Verifiquei mesmo agora que algumas imagens alojadas no imageshack começaram, misteriosamente (ou não), a serem substituídas por esta:
Bem, eu não sou perito de segurança, nem coisa que se pareça, daí que tenha recorrido à wikipédia para buscar um pouco de conhecimento acerca da expressão “Full Disclosure”:
Full disclosure requires that full details of a security vulnerability are disclosed to the public, including details of the vulnerability and how to detect and exploit it. The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security. Fixes are produced faster because vendors and authors are forced to respond in order to save face. Security is improved because the window of exposure, the amount of time the vulnerability is open to attack, is reduced.
in wikipedia
Se lerem o link da wikipedia até ao fim, verificarão que a utilização deste método pelos “whitehats” está longe de ser pacífica.
Ou seja, basicamente o que está aqui em causa é um “movimento” que está contra todos aqueles que, como forma de forçarem os programadores a corrigirem falhas de segurança, publicitam essas falhas, dando dados detalhados sobre a vulnerabilidade em causa, como a detectar e, mais importante, como a explorar. Para quem apoia o “full disclosure”, essa publicidade será a melhor forma de forçar os programadores a, atempadamente, suprirem as mais relevantes falhas de segurança no código.
Este movimento “anti-sec” parece não estar muito de acordo e querem levar ao extremo a sua interpretação do assunto – ameaçando com hacks todos aqueles que usam dessa filosofia. Segundo o movimento, as empresas de segurança online utilizam o “full disclosure” como forma de assustar os consumidores, forçando-os a investir em firewalls, antivírus e outras soluções de segurança. Criticam também os “angélicos” whitehats visto que, de acordo com a sua forma de ver, se estivessem tão preocupados com a segurança, não publicavam esses “exploits”, ainda que com algumas edições idiotas (suficientes, pensam eles) para salvaguardar a possibilidade de “blackhats” ou “scrip kiddies” copiarem o “exploit” e fazerem uso dele sem-demais. Acusam-nos mesmo de se aproveitarem dessa actividade, visto que, ao publicarem o exploit, multiplicam-no por “mirrors”, fazendo-os acompanhar de “advertisements” que redireccionam para a equipa ou website que descobriu a vulnerabilidade. Ou seja, entendem que é tudo uma questão de interesse – de dinheiro.
Creio que entendi bem o movimento. Caso assim não seja, conto com a vossa ajuda para compreender isto um pouco melhor.
De qualquer forma o movimento, no meu entender, falha redondamente por não concluir com a indicação expressa daquilo que pretendem, isto é, se preferem um meio termo (“limited disclosure”) ou então precisamente o oposto (“closure” – creio que seja este o termo)! É que ser contra não chega. Acho que é preciso indicar uma solução alternativa – o que não acontece neste caso.
Agora é aguardar desenvolvimentos.
