Há pelo menos duas décadas, a atividade de pesquisa de segurança vem se organizando como uma forma de aprimorar a proteção de produtos e serviços. Nesse processo, os pesquisadores encontram falhas e as reportam aos fabricantes que, na maioria dos casos, permitem que o especialista divulgue seu trabalho em conferências técnicas, após a correção da tecnologia. Assim o fabricante aproveita a chance de melhorar a segurança de seu produto e o pesquisador ganha reputação no mercado a cada falha que encontra.
No entanto, essa atividade é cheia de controvérsias. Embora muitos fabricantes tenham compreendido a importância que a colaboração de um pesquisador externo pode trazer para seus produtos (muitos deles recompensando financeiramente os especialistas), ainda é comum testemunhar situações em que alguns fabricantes entendem o trabalho do pesquisador como uma atividade hostil e não se abrem ao diálogo. Isso traz riscos para a atividade de quem encontra a falha e também para quem usa a tecnologia, pois enquanto reinar a controvérsia, persistirá a vulnerabilidade.
É comum que a confusão e a desconfiança surja onde não há uma regra comum que busque contemplar os interesses das diversas entidades envolvidas no processo. Foi pensando nisso que a Tempest procurou estudar os frameworks de entidades reconhecidas internacionalmente, como o NIST e a ENISA, para elaborar uma política de divulgação coordenada de vulnerabilidades, a qual foi publicada na última semana.
As diretrizes do documento são alicerçadas em um conjunto de princípios bastante claro: o primeiro deles é o de que a busca por vulnerabilidades na Tempest somente é orientada por nosso objetivo de trazer mais segurança para nossos clientes e para a sociedade; em segundo lugar, há o compromisso de buscar o diálogo entre todas as entidades do processo; os pesquisadores da empresa também se comprometem por princípio a somente usar os recursos estritamentes necessários para a comprovação da existência da vulnerabilidade, pois isso evita o uso de técnicas ofensivas de forma desproporcional (princípio da proporcionalidade de recursos); em quarto lugar, é um princípio da política que suas diretrizes tenham a função de trazer equilíbrio entre as entidades do processo, protegendo assim os pesquisadores. Finalmente, uma vulnerabilidade somente será divulgada à revelia do fabricante (full disclosure) pelo benefício da sociedade em condições nas quais há perigo iminente de sua exploração e quando se esgotarem todas as tentativas de estabelecer o diálogo com o fabricante.
A política contempla cinco papéis os quais possuem responsabilidades distintas, porém que podem ser acumuladas por um ator no processo. São elas:
Finder — indivíduo ou organização que encontra a vulnerabilidade. Muitas vezes se trata de um pentester ou pesquisador de segurança os quais estão motivados pelo desafio técnico ou pelo reconhecimento que a divulgação da vulnerabilidade pode trazer. Eventualmente essa função é desempenhada institucionalmente por empresas ou pelo próprio fabricante.
Relator — indivíduo ou organização que comunica a vulnerabilidade ao fabricante. Em muitos casos essa atividade é desempenhada pelo Finder. Entretanto, a atividade pode ser eventualmente desempenhada por uma empresa que intermedeia a comunicação entre o fabricante e o Finder, possivelmente cobrando uma taxa sobre a recompensa atrelada à divulgação do problema.
Fabricante — empresa, organização sem fins lucrativos, agência governamental, indivíduo ou grupo de indivíduos que cria, desenvolve e/ou mantém tecnologias e é responsável por avaliar a documentação enviada pelo Finder, planejar e desenvolver correções, bem como disponibilizá-las para os Deployers.
Deployer — indivíduo ou organização com a função de planejar, testar e implementar correções para vulnerabilidades.
Coordenador — indivíduo ou área em uma organização com a função de gerir o ciclo de identificação de correção de vulnerabilidades. Eventualmente o processo pode demandar a coordenação de atividades entre múltiplas empresas.
Estamos trabalhando para que este texto seja uma referência para outras empresas que busquem elaborar um framework comum para o mercado brasileiro, estabelecendo diretrizes para cada um dos papéis no processo e colaborando assim para elevar a maturidade do assunto no mercado, reduzir o espaço para o improviso e a desonestidade ao lidar com a comunicação de vulnerabilidades e tornar o documento uma referência para quem desenvolve tecnologia no país.
A íntegra da política de divulgação coordenada de vulnerabilidades pode ser encontrada no site da Tempest.