Tecnologia

Google irrita Vale do Silício ao expor falhas dos outros

A exposição de falhas em softwares feita pelo Google nem sempre é bem-vinda, e empresas acusam o gigante da tecnologia de roubar uma posição do governo


	Google: “não sei ao certo quem nomeou o Google como juiz oficial do mercado para notificar as vulnerabilidades”, diz diretor de empresa
 (Francois Lenoir/Reuters)

Google: “não sei ao certo quem nomeou o Google como juiz oficial do mercado para notificar as vulnerabilidades”, diz diretor de empresa (Francois Lenoir/Reuters)

DR

Da Redação

Publicado em 11 de fevereiro de 2015 às 16h05.

Washington - O Google Inc. deu um ultimato às outras empresas de tecnologia: ou elas consertam as vulnerabilidades de seus softwares em 90 dias ou o Google vai divulgá-las.

Uma equipe de hackers e programadores de elite do Google revisa minuciosamente seu próprio software e o da concorrência em busca de falhas de segurança e dá às empresas um prazo para corrigi-las.

O Google diz que deseja que os fabricantes de software atuem rapidamente porque os criminosos cibernéticos agem à velocidade da luz quando descobrem defeitos.

É um assunto delicado – as rivais Microsoft Corp. e Apple Inc. não quiseram falar sobre a tática – mas outras empresas do setor dizem que a ajuda nem sempre é bem-vinda, que usurpa uma função que deveria ser do governo e que pode pôr em perigo a segurança.

“Não sei ao certo quem nomeou o Google como juiz oficial do mercado para notificar as vulnerabilidades”, disse John Dickson, diretor da empresa de segurança de software Denim Group Ltd. em San Antonio.

Ele disse que pressionar as empresas para consertar falhas é uma boa ideia, mas “quaisquer motivos nobres que eles tenham em mente poderiam ser questionados, pois eles basicamente revelaram as vulnerabilidades de duas das suas maiores rivais”.

O Google criou a equipe em julho e batizou-a de Project Zero, uma referência às muito temidas falhas “zero day” (“zero dias”) que são exploradas antes que os desenvolvedores saibam delas. A empresa diz que está tentando ajudar todos e proteger seus próprios produtos que funcionam em dispositivos e software de outras companhias.

Trata-se de uma atividade que, segundo alguns especialistas em segurança, é mais apropriada para uma agência do governo. As respectivas funções dos setores privado e público fazem parte da programação de uma cúpula de segurança cibernética que ocorrerá na próxima sexta-feira em Palo Alto, Califórnia, onde o presidente Barack Obama instará os líderes da tecnologia a aumentar a cooperação e compartilhar mais informações.

Cooperação?

No entanto, alguns pesquisadores estão questionando quanta cooperação pode-se esperar se as maiores empresas da internet não conseguem interagir bem entre elas.

“Se essas companhias nem sequer conseguem se dar bem, isso é ruim para a segurança de todo o ecossistema”, disse Jake Kouns, diretor de segurança da informação da Risk Based Security Inc. em Richmond, Virgínia.

Os que se opõem à prática do Google dizem que ela põe em risco a segurança on-line ao revelar brechas antes que elas possam ser fechadas.

Hackers trabalham rapidamente para explorar os problemas antes que sejam divulgados. Intrusos apoiados pela China exploraram uma falha na segurança da internet conhecida como Heartbleed no ano passado para atacar a Community Health Systems Inc. mais de uma semana depois de a falha ter sido divulgada.

“A decisão parece menos uma questão de princípios do que uma oportunidade para dizer ‘te peguei!’, e os clientes poderiam ser prejudicados como resultado disso”, escreveu Chris Betz, diretor sênior do Centro de Resposta de Segurança da Microsoft, em uma publicação de blog do dia 11 de janeiro. Esse continua sendo o único comentário público da empresa a respeito do assunto até agora. “O que é bom para o Google nem sempre é bom para os clientes”.

Linha dura

Os simpatizantes do Google dizem que o enfoque linha-dura poderia mudar completamente as práticas do setor de software, pois as empresas chegam a demorar meses ou anos para consertar os defeitos.

Segundo uma análise da Risk Based Security, Project Zero identificou 39 vulnerabilidades nos produtos da Apple e 20 nos produtos da Microsoft.

A equipe também descobriu 37 falhas no software da Adobe Systems Inc. e 22 na biblioteca de desenvolvimento de software para reproduzir fontes FreeType.

Um prazo de 90 dias poderia não ser muito prático para grandes empresas que precisam vasculhar milhares de linhas de código e garantir que as correções não afetem outro software de forma negativa, disse Craig Young, pesquisador sênior de segurança que trabalha com a Tripwire Inc. em Portland, Oregon, em entrevista por telefone.

Em outras ocasiões, no entanto, uma empresa pode ser negligente. “Em muitos casos, os fornecedores não parecem se importar com algo, a menos que isso aparecesse nas manchetes ou que algo fosse percebido pelas pessoas como uma ameaça imediata”, disse Young.

Acompanhe tudo sobre:EmpresasEmpresas americanasEmpresas de internetempresas-de-tecnologiaGoogleHackersInternetseguranca-digitalSoftwareTecnologia da informação

Mais de Tecnologia

Bluesky testa recurso de trending topics e promete implementação gradual

Computadores quânticos estão mais perto de nossa realidade do que você imagina

Proibição do TikTok nos EUA pode deixar 'buraco' no setor de compras via redes sociais

Irã suspende bloqueio ao WhatsApp após 2 anos de restrições