Microsoft acusa Google de prejudicar consumidores com divulgação de falha no Windows

IMAGEaHR0cDovL3JhY2suMi5tc2hjZG4uY29tL21lZGlhL1pna3lNREUwTHpBM0x6RTFMMkZrTDBkdmIyZHNaVEV1TmpSa01qTXVhbkJuQ25BSmRHaDFiV0lKT1RVd2VEVXpOQ01LWlFscWNHYy9hNmJlYzM1MC8zODMvR29vZ2xlMS5qcGc=

A Microsoft fez críticas duras a políticas do Google em um texto publicado neste domingo [iurl=http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx]em seu blog de segurança[/iurl]. O motivo foi a divulgação de detalhes sobre uma vulnerabilidade séria no Windows 8.1, feita pela equipe do Project Zero antes que as devidas providências fossem tomadas pela MS – algo que só ocorreria nesta próxima terça-feira, 13 de janeiro, na tradicional Patch Tuesday.

A falha permitia que um invasor elevasse seus privilégios dentro do sistema, e foi descrita pela equipe de pesquisadores no dia 13 de outubro do ano passado. As informações ficaram restritas a uma página no Google Code e foram repassadas aos desenvolvedores do Windows, que tiveram 90 dias para corrigir os problemas no SO.

O prazo não é aleatório, e foi estipulado nas regras do projeto do Google, um esquadrão de hackers formado em 2014 com o objetivo de encontrar brechas por toda a web. O problema é que esses três meses não seriam suficientes para os pesquisadores da Microsoft, que só conseguiriam publicar a correção dois dias após o período definido.

No entanto, o pedido para que as informações sobre a vulnerabilidade fossem mantidas em segredo até o dia 13 deste mês acabou negado. Por isso, já no dia 11, o documento com os dados e a descrição da falha foi aberto ao público – o que inclui possíveis criminosos –, despertando a “ira” da equipe de segurança da Microsoft.

1. 'Nós pedimos ao Google para que trabalhasse conosco para proteger os consumidores segurando os detalhes até terça, 13 de janeiro, quando liberaríamos uma correção', escreveu Chris Betz, diretor sênior do Microsoft Security Responder Center. Mas a rivalidade parece ter falado mais alto, ao menos na visão do executivo – que questionou os princípios da equipe de pesquisadores e colocou os clientes como principais vítimas.

1. 'Aqueles a favor de uma divulgação total e pública [de vulnerabilidades] acreditam que este método faz com que desenvolvedores de software corrijam as falhas mais rapidamente', continuou Betz, citando o método do Google. 'Mas nós discordamos disso [...] Acreditamos que aqueles que divulgação uma falha integralmente antes da correção estar disponível estão prestando um desserviço a milhões de pessoas e aos sistemas dos quais elas dependem.'

Como alternativa a essa política de prazos do Project Zero, Betz citou um acordo chamado de Divulgação Coordenada de Vulnerabilidades, o CVD na sigla em inglês. A solução já é adotada pela Microsoft e difere do método mais tradicional (e seguido pelo Google) basicamente nas questões de tempo e envolvimento dos pesquisadores.

1. 'Nossa ideia é fazer com que os especialistas trabalhem com o desenvolvedor para entregar uma atualização que proteja os consumidores antes de divulgar detalhes da vulnerabilidade', descreveu Betz. Essa 'união' ajuda, na visão do executivo, a contornar as dificuldades de responder a brechas de segurança, processo que “pode ser complexo, extenso e demorado”.

O Google não chegou a dar uma resposta oficial à 'carta aberta' da Microsoft, mas Ben Hawkes, pesquisador e membro do Project Zero, se antecipou. Ainda no dia 31 de dezembro, nos comentários de outra falha do Windows 8.1 (também divulgada antes das correções), o especialista explicou que a política de prazos da iniciativa foi estipulada depois de anos de considerações e discussões acerca da indústria de segurança.

1. 'Pesquisadores da área têm usado essas regras pelos últimos 13 anos, e nós achamos que nossos princípios precisam evoluir junto com o ecossistema de segurança da informação', escreveu o pesquisador, que atua no campo há anos. 'Em outras palavras, assim como as ameaças mudam, as políticas de divulgação também deveriam.'