eVc promete aumentar segurança de softwares

Existem softwares inseguros, e por isso também existem amostras de código inseguras disponíveis online, em código aberto, em fóruns da web, em manuais de desenvolvimento e até mesmo em materiais de universidade. Um novo projeto lançado na semana passada tenta erradicar essa fonte de código maligno que alimenta o ciclo de desenvolvimento de programas inseguros.

O Eliminate Vulnerable Code Project (eVc – Projeto de Eliminação de Código Inseguro), criado pelo Digital Security (DigitSec), é um esforço realizado pela comunidade onde os participantes  retiram amostras de código inseguro. Os detalhes das vulnerabilidades estão disponíveis somente para membros do projeto. Entre as empresas em discussão para uma possível colaboração com a eVc, está a Open Web Application Security Project (OWASP).

“Esperamos eliminar amostras ou citações de código vulnerável. Se alguém usa um código nesse modelo de um fórum da rede, de um documento ou de um projeto open source, se tornam vítimas em potencial de um ataque ou exploração”, afirmou Waqas Nazir, diretor e CEO da DigitSec.

Sua própria empresa, que entre outras coisas conduz testes de penetração, considera o problema prioritário. “Como empresa, já quebramos uma série de sistemas que utilizam projetos de código aberto que são conhecidos por terem vulnerabilidades”.

O executivo ainda afirma que o projeto eVc corrige códigos. “Nosso objetivo final não é fazer com que nenhum projeto ou site seja mal visto. Nosso objetivo é criar um ambiente de desenvolvimento de software seguro. Vemos muitas amostras de código fonte em propriedades de rede e até mesmo em livros usados para treinar desenvolvedores”.

“Forneceremos um resumo de relatório para o site ou proprietário, alertando sobre os problemas encontrados pela comunidade. Não haverá referência direta de um produto onde o código está em uso, então não há preocupação de o tornamos disponível (público)”.

O projeto irá usar ferramentas de “rastreio” para detectar linhas de códigos falhas, bem como usar outros fóruns e apresentações de colaboradores. “Esperamos basicamente coletar tudo que for registrado e torna-lo disponível”.

O eVc está atualmente em discussão com vários potenciais patrocinadores e também será sustentado por membros de sites, universidades e projetos abertos que trabalharão com o site para tirar o código vulnerável ou corrigi-lo.

Todos os dias, códigos inseguros são postados em sites e fóruns, e isso dificulta a resolução do problema, segundo especialistas de segurança.

“A introdução de vulnerabilidades de software por meio de código reutilizado é um problema antigo. Todos os dias, códigos inseguros são postados em fóruns como o Stack Overflow, e desenvolvedores desavisados os copiam e colam em seus projetos sem o completo entendimento de como ele funciona ou como as falhas dos códigos podem ser apresentadas”, afirmou Chris Eng, vice-presidente de pesquisa da Veracode.

Eng explicou que a tentativa de retirada de código maligno é “um objetivo louvável”, mas o problema é tão grande que a abordagem do eVc pode não ser suficiente para lidar com tudo. “Mesmo separando projetos open source, livros e outras fontes, a quantidade de código que é postada em fóruns de rede é gigantesca, e cresce a um passo que ultrapassa as aplicações de segurança dos especialistas”.

Prutha Parikh, pesquisadora de segurança da Qualys, afirma que o projeto parece estar pareado com o risco que ela encontrou recentemente, onde scripst ou softwares já vêm com grade de produção, o que deixa os clientes em risco.

“[o projeto] se concentra em software com falhas que vêm de livros, material de treinamento e de softwares não mantidos. Meu blog no ‘Risks of Vulnerabilities in Example Scripts Bundled with Software‘, tem um espírito similar, mas se foca em exemplos de scripts ou softwares que vêm empacotados com grade de produção”.

Ela recomenda que os fornecedores removam esses arquivos, suportes e scripts quando lançarem seus programas. Esses scripts que não estão prontos podem incluir exemplos de programação, arquivos de ajuda e outros para instalação e configuração. “O software pode ser seguro, mas muitas vezes os arquivos de suporte contêm vulnerabilidades”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini

Saiba mais:

Hardware open source: a próxima grande sacada?

Foco no open source: Nasa tem novo site para código aberto