Falhas de segurança: um negócio de milhões

venda de falhas de segurança em aplicações de software é um negócio de milhões. Basta ver o que escrevi AQUI na sexta-feira . Uma empresa terá pago, o ano passado, um milhão de dólares (890 mil euros) por uma ferramenta para explorar uma falha de segurança no sistema operativo usado no iPhone e, alegadamente, outra empresa cobraria até 16 milhões de euros pelo kit que incluía a falha e o tal software para poder escutar, sem ser detetado, o que se passa no smartphone da Apple.
A falha detetada a semana passada pela Lookout e pela Citizen Lab (uma das mais graves alguma vez encontradas para o sistema do iPhone) terá valido à NSO Group, a empresa que alegadamente a vendeu aos Emiratos Árabes Unidos, 8 milhões de dólares 7,1 milhões de euros (ler AQUI). O valor que, reforço, terá sido alegadamente pago por 300 licenças do Trident – o tal software que explora três falhas de segurança no sistema operativo da Apple para dispositivos móveis.
É muito dinheiro por uma atividade politicamente incorreta. Ou quase. Vejamos. Há empresas que se especializam em encontrar falhas de segurança em aplicações de software. Quanto maior a falha e mais relevante a aplicação… maior será o valor do achado. Ou seja, falhas que permitam explorar os sistemas operativos Windows, o iOS (o da Apple para o iPhone) e o Android têm um elevado valor de mercado. Principalmente se foram falhas que permitam acesso ao núcleo (kernell, como se designa tecnicamente) desses sistemas e que possam ser exploradas sub-repticiamente.

As que agitaram agora a Apple, obrigando-a a lançar uma atualização de segurança em tempo recorde, serão conhecidas da empresa que as descobriu desde 2013. Sim, há três anos que o NSO Group andará a vender essas falhas e o software para as explorar.

E pode fazê-lo? Eticamente, não. Num mundo perfeito, quando uma falha de segurança é encontrada, devia, de imediato, ser reportada à empresa responsável pela aplicação em questão. Uma forma de garantir que os utilizadores ficariam mais seguros.

HÁ SEMPRE UMA FALHA À ESPERA DE SER ENCONTRADA

Mas uma análise desapaixonada vê, claramente, que se há falhas nos softwares que usamos a responsabilidade é, claro, de quem os produz. Ou seja, deve ser a Microsoft, a Apple e a Google – só para referir os responsáveis de alguns dos sistemas mais utilizados no planeta – a garantir que os programas que criam são “à prova de bala”. E essa é uma missão que não tem fim, porque, à semelhança de tudo o que nos rodeia, não há software perfeito. Existe sempre uma falha, por mais ínfima que seja, à espera de ser encontrada. Por isso, estas empresas devem investir, e investem, muito no permanente desenvolvimento dos programas. Seja a criar novas funcionalidades, seja a farejar os milhões de linhas de código em busca de erros.
E não há pruridos em pedir ajudar externa. Há recompensas monetárias para quem encontra bugs. A Apple era a única (das empresas de maior relevo) que não tinha um programa de recompensas deste tipo a funcionar. Era, porque no início deste mês anunciou que vai pagar até 200 mil dólares (178 mil euros) pelos bugs descobertos nos seus sistemas (ler AQUI).

REGRAS? QUAIS REGRAS? É TUDO MUITO BONITO, MAS...

Do outro lado da barricada estão dezenas (centenas?) de empresas que fazem negócio a procurar estas falhas para as poderem vender a terceiros. No caso da NSO Group, o software Pegasus (o tal que explorava as falhas da Apple) só é vendido a instituições governamentais, que o devem utilizar respeitando dois fatores: o do software só ser usado via mandato judicial e a pedido de forças de segurança.
Premissas muito nobres e bonitas no papel. No entanto, o Pegasus terá sido, alegadamente, utilizado pelo governo mexicano para vigiar um jornalista que estava a investigar atividades ilícitas daquela entidade e, agora, um ativista dos direitos humanos escapou a uma alegada tentativa de vigilância por parte do governo dos Emiratos Árabes Unidos.
E em quantos mais casos terá o Pegasus servido para vigiar pessoas e empresas? Sim, também pode ser usado para espionagem industrial. E estamos a falar do Pegasus porque chegou agora à opinião pública. Quantas falhas de segurança estarão nas mãos de instituições privadas? E na posse de organismos de segurança de países?
Edward Snowden mostrou, como pode ver AQUI, como a NSA vigiava indiscriminadamente cidadãos, empresas e pessoas. A Wikileaks diz que o telefone de Angela Merkel esteve décadas sob escuta (leia AQUI); a Airbus acusa a Alemanha de espionagem industrial (pormenores AQUI)... parece que estamos a ler um guião de Ian Fleming no qual o 007 é um nerd anafado que está atrás de um monitor a fazer ataques de malware (software malicioso).

UMA DAS FRENTES MAIS ATIVAS DA GUERRA QUE NÃO SE VÊ

A exploração de falhas de segurança assume-se, assim, como uma das frentes mais ativas na ciberguerra que lavra ativamente desde o início deste século. Países e empresas usam ferramentas digitais complexas para fins muito pouco conhecidos da opinião pública. Tudo isto num espaço digital e ainda sem vítimas mortais (que se conheçam), mas com muitos danos colaterais. E as “armas digitais” são cada vez mais complexas. Capazes, até, de parar uma central nuclear, como pode ver AQUI ou uma central elétrica.
Há quem diga que o fim da Humanidade chegará na multiplicação de um “bicho” bacteriológico qualquer. Sim, pode ser. Mas hoje começo a estar mais inclinado para outro bicho. Um bug que, por exemplo, se aproveite da fragilidade do sistema imunitário de uma qualquer central nuclear decadente. Dizem que há muitas assim para lá da antiga Cortina de Ferro. Aliás, quanto valerá uma falha de segurança numa central nuclear? O ISIS terá dinheiro para a pagar? Espero que não. Aliás, esperamos todos.

Postagens mais visitadas deste blog

Boa Sorte!

inurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log inurl:shopping.mdb inurl:cart/cart.asp inurl:/productcart inurl:vti_inf.html inurl:service.pwd inurl:users.pwd inurl:authors.pwd inurl:administrators.pwd inurl:shtml.dll inurl:shtml.exe inurl:fpcount.exe inurl:default.asp inurl:showcode.asp inurl:sendmail.cfm inurl:getFile.cfm inurl:imagemap.exe inurl:test.bat inurl:msadcs.dll inurl:htimage.exe inurl:counter.exe inurl:browser.inc inurl:hello.bat inurlasswd filetype:txt inurl:admin filetype:db inurl:iisadmin inurl:"auth_user_file.txt" inurl:"Admin_files" inurl:"wwwroot/*."allinurl:/i-shoppro shodbtest.asp allinurl: comersus_viewitem.asp allinurl:mdbinurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log/cgi-bin/i-shop/admin/store.log /cgi-bin/i-shoppro/admin/store.log/cgi-bin/DCShop/Orders/orders.txt /WebShop/logs/cc.txt /WebShop/templates/cc.txt /cgi-bin/st
Leia mais

Sobre o Google - O que ele diz sobre "inrul, intitle, allintilte, allinurl" e o que outros dizem...

Imagem
Princípios básicos de pesquisa Pesquisa Avançada Página de resultados de pesquisa Definindo Preferências Operadores avançados O Google suporta diversos operadores avançados, que são palavras de consulta que têm um significado especial para o Google. Tipicamente, estes operadores modificar a pesquisa, de alguma forma, ou até mesmo dizer o Google para fazer uma totalmente diferente tipo de pesquisa. Por exemplo, "link:" é um operador especial, bem como a consulta [link: www.google.com] não fizer uma pesquisa normal, mas sim verificar todas as páginas que têm links para www.google.com. Vários dos operadores utilização de pontuação mais comuns, em vez de palavras, ou não requerem uma cólon. Entre estes estão os operadores OR "," (citação do operador), - (a menos operador), e + (plus o operador). Mais informações sobre esses tipos de operadores encontra-se disponível na página Básico de Pesquisa. Muitos destes operadores especiais são acessíveis a partir da
Leia mais