O ultimato foi dado: corrijam as suas falhas de segurança em 90 dias ou vamos expô-las em público. Este é o aviso dado por uma equipa de hackers e programadores da Google à Microsoft e à Apple para que protejam as suas vulnerabilidades contra cibercrimes, avança a Bloomberg nesta quinta-feira. A equipa foi formada com o nome de “Project Zero” e tem como objetivo ajudar os utilizadores a proteger os seus computadores de ameaças na Internet.
“Devemos ser capazes de usar a rede sem medo de que um criminoso ou agente externo explore falhas de software para infetar os nossos computadores, roubar segredos ou monitorizar as nossas comunicações”, explica o grupo no blog do projeto.
No entanto, alguns especialistas questionam o verdadeiro motivo que leva a Google a lutar desta forma pela segurança na Internet. “Pressionar as empresas a corrigir as suas falhas é uma boa ideia, mas os motivos que tem em mente podem ser questionados, já que pode expor as vulnerabilidades de dois dos seus maiores rivais antes mesmo de que sejam solucionados”, afirma John Dickson, diretor da empresa de segurança Denim Group em entrevista à Bloomberg. Dickson acredita que o papel de gestão da segurança da Internet caberia a alguma agência governamental.
A Apple recusou-se a comentar o ultimato da Google, enquanto a Microsoft remeteu a um comunicado anterior da empresa em que critica este tipo de “tática de pressão”. “O que é certo para a Google, nem sempre é certo para os utilizadores”, escreveu Chris Betz, diretor de segurança da Microsoft. “Se estas empresas não conseguem chegar a um acordo é um mau sinal para todo o ecossistema”, afirma a publicação Jake Kouns, chefe de segurança da empresa Risk Based Security Inc.
Esta não é a primeira vez que as empresas travam uma guerra sobre a segurança na Internet. Em janeiro, a Apple apelou à Google para esperar uma semana antes de divulgar algumas falhas no sistema operativo Mac OS X para que pudesse identificar e corrigir os problemas. A Google negou o pedido e expôs as falhas. O mesmo ocorreu com a Microsoft, quando solicitou dois dias para consertar uma falha no Windows e a empresa de Montain View recusou e publicou as falhas de segurança. Ao total, o Project Zero já identificou 39 vulnerabilidades em produtos da Apple e 20 na Microsoft. Nenhuma delas grave, afirma o grupo.
Um debate aceso
Os defensores da Google acreditam que a medida é necessária para mudar a política de atualização de falhas de segurança das empresas – as companhias costumam esperar meses para atualizar os seus sistemas mesmo sabendo da existência de vulnerabilidades. “A política da Google é boa para a indústria e a companhia devia ser louvada por manter com firmeza a sua postura”, conclui Tom Gorup, diretor da empresa de segurança Rook Security.
Já para Christopher Kissel, analista de segurança da Frost & Sullivan Inc, o ultimato serve para arrefecer o mercado da gestão da segurança na Internet, um ramo da indústria informática que deverá atingir uma faturação de mil milhões de dólares em 2018 face a receita 600 milhões de dólares em 2014, conforme avança a Bloomberg.
Um estudo da empresa FireEye Inc citado pela publicação aponta para um total de 7,903 falhas detetadas em software em 2014, um aumento em comparação com 2013, quando foram encontradas 5,174 vulnerabilidades. O tempo médio de publicação das correções pelas empresas é de 205 dias, segundo uma estimativa da empresa.