fevereiro 22, 2013

[Segurança] Censura à pesquisa no Brasil

Viramos Cuba? China?

Mal a "Lei Carolina Dieckmann" entrou em vigor, ameaçando criminalizar a pesquisa em segurança no Brasil, e já temos a primeira baixa: o governo de São Paulo solicitou o cancelamento da palestra "Como paralisar uma linha de trem em São Paulo" no evento Hacking Day.

A palestra pretendia mostrar uma vulnerabilidade na arquitetura do sistema de controle dos trens que poderia causar o paralisamento do transporte público (metrô e trem) em São Paulo. Pelo jeito, em vez de corrigir o problema, o governo optou pela solução mais fácil: censura.

A preocupação com a segurança do sistema de controle do metrô não é novidade, e ganhou um destaque extra no ano passado, quando uma colisão entre dois trens da Linha 3 - Vermelha do Metrô levantou o questionamento sobre a segurança da Linha 4 - Amarela, que usa um sistema computadorizado para controle dos trens, que operam sem maquinistas.

Fingir que o problema não existe e ameaçar prender quem discute isso não resolve nada, é como varrer a sujeira para debaixo do tapete: ela continua lá, pronta para ressurgir no primeiro vento.

Quando falamos em segurança da informação, censurar a divulgação de uma vulnerabilidade não corrige o problema. Muito pelo contrário, o risco continua existindo e pode ser explorado por qualquer ciber criminoso ou pessoa mal intencionada que se esforce em pesquisar e descobrir esta vulnerabilidade. E a censura só chama mais a atenção para o problema.

Na minha opinião, o cancelamento da palestra no Hacking Day é um precedente muito perigoso para todos nós: já pensou se a partir de agora o governo começar a censurar as pesquisas e os eventos de segurança? Posso ser um pouco paranóico, mas não podemos abrir mão da nossa liberdade de expressão nem de pensamento.

Que também fique claro que eu não estou advogando pela divulgação irresponsável de vulnerabilidades. O correto, que no mercado chamamos de "responsible disclosure", é avisar o fabricante ou a empresa responsável sobre a vulnerabilidade encontrada e somente divulgá-la publicamente após a empresa tomar as devidas medidas corretivas. Isso garante que uma nova vulnerabilidade não será explorada por pessoas mal intencionadas quando ela for anunciada.

5 comentários:

Persio disse...

A pergunta então é: o fabricante foi notificado sobre a falha no sistema do metrô com antecedência a palestra?

Persio disse...

A pergunta então é: a empresa responsável foi notificada da falha com antecedência à palestra?

Charles R. Canato disse...

E, complementando a pergunta do amigo acima: a empresa também já corrigiu as falhas? Se corrigiu, a palestra é falsa; se não corrigiu, é irresponsável.

Charles R. Canato disse...

E, complementando a pergunta do amigo acima: a empresa também já corrigiu as falhas? Se corrigiu, a palestra é falsa; se não corrigiu, é irresponsável.

Anchises disse...

Charles,

A prática de avisar o responsável por um produto/sistema vulnerável e somente depois divulgar o assunto é bem comum no nosso mercado.
Palestrar sobre uma vulnerabilidade que você descobriu e o fabricante corrigiu não é dar uma palestra falsa, é explicar uma pesquisa que foi feita seriamente e eticamente.
Por exemplo, mesmo que você palestra sobre uma vulnerabilidade em um software que já foi corrigida, é possível apresentar uma demonstração usando um software em versão antigo ou um vídeo, para provar que aquela vulnerabilidade já existiu. No mercado dos fabricantes de software, também é boa prática que a empresa dê os créditos para o pesquisador toda vez que anuncia a correção de uma vulnerabilidade.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.