Trend Micro defende pesquisa de vulnerabilidades

Publicado em 25/08/2015 00:55 em Segurança Informática

A empresa de segurança informática Trend Micro entrou em polémica com a Oracle e defende que as companhias deveriam regozijar-se por investigadores legítimos como a Trend Micro detectam vulnerabilidades, observando que há companhias que agradecem a ajuda.

Raimund Genes, CTO (Chief Technology Officer) da Trend Micro, numa nota publicada no blogue oficial da empresa, destaca que a CSO (Chief Strategy Officer) da Oracle explicava porque é que as pessoas deviam deixar de procurar vulnerabilidades nos produtos de software da Oracle, postura que não terá caído bem entre os clientes da multinacional.

A Oracle publicou depois uma declaração em que se demarcava da posição da sua responsável, em que dizia que essa posição «não reflectia as opiniões [da Oracle] ou o relacionamento com os seus clientes».

Genes acusa a CSO da Oracle de pretender a segurança através da obscuridade, algo que não funciona, mas diz que ela poderia marcar pontos se atacasse aqueles que procuram vulnerabilidades para as vender ou usar para ataques maliciosos.

A Trend Micro sublinha que falou com a Oracle sobre a vulnerabilidade antes de a tornar pública e destaca que identifica anualmente muitas vulnerabilidades.

[As empresas de segurança informática identificam um grande número de vulnerabilidades no software de diversas companhias e contactam os fabricantes para estes poderem publicar correcções dessas vulnerabilidades – o que nem sempre fazem - antes de as tornarem públicas].

A Trend Micro sublinha que o seu negócio é a protecção dos sistemas dos seus clientes contra as ameaças informáticas e quando refere publicamente as vulnerabilidades não diz o suficiente para permitir a sua exploração pelos cibercriminosos.

Observa que informa previamente as companhias produtoras de software, dando lhes muito tempo para corrigir a vulnerabilidade e para lhes permitir lançar rapidamente um «patch» que a corrija, tornando o uso do software mais seguro para os utilizadores.

Contudo, quando a vulnerabilidade já foi utilizada para ataques maliciosos, a Trend Micro considera que é seu dever alertar o mais rapidamente possível os utilizadores para os riscos dessas vulnerabilidades, dizendo quais as medidas de protecção que podem adoptar.

Raimund Genes destaca que se opõe vigorosamente ao comércio de vulnerabilidades e diz que é para si «difícil de engolir» que o seu próprio país (a Alemanha) e outros países tenham comprado (e provavelmente continuam a comprar) vulnerabilidades para atacar outros países.

Ainda sem comentários