O primeiro de julho de 2009 Nenhum Comentário 1 July 2009 No Comment

bem hoje é o primeiro dia do julho e isto significa que é também o primeiro dia do mês de defeitos de gorjeio. como o 'mês passado de X defeitos, cada dia uma vulnerabilidade de segurança que se relaciona com o produto/serviço sujeito (neste gorjeio de caso) será revelada ao público. well today is the first day of july and that means it’s also the first day of the month of twitter bugs. like past ‘month of X bugs’, each day a security vulnerability relating to the subject product/service (in this case twitter) will be disclosed to the public.

porque eles estão revelando esta vulnerabilidade ao público? como com qualquer exercício na revelação cheia a idéia é forçar a companhia (s) implicada para mudar maus hábitos e fixar a vulnerabilidade revelada. a revelação cheia põe a informação na esfera pública para que muitas pessoas o estejam sabendo e algo tão agarrar a atenção como um ‘mês de X defeitos’ capturas até mais ação da mente e adquire-o que muito mais perto à corrente principal.why are they disclosing these vulnerabilities to the public? as with any exercise in full disclosure the idea is to force the company(ies) involved to clean up their act and fix the disclosed vulnerability. full disclosure puts the information into the public sphere so that many people are aware of it and something as attention-grabbing as a ‘month of X bugs’ captures even more mind-share and gets it that much closer to the mainstream.

na teoria isto está bem para o público. na teoria os pesquisadores que fazem a revelação estão fazendo um bom feito porque eles se preocupam com a segurança e a companhia (s) eles são pantsing são pessoas rudes preguiçosas, arrogantes que não se preocupam com a segurança ou o público e quem tem de ser conseguido na realização da coisa certa. e supostamente fixando os defeitos individuais os pesquisadores de vulnerabilidade identificam é a coisa certa a fazer.in theory this is good for the public. in theory the researchers doing the disclosure are doing a good deed because they care about security and the company(ies) they’re pantsing are lazy, arrogant boors who don’t care about security or the public and who need to be forced into doing the right thing. and supposedly fixing the individual bugs the vulnerability researchers identify is the right thing to do.

mas e se a teoria está enganada? não todas as companhias são criadas iguais (nem são todos os pesquisadores de vulnerabilidade no que diz respeito ao assunto). ninguém sabe o que continua dentro de uma companhia exceto as pessoas dentro daquela companhia. é possível que uma companhia dada possa estar influindo de fato em um upgrade abrangente à sua postura de segurança que obviaria espaços cortados de defeitos inclusive aqueles que são identificados por pesquisadores exteriores. mas isto teria de ser atrasado e o tempo da companhia desperdiçado para que eles possam ficar atrás destes defeitos individuais um após outro para parecer estar fazendo algo. tal é a conseqüência de deslocar a notificação de vulnerabilidade à esfera pública.but what if the theory is wrong? not all companies are created equal (nor are all vulnerability researchers for that matter). nobody knows what goes on inside a company except the people inside that company. it’s possible that a given company may actually be working on a comprehensive upgrade to their security posture that would obviate swaths of bugs including the ones that get identified by outside researchers. but that would have to be delayed and the company’s time wasted so that they can chase down these individual bugs one at a time in order to appear to be doing something. such is the consequence of shifting vulnerability notification to the public sphere.

agora, não estou indo ser dissimulado e sugerir que isto é o que acontece todo o tempo ou até a maior parte do tempo, mas estando no desenvolvimento de software sinto-me confiante que está acontecendo um pouco do tempo. now, i’m not going to be disingenuous and suggest this is what happens all the time or even most of the time, but being in software development i feel confident that it is happening some of the time.

os médicos de revelação cheios externos não têm nenhum modo de saber que, contudo, nem vi qualquer indicação que eles se preocupam. apesar da ideologia quente e frisada atrás da prática, a revelação cheia é uma aplicação da força. é um exercício na coerção, um exemplo de usar relações públicas para curvar uma companhia à própria vontade do pesquisador de vulnerabilidade porque supostamente o pesquisador sabe melhor do que a companhia o que é o melhor para os usuários da companhia.external full disclosure practitioners have no way to know that, however, nor have i seen any indication that they care. despite the warm and fuzzy ideology behind the practice, full disclosure is an application of force. it is an exercise in coercion, an example of using public relations to bend a company to the vulnerability researcher’s own will because supposedly the researcher knows better than the company what is best for the company’s users.

não sou mais torcedor de companhias preguiçosas, arrogantes, rudes do que o seguinte tipo, mas 3os partidos agressivos deixa um mau gosto na minha boca também. i’m no more a fan of lazy, arrogant, boorish companies than the next guy, but belligerent 3rd parties leave a bad taste in my mouth too.