Por COMPUTERWORLD

A Microsoft pode até ser o maior alvo do mercado na maioria das reclamações sobre vulnerabilidades de segurança, mas outros fornecedores de software ainda precisam alcançá-la quando se trata de lidar com as falhas encontradas em seus produtos, de acordo com alguns usuários e analistas de mercado norte-americanos.

Para muitos, a Microsoft tem feito um bom progresso em seus esforços para desenvolver uma estratégia formal para abordar as falhas desde que Bill Gates, chairman e arquiteto-chefe de software da empresa, anunciou a iniciativa Trustworthy Computing, em janeiro de 2002. Mas o mesmo não se pode dizer da Oracle e de outros fornecedores que ficam atrás da Microsoft nos processos de descoberta, reparo e divulgação de vulnerabilidades, segundo usuários e analistas.

“A Microsoft desenvolveu uma estratégia e uma visão sobre segurança e vulnerabilidade que não tinha alguns anos atrás”, diz Lloyd Hession, chief security officer da BT Radianz, fornecedora de serviços de telecomunicações para empresas financeiras. “É difícil encontrar um único fornecedor que esteja fazendo trabalho melhor.”

Políticas para reagir à descoberta de falhas na segurança estão ganhando mais importância à medida que softwares de banco de dados, rede e aplicativos tornam-se alvos de ameaças mais visados do que os próprios sistemas operacionais, particularmente o Windows. Mais de um terço das 20 maiores vulnerabilidades de segurança na internet listadas pelo SANS Institute em um relatório anual divulgado em novembro de 2005 envolviam falhas em software de backup de dados, segurança e aplicativo.

Em janeiro, a Oracle liberou uma rodada trimestral de correções de software para corrigir 82 vulnerabilidades, muitas delas consideradas “críticas” pela empresa. Na mesma ocasião, a Cisco Systems também disponibilizou correções para diversas falhas que afetavam seus roteadores e o software Call Manager. A EMC, por sua vez, forneceu um conjunto de patches para o software de backup NetWorker.

Estas divulgações ressaltam o fato de que a Microsoft não é o único fornecedor com problemas de segurança, embora, com freqüência, receba as maiores críticas, observa Steven Gelfound, diretor de TI do National Center for Missing & Exploited Children. “Eles se encontram em uma posição em que todo mundo atira contra eles”, diz Gelfound. “Mas isso não quer dizer que um sistema operacional ou aplicativo seja mais seguro do que o outro. Com tempo e recursos de computação suficientes, é possível violar praticamente qualquer coisa”, alega.

Na realidade, tomando-se como base as informações divulgadas pelas empresas, nos últimos três meses a Microsoft divulgou um total de 12 vulnerabilidades, contra 167 da Oracle, 18 da Cisco e oito da Sun Microsystems.

Uma questão de escala

“É nítido que grande parte da atenção que a Microsoft recebe se deve ao fato de que suas falhas na segurança, normalmente, “causam danos muito maiores” por causa de sua enorme base de usuários e da árdua tarefa de corrigir os problemas nos PCs, em especial nas grandes empresa”, acredita John Pescatore, analista do Gartner.

A Microsoft também é um alvo óbvio de hackers maliciosos, que, freqüentemente, trazem as falhas da empresa a público. No início de janeiro, por exemplo, usuários pressionaram a empresa para liberar uma correção para a chamada falha Windows Metafile antes das usuais atualizações mensais de segurança, porque atacantes estavam tentando explorar a vulnerabilidade ativamente.

Tendo em vista estes fatores, “a Microsoft é situada em um padrão mais elevado, o que permite que outros fornecedores adotem impunemente práticas pelas quais a Microsoft seria condenada”, afirma Pescatore. A Oracle, por sua vez, raramente divulga detalhes das vulnerabilidades em seus produtos tão completamente quanto a Microsoft, de acordo com Pescatore. Torna-se difícil para usuários da Oracle, portanto, fazer avaliações de risco ou priorizar planos de correções.

A atitude da Oracle em relação aos seus clientes é do tipo “confie em mim, sei o que estou fazendo”, segundo Jon Oltsik, analista da Enterprise Strategy Group. “Com a comunidade de segurança, eles têm uma atitude antagônica. À medida que ataques mais complexos ou pouco entendidos começam a acontecer, esta não pode ser considerada uma receita para o sucesso”, alerta o analista.

A qualidade da correção também continua sendo um grande problema para a Oracle, de acordo com David Litchfield, diretor da Next Generation Security Software, empresa inglesa de pesquisa de segurança. “Até agora, cada atualização de correção crítica apresentou uma falha ou outra e foi relançada muitas vezes”, diz Litchfield, cuja empresa descobriu diversas vulnerabilidades em produtos Oracle, incluindo uma resolvida com uma correção liberada recentemente.

Fornecedores como Cisco, Sun e Red Hat também não são tão sociáveis quanto a Microsoft na hora de compartilhar informações sobre vulnerabilidades que possam ajudar os usuários a diminuir a exposição às ameaças, afirma Michael Sutton, diretor da unidade iDefense Labs da VeriSign.

Alguns fornecedores se empenharam muito em impedir que pesquisadores sobre segurança revelassem detalhes sobre determinadas vulnerabilidades. Em julho de 2005, a Cisco obteve um mandado de segurança impedindo um pesquisador de discutir publicamente uma brecha em seu software roteador. A empresa chegou a obrigar os organizadores da conferência Black Hat, nos EUA, a destruir CDs e arrancar mais de 30 páginas com slides sobre a falha na apresentação da conferência. Em março, a Sybase ameaçou temporariamente processar a Next Generation Security se publicasse detalhes sobre falhas na segurança do software de banco de dados da Sybase.

Cisco e Sun não seguem um cronograma regular para liberar correções, optando por fazê-lo à medida que as soluções são disponibilizadas, o que torna o processo de correção menos previsível para usuários, dizem analistas. Além disso, a Cisco não classifica suas falhas, deixando a cargo dos administradores de TI a decisão sobre qual é a gravidade da vulnerabilidade. 

“De todos os fornecedores com quem lidamos, a Microsoft é uma das melhores nos processos adotados para abordar ameaças à segurança”, diz Sutton. Isso inclui ter procedimentos formais de descoberta e avaliação de vulnerabilidades, desenvolvimento, teste e distribuição automatizada de correções. A Microsoft também demonstrou uma disposição crescente para trabalhar com pesquisadores sobre segurança que descobrem falhas, de acordo com usuários e analistas.

Diante de tais esforços, o Gartner não acredita mais que exista alguma diferença, em termos de segurança, entre o Windows Server 2003 e sistemas operacionais rivais como Solaris, HP-UX e AIX, diz Pescatore. Mas, ele acrescenta que o lançamento planejado do Windows Vista, ainda este ano, será um marco no empenho da Microsoft em provar que fez um progresso real em aprimorar seus procedimentos de segurança. “Será o primeiro sistema operacional para desktop,  depois que eles disseram que estavam levando a segurança a sério”, observa Pescatore.

“O maior problema deles agora é tentar deixar para trás as percepções negativas”, afirma Hugh McArthur, diretor de segurança de sistemas de informação da Online Resources Corp, que oferece serviços de bankline e pagamento de contas para a indústria financeira. McArthur daria à Microsoft “um A por esforço e um B+ por execução” em problemas de segurança.

A estratégia da Oracle

Executivos da Oracle e da Cisco, por sua vez, defendem as abordagens de segurança de suas empresas. “As estratégias de reparo e resposta a vulnerabilidade da Oracle são muito focadas no cliente”, explica Duncan Harris, diretor sênior de garantia de segurança da empresa. A decisão da Oracle de adotar um cronograma de atualização trimestral em janeiro de 2005 se baseou em informações colhidas com os administradores de banco de dados, que prefeririam um intervalo mais longo entre as atualizações.

Da mesma forma, a decisão da Oracle em limitar o volume de informação sobre as vulnerabilidades que ela divulga é motivada exclusivamente pelo interesse dos usuários, diz Harris. “Nossos relatórios são para o bem dos nossos clientes”, enfatiza. “Não são para o bem da comunidade de segurança.” Para Harris, divulgações mais completas como as feitas pela Microsoft só aumentam os riscos à segurança enfrentados por usuários. Nos últimos dois ou três anos, o grupo de tratamento de vulnerabilidades centralizado da Oracle empenhou-se em evoluir seus processos para desenvolver, testar, portar e distribuir correções, acrescenta Harris.

Representantes da Cisco alegam que sua reação à divulgação de vulnerabilidades na conferência Black Hat foi cabível porque eles estavam tentando proteger a propriedade intelectual do fornecedor e impedir a liberação de informação que atacantes poderiam usar como instruções para atacar roteadores.

A Cisco planeja continuar liberando correções de segurança à medida que as mesmas se tornam disponíveis em vez de fazer os usuários esperarem por atualizações periódicas, segundo Mike Caudill, gerente de incidentes de segurança de produto. E é improvável que a Cisco comece a classificar a gravidade de suas falhas. “Nossa abordagem não é dizer se o risco é ‘vermelho’, ‘amarelo’ ou ‘verde’, mas explicá-lo”, diz Caudill. “Vamos explicar o problema e deixar que os clientes decidam o que fazer.”

A Cisco tem uma longa tradição de trabalhar com pesquisadores de segurança que descobrem vulnerabilidades em seus produtos. Mas, conclui Caudill, os pesquisadores precisam ser mais coerentes no modo como divulgam falhas para fornecedores.