Estava lendo a lista de e-mails da security focus hoje quando me deparei com uma assinatura muito interessante onde dizia:
“All vulnerabilities deserve a public fear period prior to patches becoming available.”
–Jason Coombs on Bugtraq
Achei a frase bem interessante “filosóficamente” falando, mas queria um pouco mais de contexto e me surpreendi quando encontrei, com um pouco de google hack o e-mail completo de Jason Coombs.
Para quem interessar o “google dork” ficou assim: “Jason Coombs” site:seclists.org intext:”deserve a public”
Abaixo vou colar a parte mais interessante:
“All vulnerabilities deserve a public fear period prior to patches becoming available. The alternative is complacency and increased ignorance due to the removal of the short window of opportunity for every admin and programmer who cares to do so to contribute openly to analysis of the threat. When vulnerabilities are disclosed along with alleged fixes, fewer people bother to mount any type of incident response in spite of the fact that the fixes often fail or introduce new vulnerabilities. Closed source software is especially destructive to security in this respect because it encourages blind acceptance of alleged fixes. Anyone can analyze and discuss the threat openly but the solution we receive from our vendors is closed and its technical design is arbitrary. This makes no sense. There is a world full of smart people who kick and scream in an attempt to gain some level of influence in the technical design of security-sensitive features of closed source products and with few exceptions closed source software vendors systematically ignore our input.“
Pra quem se interessar em ler o ponto de vista completo ou traduzido “daquele jeito” pelo google.
Quando compartilhei com um dos meus amigos de “mente perversa“ fui logo recebendo o seguinte “patch” para a frase:
“All vulnerabilities deserve a 365day period of use before becoming public available.”
–Unknown closer friend
Cada um tem uma opinião sobre este assunto e creio que não existe uma resposta pontual e depende muito da situação, lembrando que um full disclosure “0day” pode gerar uma baita dor de cabeça judicialmente falando.
Convido a quem se interessar em postar sua opnião, full disclosure ou partial disclosure…
Convido também o Sr. Fernando Ike a continuar este meme.
Enjoy! ;)
March 4, 2009 at 11:00 pm
Tá aí mais um assunto pro podcast!
Eu sou completamente a favor de full disclosure. Eu acho que mesmo que não se tenha um patch que corrija o código no momento em que uma falha torna-se pública, sabendo onde está a falha e como ela acontece, certamente já pode ser informação suficiente pra que alguma medida seja tomada para remediar a questão e se proteger.