O lançamento de um novo sistema operativo da Microsoft abre sempre um leque de novas possibilidades. É uma nova plataforma disponível para os programadores que desejam explorar novas aplicações e formas de rentabilização. Mas, apesar das condições reforçadas de segurança também é uma óptima oportunidade de negócio para as empresas de segurança. É nesta área que uma empresa está criar controvérsia.
Uma recente mensagem de Twitter da Vupen, uma empresa de segurança francesa especializada em encontrar vulnerabilidades em software, está a acender polémica:
“Para Venda: Nosso primeiro exploit 0 day. para Win8 + IE10 com HiASLR / AntiROP / DEP & Prot mode com bypass da sandbox (Flash não é necessário)”
Vupen faz parte de um conjunto restrito de empresas que ocupa uma área cinzenta na investigação de falhas de seguranças em sistemas informáticos. O seu modelo de negócio é precisamente a venda de vulnerabilidades para organizações governamentais ou empresas que tenham suficiente capacidade monetária para adquirir esse conhecimento, sem compartilhar os detalhes das vulnerabilidades encontradas com os autores do software afectado. A empresa defende que a sua informação ajuda as organizações a se defender de hackers e, em alguns casos, ter uma uma atitude mais pro-activa.
Apenas o que se sabe até ao momento é que Vupen encontrou um problema num determinado componente do novo sistema operacional Windows 8 e no seu navegador Internet Explorer 10. A vulnerabilidade encontrada pela Vupen é talvez uma das primeiras encontradas no Windows 8, desde que foi divulgado na semana passada. Apesar deste facto já foram encontradas vulnerabilidades em software de terceiros a ser executado no Windows 8.
A oportunidade de mercado para um “exploit” bem-sucedido pode ser (para já) limitada devido ao lançamento recente do Windows 8. Apesar do sucesso de venda de upgrades nos últimos dias, a base de utilizadores deste sistema é ainda pequena quando comparada com a quantidade de pessoas que se encontram a utilizar o Windows 7.
Por outro lado, não existe ainda a confirmação que este bug também não seja válido em versões mais antigas do Windows ou do Internet Explorer. Resumindo, qual será o valor desta vulnerabilidade? É difícil de dizer. A Vupen ainda não divulgou quanto irá cobrar por esta falha de segurança.
Mas independentemente do preço que a empresa tenha em mente o mesmo apenas irá inflacionar à medida que o tempo for passando e a vulnerabilidade não for encontrada. Isto deve-se ao facto da base de utilizadores do Windows 8 ir aumentar à medida que as primeiras máquinas começarem a ser compradas pelos utilizadores. Nesse sentido o Windows 8 será cada vez um sistema operativo mais atractivo para hackers, empresas com fins mais obscuros, ou mesmo serviços secretos de governos que queiram usar este tipo de vulnerabilidade para efeitos de espionagem.
Comentários