Uma forma eficaz de melhorar significativamente a segurança de software é competir com o mercado negro de vulnerabilidades desconhecidas, na aquisição das mesmas – propõe a NSS Labs. Em uma análise divulgada esta semana, a empresa recomenda a implantação de um programa internacional de compra de vulnerabilidades, visando angariar fundos para arcar com os altos preços associados a vulnerabilidades zero-day vendidas no submundo de corretores, serviços de assinatura e hackers.
De 60 a 80% das vulnerabilidades são apresentadas aos fornecedores de software gratuitamente, por especialistas em segurança normalmente mais interessados em proteger os usuários em vez de lucrar com as falhas, considera a NSS. As vulnerabilidades restantes são adquiridas por fornecedores ou acabam no mercado negro, onde os cibercriminosos podem facilmente comprá-las. Ao ter um programa de compra de vulnerabilidade centralizado “poderíamos ter muitos pesquisadores estudando essas vulnerabilidades”, diz Stefan Frei, diretor de pesquisa da NSS Labs e coautor do estudo.
Além disso, seria enviada uma clara mensagem aos fornecedores de software: quando lançassem um produto, saberiam que “seria completamente analisados desde o primeiro dia”. Uma ” estimativa conservadora ” da redução de perdas devido ao cibercrime através de um programa de recompensas competitivas é de 10%, segundo a NSS Labs.
A redução valeria muito mais do que o custo, pois o cibercrime e a ciberespionagem resultam em centenas de milhares de milhões de dólares em perdas, todos os anos. Se todas as vulnerabilidades dos produtos forem compradas por 150 mil dólares cada, o total representaria menos de 0,01% do produto interno bruto anual dos EUA ou da União Europeia, de acordo com a NSS Labs.
Se os grandes fornecedores de software pagassem um montante semelhante por cada vulnerabilidade descoberta nos seus produtos, o custo seria de menos de 1% das suas receitas. Portanto, o programa seria “uma proposta economicamente viável para reduzir as perdas resultantes do cibercrime”, diz o estudo.
“Ao pagar preços competitivos, podemos realmente competir e afastar muitos cibercriminosos”, disse Frei. A necessidade de um esforço do setor de segurança e do governo para reduzir as vulnerabilidades de software é clara.
Entre os nove principais fornecedores de software, só a Microsoft revelou menos vulnerabilidades do que a sua média nos últimos 10 ou cinco anos, de acordo com a NSS. O conjunto dos outros fornecedores inclui a Adobe, a Apple, a Cisco, a Google, a Hewlett -Packard, a IBM, a Mozilla e a Oracle.
Preços em queda
Um outro estudo, de pesquisadores da Dell SecureWorks, publicado pela BBC, afimra que o preço de venda de informações sigilosas roubadas online, como contas bancárias ou dossiês financeiros, caiu drasticamente nos últimos dois anos.
Joe Stewart, diretor de pesquisa de malware da Dell SecureWorks, e David Shear, um consultor independente, monitoraram fóruns criminais na internet, alguns deles sediados na Rússia, em que são negociados dados sigilosos de usuários, e verificaram, por exemplo, que, com apenas US$ 300 (R$ 700), conseguiam comprar informações financeiras de contas de até US$ 300 mil (R$ 700 mil). Há dois anos, alegam os especialistas, o mesmo valor só garantiria o acesso a saldos de até R$ 7 mil.
Segundo Stewart, um dossiê completo de informações financeiras sobre um indivíduo, que pode ser usado para cometer roubo de identidade, agora custa US$ 25 (R$ 60). Há dois anos, esses mesmos dossiês – apelidados de Fullz na linguagem dos hackers - eram vendidos a US$ 60 (R$ 140) cada um.
Os criminosos virtuais também ficaram mais sofisticados ao criar um serviço "customizado", a partir do qual oferecem dados financeiros roubados a clientes em potencial. A oferta inclui websites com sistemas de busca que lhe permitem fazer buscas onlines por detalhes de bancos específicos.
Stefan Frei, diretor de pesquisas na consultoria de segurança NSS Labs, diz que os criminosos estão dispostos a pagar um preço mais alto por novas vulnerabilidades descobertas. Quanto mais segura a plataforma é vista, maior é o preço para hackeá-la, diz ele.
"As pessoas estão cada vez mais colocando suas vidas nos computadores. Por isso, o custo para hackear um computador é muito mais alto do que antes", explica Frei. "Uma vulnerabilidade no sistema iOS (da Apple) pode ser vendida de US$ 500 mil (R$ 1,2 milhão) a US$ 1 milhão (R$ 2,7 milhões)".
Fonte: "Empresa propõe programa internacional de compra de vulnerabilidades." CIO. http://cio.uol.com.br/noticias/2013/12/19/empresa-propoe-programa-internacional-de-compra-de-vulnerabilidades/ (accessed December 19, 2013).
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário