Intensificar exploração de falhas pode melhorar segurança
Por uma década, pesquisas de segurança têm feito dinheiro com a venda de detalhes significantes sobre vulnerabilidades dos programas: primeiro o Programa de Contribuição de Vulnerabilidade lançado pela IDefense, em 2002, e, depois, a iniciativa do Dia Zero TippingPoints, que foi ao ar em 2005.
Extendendo o modelo, a empresa de pesquisa de segurança e testes NSS Labs lançou o ExploitHub, um modelo de aplicativo para a venda de códigos para explorar vulnerabilidades conhecidas. Compradores pré-aprovados podem procurar a loja e pagar algo em torno de US$ 50 mil para uso de códigos.
No entanto, a mistura de códigos de ataque tem sido anêmico. Um olhar sobre o ExploitHub revelou que fornecedores estão vendendo códigos de ataque para Oracle, Novell e um punhado de vulnerabilidades do Windows. A NSS Labs espera mudar isso: na semana passada, a empresa introduziu um sistema de votação para compradores de vulnerabilidades específicas ou de interesse, bem como um sistema de prêmio que paga para postar códigos e explorar falhas. A empresa planeja pagar entre US$ 200 e US$ 500 para trabalhar ataques direcionados a vulnerabilidades específicas na Internet Explorer e Adobe Flash.
?Os maus têm a capacidade de criar meios de explorar as vulnerabilidades e lançá-las de forma maliciosa?, explicou Rick Moy, CEO da NSS Labs. ?Mas os moçinhos não têm a isso e não podem testar suas defesas para dizer se estão seguros ou não?, completou.
Embora ataques dia zero – focados em vulnerabilidades desconhecidas e sem correções – ainda causem preocupação, as empresas precisam testar sua segurança contra ameaças conhecidas também. A maioria das companhias atrasa o lançamento de correções e, para ter certeza de que não estão vulneráveis ao ataque, devem ser capazes de bloquear as falhas em seu software.
Com a venda de exploração para falhas conhecidas, o ExploitHub ajuda os times de segurança de TI com testes de invasão e verificação de segurança de uma organização, e isso mantém a pressão sobre os fornecedores de softwares a desenvolverem correções para vulnerabilidades importantes, acredita Marc Maiffret, diretor de tecnologia da eEye Digital Security.
