Tempest publica política de divulgação coordenada de vulnerabilidades

O documento é baseado em padrões internacionais e foi desenvolvido com o objetivo de colaborar com o mercado brasileiro de cibersegurança

Tempest Security
Nov 22 · 3 min read

Há pelo menos duas décadas, a atividade de pesquisa de segurança vem se organizando como uma forma de aprimorar a proteção de produtos e serviços. Nesse processo, os pesquisadores encontram falhas e as reportam aos fabricantes que, na maioria dos casos, permitem que o especialista divulgue seu trabalho em conferências técnicas, após a correção da tecnologia. Assim o fabricante aproveita a chance de melhorar a segurança de seu produto e o pesquisador ganha reputação no mercado a cada falha que encontra.

No entanto, essa atividade é cheia de controvérsias. Embora muitos fabricantes tenham compreendido a importância que a colaboração de um pesquisador externo pode trazer para seus produtos (muitos deles recompensando financeiramente os especialistas), ainda é comum testemunhar situações em que alguns fabricantes entendem o trabalho do pesquisador como uma atividade hostil e não se abrem ao diálogo. Isso traz riscos para a atividade de quem encontra a falha e também para quem usa a tecnologia, pois enquanto reinar a controvérsia, persistirá a vulnerabilidade.

É comum que a confusão e a desconfiança surja onde não há uma regra comum que busque contemplar os interesses das diversas entidades envolvidas no processo. Foi pensando nisso que a Tempest procurou estudar os frameworks de entidades reconhecidas internacionalmente, como o NIST e a ENISA, para elaborar uma política de divulgação coordenada de vulnerabilidades, a qual foi publicada na última semana.

As diretrizes do documento são alicerçadas em um conjunto de princípios bastante claro: o primeiro deles é o de que a busca por vulnerabilidades na Tempest somente é orientada por nosso objetivo de trazer mais segurança para nossos clientes e para a sociedade; em segundo lugar, há o compromisso de buscar o diálogo entre todas as entidades do processo; os pesquisadores da empresa também se comprometem por princípio a somente usar os recursos estritamentes necessários para a comprovação da existência da vulnerabilidade, pois isso evita o uso de técnicas ofensivas de forma desproporcional (princípio da proporcionalidade de recursos); em quarto lugar, é um princípio da política que suas diretrizes tenham a função de trazer equilíbrio entre as entidades do processo, protegendo assim os pesquisadores. Finalmente, uma vulnerabilidade somente será divulgada à revelia do fabricante (full disclosure) pelo benefício da sociedade em condições nas quais há perigo iminente de sua exploração e quando se esgotarem todas as tentativas de estabelecer o diálogo com o fabricante.

A política contempla cinco papéis os quais possuem responsabilidades distintas, porém que podem ser acumuladas por um ator no processo. São elas:

Finder — indivíduo ou organização que encontra a vulnerabilidade. Muitas vezes se trata de um pentester ou pesquisador de segurança os quais estão motivados pelo desafio técnico ou pelo reconhecimento que a divulgação da vulnerabilidade pode trazer. Eventualmente essa função é desempenhada institucionalmente por empresas ou pelo próprio fabricante.

Relator — indivíduo ou organização que comunica a vulnerabilidade ao fabricante. Em muitos casos essa atividade é desempenhada pelo Finder. Entretanto, a atividade pode ser eventualmente desempenhada por uma empresa que intermedeia a comunicação entre o fabricante e o Finder, possivelmente cobrando uma taxa sobre a recompensa atrelada à divulgação do problema.

Fabricante — empresa, organização sem fins lucrativos, agência governamental, indivíduo ou grupo de indivíduos que cria, desenvolve e/ou mantém tecnologias e é responsável por avaliar a documentação enviada pelo Finder, planejar e desenvolver correções, bem como disponibilizá-las para os Deployers.

Deployer — indivíduo ou organização com a função de planejar, testar e implementar correções para vulnerabilidades.

Coordenador — indivíduo ou área em uma organização com a função de gerir o ciclo de identificação de correção de vulnerabilidades. Eventualmente o processo pode demandar a coordenação de atividades entre múltiplas empresas.

Estamos trabalhando para que este texto seja uma referência para outras empresas que busquem elaborar um framework comum para o mercado brasileiro, estabelecendo diretrizes para cada um dos papéis no processo e colaborando assim para elevar a maturidade do assunto no mercado, reduzir o espaço para o improviso e a desonestidade ao lidar com a comunicação de vulnerabilidades e tornar o documento uma referência para quem desenvolve tecnologia no país.

A íntegra da política de divulgação coordenada de vulnerabilidades pode ser encontrada no site da Tempest.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade