Linha Defensiva abre exceção em política editorial de segurança para o Google

Vulnerabilidades não serão mais comunicadas à equipe de segurança antes de serem divulgadas.

Redação Linha Defensiva | 26/09/2010 20h28

17 comentários

A partir da publicação deste editorial, a Linha Defensiva passará a dar prioridade aos valores jornalísticos em (aparente) detrimento da preocupação com a segurança dos usuários de serviços do Google, como Orkut, Gmail, YouTube, entre outros, mas que busca justamente o oposto: forçar a empresa a dar a devida atenção às questões de segurança e proteger seus usuários.

Na prática, a mudança significa que a Linha Defensiva irá revelar publicamente qualquer vulnerabilidade com a qual tiver contato, imediatamente, sem comunicar a empresa pelos canais corretos para este fim. A Linha Defensiva também convida aqueles que compartilham do mesmo sentimento para entrar em contato com o site e compartilhar informações para serem expostas publicamente. Detalhes técnicos serão resguardados na publicação, de modo que o Google não tenha acesso às informações técnicas sem investigação própria, quando a falha for divulgada – exceto se o descobrir da falha desejar o contrário.

Desde a sua criação, a Linha Defensiva encontra-se em um conflito de valores entre segurança e jornalismo. No gerenciamento de informações sobre falhas de segurança, o site adotou o princípio de agir como um conhecedor das questões de segurança e avisar a equipe responsável das empresas, ignorando o “protocolo padrão” de entrar em contato com a assessoria de imprensa, deixando isso em segundo lugar.

Antes de se preocupar com a publicação de notícias sobre certos eventos, a primeira preocupação da Linha Defensiva era comunicar o responsável. Essa política do site rendeu inclusive presentes: dois membros da coordenação do site receberam camisetas do Google, vindas diretamente de Mountain View, Califórnia, como agradecimento pela colaboração.

A Linha Defensiva entendia ser desnecessária a publicação ou exploração de falhas sem comunicar, primeiro, a equipe responsável e como forma de “punição” a quem pensasse diferente, omitia nomes de quem o fazia – omitindo também informação ao leitor, em nome da ética de segurança que o site valorizava.

No entanto, o total descaso do Google para com as informações cedidas pela Linha Defensiva à empresa, recentemente, levam a uma reversão dessa política. Segundo informou a assessoria, a empresa não compreende ser necessário responder cada colaborador que avisa a empresa sobre uma falha de segurança, caso outros já o tenham feito. Isso é um erro porque cada um que tenta compartilhar informação dessa forma pode ser o próximo a saber de uma falha, e é necessário cultivar cada colaborador -e esse deve ser um esforço contínuo que “brinde” nenhum compensa.

“Nos plantões de monitoramento e de emergências, o foco é para a identificação e solução do problema e não é possível responder individualmente para cada ticket”, afirmou a assessoria de imprensa à Linha Defensiva. É louvável essa priorização, mas deixar o colaborador sem qualquer resposta – sem pelo menos um aviso de que “já estamos sabendo por outro ticket, agradecemos” – é descaso demais.

O pesquisador do Google Tavis Ormandy soltou informações técnicas de uma falha no Windows que expôs usuários por acreditar que a Microsoft não estava fazendo o suficiente pelos seus usuários. A Linha Defensiva hoje toma a mesma posição perante o Google.

Vale lembrar que até empresas muito menores “acertam” mais do que o Google nesse sentido. O Google Security Blog é basicamente um veículo de propaganda da empresa para seus recursos de segurança. O @safety do Twitter pelo menos informa cada vulnerabilidade corrigida no site. Não que o Twitter seja um exemplo – pelo contrário, há muitos problemas com a segurança do Twitter. Mas o Twitter é um site que não lucra nada e conta com apenas 140 funcionários. O Google, por outro lado, tem condições de fazer mais.

Não informar dados a respeito das correções de falhas, nem por meio da equipe de segurança, nem pela assessoria da imprensa, e ainda não manter uma página atualizada sobre os ataques recentes — sinais de uma política de segurança que precisa ser melhorada. Aparentemente, a imprensa é que precisa informar os usuários a respeito de como proceder e tentar fazer sentido do caos. Se esse é o caso, devem valer, pois, as regras da imprensa e não da segurança.

O atual “limite” proposto pelo Google para aguardar que o time de segurança conserte uma falha é de 60 dias. Independentemente do tipo de falha que a Linha Defensiva tiver conhecimento, respostas serão esperadas somente pela assessoria de imprensa que, de praxe, deve responder um pedido de informação urgente em algumas poucas horas.

Concluindo, o Google não é o único a adotar posições equivocadas e lidar de forma precária com a questão da segurança. Mas é uma empresa que pode fazer certo e influenciar outros com essa ideia.

O departamento comercial da Linha Defensiva, que gosta muito mesmo do Google AdSense e do Google Analytics, votou contra essa posição, mas foi voto vencido.

Compartilhe

17 comentários

Visão da Linha

O que muda com a nova política de privacidade do Google?
Política não traz novidades, mas aviso prévio criou alarde. Ainda é possível manter a separação dos dados criando contas específicas. 02/03/2012
Hackers invadem Twitter da Bovespa
Invasor enviou tuítes divulgando o Wikileaks. Mensagens foram postadas em inglês. 24/02/2011
Vírus de Orkut infecta 180 mil perfis em 11 horas
Visitar a página de recados que recebeu o scrap malicioso automaticamente infecta o perfil. 25/09/2010
“Vírus” usa erro em links do Twitter para se espalhar automaticamente
Brecha de XSS persistente é usada para espalhar link via RT. 21/09/2010

Comentários

@rhobsonv

Na boa, que papinho bem BROXANTE esse. Vocês realmente esperam que uma empresa que atualmente é sinônimo de internet pra MUITA gente no mundo inteiro, responda a CADA REPORT DE FALHA em pouco tempo?
Sim, o Google é GIGANTE, se comparado com o Twitter. Mas o Google NÃO tem como dar atenção pra cada usuário que entra em contato. É humanamente impossível.
Agora, pra um site que tem como “princípio” a segurança dos usuários na internet, que jeito bem ERRADO de fazer, não acham?

O que o pesquisador do Google não foi certo, e o que vocês estão se propondo a fazer é mais errado ainda.

Se vcs querem tanto brindezinhos, recomendo o site DealExtreme.
http://www.ronsouza5.blogspot.com RonSouza – @Ronluzied

O Google tem que entender que cada aviso, de cada colaborador é super importante. Ficar sem nenhuma resposta? Isso é o “Ò”.
http://www.linhadefensiva.org Altieres Rohr

rhobsonv

Na boa, a gente não está é aqui pra fazer o trabalho do Google, e quando a gente faz merece no mínimo um agradecimento.

Não queremos brindes. Pelo contrário. O brinde é uma coisa ridícula considerando o descaso atual. Estou dizendo que “brinde” nenhum compensa você mais tarde parar de responder o colaborador.

E não, não é humanamente impossível. O Google tem um lucro de 6 bilhões de dólares num faturamento de 23. É uma margem excelente e eles deviam, sim, investir mais no que está se tornando algo essencial para os internautas.
dante

Se vcs querem tanto brindezinhos, recomendo o site DealExtreme. [2]

Vocês deram um belo chilique, principalmente tentando usar o twitter como argumento.

Continuem o trabalho que vocês sempre fizeram, que é ótimo, mas sem subir no salto, por favor.
Lucas

mandaram muito bem, apoiados!
Ron

Ah, expor usuários à falhas porque vocês acham que o Google é do mal?

Belo papel de um site que antes mostrava como se proteger e fazia correções para os leigos de alguns vírus e falhas de Sistemas Operacionais.

Falhas existem porque os serviços são feitos por homens, e os humanos não são máquinas que não conseguem fazer tudo perfeito.
http://www.google.com.br DarkSHare

Não acho que o Google deveria responder individualmente a cada “ticket”, mas sim divulgar em algum meio de comunicação global como no blog ou algo assim.
FELLIPPE NAVEGA RIPOLL

Muito louvável a atitude do Linha Defensiva.
Sou leitor do site, porém não possuo conhecimentos aprofundados de informática. Por isso, qualquer dúvida que teho sobre vírus, ataques, questões de segurança em geral, pesquiso primeiro no Linha Defensiva. essa atitude reforça a competência e o comprometimento dos profissionais do site para com seu leitor.
Parabéns !!!☺☻
PSO

Se vão divulgar as vulnerabilidades antes de avisar os responsáveis pela correção, podem pelo menos indicar junto as possíveis medidas preventivas para que os usuários possam se proteger?
Gosto do trabalho feito pela Linha Defensiva.
http://www.linhadefensiva.org Altieres Rohr

PSO

Com certeza. Além disso, se você pode ver no Linha Defensiva que há uma falha no serviço tal, pode tomar mais cuidado, ou até abandonar o uso enquanto não houver uma correção. No final das contas, se você estiver acompanhando aqui, você estará mais seguro porque saberá antes sobre a falha.

Nós aqui chegávamos em extremos de não publicar nada sobre alguns assuntos até as falhas estarem corrigidas.

Na prática, o que teria acontecido no caso dessa semana, é que leitores da Linha Defensiva teriam conhecimento bem específico da falha que afetou o Orkut no sábado ainda na sexta à noite, e poderiam ter evitado tudo. O que site se limitou a fazer com ou tweet três horas depois, já no sábado.

DarkSHare
Perfeito. Perceba que, em alguns casos, se Google fizesse isso, o problema estaria resolvido, porque a gente nem ia abrir o ticket. Mas perceba também que, se o Google fizesse isso, estaria admitindo publicamente que tem uma falha – e isso poderia colocar alguém em risco, exatamente como vamos fazer.

dante
O Twitter está sendo mais transparente que o Google, e nossa crítica aqui é em relação à transparência, à prestação de contas.
Juca

Essa galerinha que fica achando que divulgar falhas é querer se mostar não se liga em nada mesmo. Vejam o que acontece quando pesquisadores e empresas ficam nesse joguinho de esconde-esconde
>> http://threatpost.com/pt_br/blogs/microsoft-ignorou-artigo-de-2009-sobre-o-ataque-do-stuxnet-092310
>> http://threatpost.com/pt_br/blogs/funcionario-do-twitter-ja-havia-apontado-erro-no-servico-em-agosto-092110
São só dois exemplos recentes. Agora pensem, é resposável vc saber que existe uma falha, esperar semanas, meses para consertarem e só depois divulgarem. Quanta gente mal intencionada já deve conhecer a mesma falha já está explorando.

Full Disclosure, já. Parabéns Linha Defensiva, pela decisão
CássioroX

Boaaaa! Ótimo posicionamento adotado pelo Linha Defensiva, sou leitor do site e usuário do forúm (usuário: faiscarox) há muito tempo, já tentei entrar para o grupo de análise também, mas nunca recebi resposta.

No entanto, o Google não pode deixar de responder sobre falhas de segurança, avisar sobre vulnerabilidade com certeza é um trabalho que deveria ter muita atenção da empresa.

Responder tickets seria o minímo que a empresa poderia fazer, e com certeza a Google tem como contratar colaboradores/estagiários ou empresas tercerizadas para realizar essa comunicação. Quem lucra tanto não perderia quase nada contratanto uma pequena parcela de colaboradores para responder os tickets.

Abraços, sucesso!
http://www.linhadefensiva.org Marcos

@rhobsonv – Pelo menos o Linha Defensiva tenta fazer algo de útil a comunidade, não se limita somente a criticar atitudes construtivas de quem costuma fazer as coisas acontecerem.

dante – Ser “maria vai com as outras” é facil, dificil é ter atitude em tentar ajudar ao próximo.
Diego

Na minha modesta opnião a atitude tomada pelo Linha Defensiva é certa, visto que o Google não compreende ser necessário responder a cada colaborador. Assim o LD avisa antes aos internautas, prevenindo-os, enquanto que o Google resolve algum problema (dps de 94059084 anos), sem avisar e prevenir os internautas, e sem precisar da ajuda dos colaboradores.
Layonel

Acho muito boa a iniciativa que tomaram, estão de parabéns; se a empresa se encontra como sinônimo na internet deveria dar o exemplo a principio..
Kleberson Santos

Todos os sistemas tem falhas, os sistemas são operados por humanos, e humanos são falhos. O importante não é constatar a existencia ou não da falha, mas sim as políticas de segurança tanto para os usuários tanto para o sistema. Como o Google presente em tantos países, com tantos idiomas conseguiria responder tantos alertas de falha de segurança? E, mesmo que tivesse uma equipe que desse o devido suporte, porque enviariam uma resposta “obrigado, sabemos que erramos!”? De qualquer forma, acredito que o Google tem por obrigação de alertar que existe uma falha aqui ou ali, em um site determinado, apenas aos interessados, imginem abrindo o home do Orkut com a seguinte informação: “Alerta – Esse site contém falha de segurança – Sua senha pode ser espalhada por toda a rede de computadores do planeta!”
http://www.orienthost.com.br Murilo Machado

Com certeza uma ótima decisão para tal descaso.

Somente com atittudes deste nível as empresas darão mais valor à aqueles que muitas vezes “fazem o seu serviço” descobrindo falhas e vulnerabilidades.

Qualquer ação em pról da defesa de nossa posição no mercado de tecnologia da informação é bem-vinda e deve ser apoiada !!!

Trabalho com TI já a 6 anos e sei muito bem o quanto é desestimulante quando uma empresa não dá sequer o minimo valor ao nosso desepenho e acha que é tudo “desnecessário” ou menos importante.