação das vulnerabilidades e que não prejudiquem a segurança dos nossos utilizadores.
● Security Research Legal Defense Fund: Investigadores independentes de segurança fazem grandes contribuições para a segurança, incluindo a Google. Hoje, estamos a anunciar que estamos a disponibilizar financiamento inicial para criar um fundo de defesa legal para proteger a boa fé da investigação de segurança. Em muitos casos, os indivíduos agem de forma independente e de boa fé para detectar e reportar vulnerabilidades – dando aos fornecedores a possibilidade de os resolver antes que os atacantes tirem partido das mesmas. Infelizmente, estes indivíduos enfrentam, geralmente, ameaças de processos judiciais que podem causar contratempos na investigação de segurança e na divulgação das vulnerabilidades, especialmente junto de indivíduos sem acesso a aconselhamento jurídico. O Security Research Legal Defense Fund tem como objetivo ajudar a financiar a representação legal junto de indivíduos que realizam investigação - e de boa fé - em casos que possam fazer avançar a cibersegurança ao nível do interesse público.
● Transparência da Exploração: Uma maior transparência ao nível da exploração ajuda os utilizadores a tomarem medidas para se protegerem, aumenta a compreensão do comportamento do atacante e pode levar à adoção de melhores proteções. Acreditamos que esta transparência deveria tornar-se parte das políticas padrão da indústria ao nível da divulgação das vulnerabilidades. Temos dado sempre prioridade à transparência quando os nossos produtos são alvo de exploração, mas, a partir de hoje, iremos tornar este aspecto numa parte explícita da nossa política, comprometendo-nos a divulgar publicamente quando tivermos evidências de que vulnerabilidades em qualquer um dos nossos produtos tenham sido exploradas.
Estamos ansiosos por dar um impulso a estes esforços para reduzir o risco das vulnerabilidades e por trabalhar com parceiros que levem a mudanças e ao desenvolvimento de um ecossistema mais seguro.
Publicado por Charley Snyder, Head of Security Policy, Google
