Durante todo o mês, pesquisadores da Abysssec prometem divulgar vulnerabilidades em softwares de empresas como Microsoft, Adobe, Mozilla e Apple.
Um grupo pouco conhecido de pesquisadores de segurança promete dar início a partir desta quarta-feira (1/9) a um mês inteiro de divulgação de bugs, que são responsáveis por vulnerabilidades em softwares de empresas como Adobe, Microsoft, Mozilla, Apple e outras.
Mas o pesquisador que deu origem aos “festivais de bugs” quatro anos atrás não está tão otimista em relação ao impacto que uma ação dessas poderá ter.
O “Month of Abysssec Undisclosed Bugs” (MOAUB) divulgará falhas no Excel e no Internet Explorer da Microsoft; no painel de controle de hospedagem de sites cPanel Web, do Linux; e vários outros softwares, afirmou em agosto a Abysssec Security Research, em seu blog.
“Eles são ameaçadores – pelo menos, as empresas afetadas o verão como ameaça – porque divulgam vulnerabilidades em todo tipo de software, de aplicações desktop a navegadores”, disse Jamz Yaneza, gerente de pesquisas de ameaça da Trend Micro, na terça-feira (31/8).
Medidas imediatas
A Microsoft, que ganhou bastante destaque no anúncio do MOAUB, afirmou estar a par dos planos do grupo. “Como sempre, se e quando uma vulnerabilidade for tornada pública, a Microsoft adotará medidas imediatas para determinar a resposta adequada aos nossos clientes”, disse Jerry Bryant, gerente de grupo do Microsoft Security Response Center (MSRC).
Yaneza admitiu nunca ter ouvido falar da Abysssec antes.
De acordo com o site do grupo, a Abysssec é formada por quatro pesquisadores – nenhum deles identificado por seu nome completo – que se especializaram em testes de penetração, desenvolvimento de explorações e revisões de segurança de aplicativos. O site da Abysssec foi registrado em 2008, mas o registro Who Is está escondido por trás de um muro de privacidade.
No entanto, a rede social LinkedIn lista Shahin Ramezany, de Albany, em Nova York (EUA), como um pesquisador da Abysssec. O grupo não respondeu a um pedido de entrevista encaminhado por e-mail.
“A partir de 1.º de setembro, nós iremos liberar uma coleção de vulnerabilidades de aplicações web e de dia-zero, e análise binária detalhada (e provas-de-conceito) para alertas publicados recentemente por empresas como Microsoft, Mozilla, Sun, Apple, Adobe, HP e Novell”, afirmou o grupo.
Alcance da mão
Yaneza recomendou aos usuários prestarem atenção às revelações do MOAUB, mas não demonstrou preocupação quanto às ameaças.
“Serão todas frutas ao alcance da mão”, disse ele, referindo-se ao termo que descreve vulnerabilidades de fácil detecção. “Nós já vimos vulnerabilidades nesses programas, não estou tão preocupado assim. Se os usuários aplicarem correções como de costume e mantiverem ativado o recebimento automático de patches, eles estarão bem.”
As festas de “mês de bugs” foram populares há alguns anos, mas a prática tem sido pouco usada desde 2007. Em julho de 2006, H.D. Moore, que agora é o principal executivo de segurança da Rapid7, promoveu um evento chamado “Month of Browser Bugs” para demonstrar vulnerabilidades nos navegadores Internet Explorer 6, Firefox, Safari e Opera.
O evento de um mês de bugs criado por Moore inspirou vários outros, como o “Month of Kernel Bugs” em novembro de 2006 e o “Month of Apple Bugs” em janeiro de 2007.
Yaneza classificou o “mês de bugs” da Abysssec de “golpe publicitário” concebido para chamar a atenção para o grupo.
Atenção necessária
Moore concordou. “É verdade, eles são golpes publicitários, mas não é esse o ponto”, afirmou. “Projetos como o Month of Browser Bugs, e o do kernel e o da Apple, levam os fornecedores a consertarem um bocado de vulnerabilidades, dúzias e dúzias, e chamam a atenção da pesquisa em segurança para uma área necessária.”
Mas ele não tem certeza de que o MOAUB levará a isso. “Outros projetos tinham como foco uma área geral, como navegadores e Apple”, disse Moore. “Mas esse parece lidar com muitas vulnerabilidades. Não sei se terá o mesmo impacto.”
Bryant, da Microsoft, também questionou a iniciativa. “A divulgação pública de vulnerabilidades só colabora para colocar os clientes em risco”, disse por e-mail, repetindo uma velha posição defendida pela empresa.
A Abysssec vai publicar suas descobertas no site Exploit Database ao longo do mês de setembro.
