11
Jul
09

“The Anti-Sec Movement” quer erradicar o “Full Disclosure”?

Verifiquei mesmo agora que algumas imagens alojadas no imageshack começaram, misteriosamente (ou não), a serem substituídas por esta:

anti-sec

Bem, eu não sou perito de segurança, nem coisa que se pareça, daí que tenha recorrido à wikipédia para buscar um pouco de conhecimento acerca da expressão “Full Disclosure”:

Full disclosure requires that full details of a security vulnerability are disclosed to the public, including details of the vulnerability and how to detect and exploit it. The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security. Fixes are produced faster because vendors and authors are forced to respond in order to save face. Security is improved because the window of exposure, the amount of time the vulnerability is open to attack, is reduced.

in wikipedia

Se lerem o link da wikipedia até ao fim, verificarão que a utilização deste método pelos “whitehats” está longe de ser pacífica.

Ou seja, basicamente o que está aqui em causa é um “movimento” que está contra todos aqueles que, como forma de forçarem os programadores a corrigirem falhas de segurança, publicitam essas falhas, dando dados detalhados sobre a vulnerabilidade em causa, como a detectar e, mais importante, como a explorar. Para quem apoia o “full disclosure”, essa publicidade será a melhor forma de forçar os programadores a, atempadamente, suprirem as mais relevantes falhas de segurança no código.

Este movimento  “anti-sec” parece não estar muito de acordo e querem levar ao extremo a sua interpretação do assunto – ameaçando com hacks todos aqueles que usam dessa filosofia. Segundo o movimento, as empresas de segurança online utilizam o “full disclosure” como forma de assustar os consumidores, forçando-os a investir em firewalls, antivírus e outras soluções de segurança. Criticam também os “angélicos” whitehats visto que, de acordo com a sua forma de ver, se estivessem tão preocupados com a segurança, não publicavam esses “exploits”, ainda que com algumas edições idiotas (suficientes, pensam eles) para salvaguardar a possibilidade de “blackhats” ou “scrip kiddies” copiarem o “exploit” e fazerem uso dele sem-demais. Acusam-nos mesmo de se aproveitarem dessa actividade, visto que, ao publicarem o exploit, multiplicam-no por “mirrors”, fazendo-os acompanhar de “advertisements” que redireccionam para a equipa ou website que descobriu a vulnerabilidade. Ou seja, entendem que é tudo uma questão de interesse – de dinheiro.

Creio que entendi bem o movimento. Caso assim não seja, conto com a vossa ajuda para compreender isto um pouco melhor.

De qualquer forma o movimento, no meu entender, falha redondamente por não concluir com a indicação expressa daquilo que pretendem, isto é, se preferem um meio termo (“limited disclosure”) ou então precisamente o oposto (“closure” – creio que seja este o termo)! É que ser contra não chega. Acho que é preciso indicar uma solução alternativa – o que não acontece neste caso.

Agora é aguardar desenvolvimentos.

Anúncios

2 Responses to ““The Anti-Sec Movement” quer erradicar o “Full Disclosure”?”


  1. 1 Ricardo Almeida
    11 de Julho de 2009 às 11:41

    Até agora estes foram os hacks deste grupo:

    http://marcoramilli.blogspot.com/2009/06/anti-sec-group-destroyed-astalavista.html
    http://romeo.copyandpaste.info/txt/nowayout.txt
    http://hackingexpose.blogspot.com/2009/07/ssanz-server-systems-administration-nz.html

    Apesar de terem razão acerca do mercantilismo todo da industria da segurança, o Full Disclosure é na minha opinião o caminho a seguir, de forma a obrigar os fabricantes a melhorar os seus produtos.

    Força ainda a que as pessoas que não percebam muito de informática, tenham mais consciencia naquilo que fazem com os seus computadores pessoais. Se estas pessoas fossem menos “happy joes click on everything that flashes or as tits” haveriam menos botnets a despejar SPAM nas nossas mailboxes.

    Mais, muitos exploit writers ganham dinheiro ao publicarem os exploits que desenvolveram independentemente e não são só as empresas de segurança a fazer dinheiro.

    Este grupo na minha opinião apenas quer protagonismo na “scene”.

  2. 2 safadeenhu
    11 de Julho de 2009 às 13:49

    Por enquanto minhas imagens estão bem.
    safadeenhu.wordpress.com


Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s


Ubuntu 10.04

Ubuntu: For Desktops, Servers, Netbooks and in the cloud
Julho 2009
S T Q Q S S D
« Jun   Ago »
 12345
6789101112
13141516171819
20212223242526
2728293031  

Petição contra o Novo Acordo Ortográfico

manifestodefesalinguapoug5

RSS O que dizem os Geeks

  • Ocorreu um erro; é provável que o feed esteja indisponível. Tente novamente mais tarde.

Plágio!

Page copy protected against web site content infringement by Copyscape

Visitas

  • 427,009 visitantes

%d bloggers like this: