• Home

  • Documents

  • Segurança de Software_ Código Aberto Versus Fechado Faz Diferença Quando Tratamos de...
5
6/8/2014 Segurança de Software: código aberto versus fechado faz diferença quando tratamos de vulnerabilidades em programas… http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 1/5 SEGURANÇA DE SOFTWARE: CÓDIGO ABERTO VERSUS FECHADO FAZ DIFERENÇA QUANDO TRATAMOS DE VULNERABILIDADES EM PROGRAMAS? 12/11/2013 Este post visa esclarecer a importância da segurança de software e como a auditoria de código e melhorias nos processos são itens fundamentais para a qualidade. A auditabilidade de um código é um dos fatores a serem considerados, mas não pode ser ... Resumo: Este post visa esclarecer a importância da segurança de software e como a auditoria de código e melhorias nos processos são itens fundamentais para a qualidade. A auditabilidade de um código é um dos fatores a serem considerados, mas não pode ser o único. Gostaria de começar este post com alguns avisos e agradecimentos. Primeiramente, gostaria de agradecer a 4Linux por me ceder este espaço para discutir um tema que recentemente tem ganhado muito espaço (esclarecerei os motivos para o uso da palavra recentemente, mesmo sendo este um tema bastante antigo). Preferi divulgar este pequeno artigo através da 4Linux simplesmente por eles serem uma empresa séria e já altamente reconhecida na comunidade Open Source, sendo esta um dos meus principais objetivos de atingir. Para as pessoas que preferem partir para perguntas e comentários, antes de sequer estudar (leiase estudar, não apenas ler) um determinado conteúdo, sugiro que leiam completamente o FAQ que disponibilizei ao final deste artigo. Às pessoas interessadas em saber um pouco mais sobre mim também recomendo que vão para a FAQ. A todos aqueles que são amantes do software livre, peço que leiam o texto pensando no que vocês podem mudar para contribuir com a melhoria da qualidade na segurança do software, já altamente efetiva, que colaboram, utilizam ou promovem. Para todos os leitores: por favor entendam que meu objetivo aqui é desmentir algo que acaba sendo prejudicial à comunidade de software livre, e não atacar o mesmo. Software livre em minha opinião é a melhor opção e deve ser incentivado. Este artigo foi amplamente motivado pela constante dúvida e discussão em torno da segurança de software. Programas crescem, novos programadores contribuem (independentemente do código ser aberto ou fechado) e diferentes quesitos e necessidades de qualidade surgem dependendo dos objetivos do mesmo (um grande exemplo é o software utilizado em dispositivos médicos, amplamente testado para prover a consistência dos dados, mas não necessariamente protegido contra leituras indevidas [1]). Essa realidade faz com que bugs (não necessariamente de segurança) constantemente sejam inseridos e corrigidos. A dúvida e discussão discorre sobre o que fazer a respeito. Como garantir a segurança no desenvolvimento e a constante melhoria deste quesito específico em uma aplicação? As denúncias recentes em relação a espionagem americana [2] ainda enfatizaram a inserção

Segurança de Software_ Código Aberto Versus Fechado Faz Diferença Quando Tratamos de Vulnerabilidades Em Programas_ _ 4Linux

Embed Size (px)

DESCRIPTION

Vulnerabilidades.

Citation preview

  • 6/8/2014 Segurana de Software: cdigo aberto versus fechado faz diferena quando tratamos de vulnerabilidades em programas

    http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 1/5

    SEGURANADESOFTWARE:CDIGOABERTOVERSUSFECHADOFAZDIFERENAQUANDOTRATAMOSDEVULNERABILIDADESEMPROGRAMAS?12/11/2013

    Estepostvisaesclareceraimportnciadaseguranadesoftwareecomoaauditoriadecdigoemelhoriasnosprocessossoitensfundamentaisparaaqualidade.A

    auditabilidadedeumcdigoumdosfatoresaseremconsiderados,masnopodeser...

    Resumo:

    Estepostvisaesclareceraimportnciadaseguranadesoftwareecomoaauditoriadecdigoemelhoriasnosprocessossoitensfundamentaisparaaqualidade.Aauditabilidadedeumcdigoumdosfatoresaseremconsiderados,masnopodeseronico.

    Gostariadecomearestepostcomalgunsavisoseagradecimentos.Primeiramente,gostariadeagradecera4Linuxpormecederesteespaoparadiscutirumtemaquerecentementetemganhadomuitoespao(esclarecereiosmotivosparaousodapalavrarecentemente,mesmosendoesteumtemabastanteantigo).Preferidivulgarestepequenoartigoatravsda4LinuxsimplesmenteporelesseremumaempresasriaejaltamentereconhecidanacomunidadeOpenSource,sendoestaumdosmeusprincipaisobjetivosdeatingir.Paraaspessoasquepreferempartirparaperguntasecomentrios,antesdesequerestudar(leiaseestudar,noapenasler)umdeterminadocontedo,sugiroqueleiamcompletamenteoFAQquedisponibilizeiaofinaldesteartigo.spessoasinteressadasemsaberumpoucomaissobremimtambmrecomendoquevoparaaFAQ.Atodosaquelesquesoamantesdosoftwarelivre,peoqueleiamotextopensandonoquevocspodemmudarparacontribuircomamelhoriadaqualidadenaseguranadosoftware,jaltamenteefetiva,quecolaboram,utilizamoupromovem.Paratodososleitores:porfavorentendamquemeuobjetivoaquidesmentiralgoqueacabasendoprejudicialcomunidadedesoftwarelivre,enoatacaromesmo.Softwarelivreemminhaopinioamelhoropoedeveserincentivado.

    Esteartigofoiamplamentemotivadopelaconstantedvidaediscussoemtornodaseguranadesoftware.Programascrescem,novosprogramadorescontribuem(independentementedocdigoserabertooufechado)ediferentesquesitosenecessidadesdequalidadesurgemdependendodosobjetivosdomesmo(umgrandeexemploosoftwareutilizadoemdispositivosmdicos,amplamentetestadoparaproveraconsistnciadosdados,masnonecessariamenteprotegidocontraleiturasindevidas[1]).Essarealidadefazcomquebugs(nonecessariamentedesegurana)constantementesejaminseridosecorrigidos.Advidaediscussodiscorresobreoquefazerarespeito.Comogarantirasegurananodesenvolvimentoeaconstantemelhoriadestequesitoespecficoemumaaplicao?Asdennciasrecentesemrelaoaespionagemamericana[2]aindaenfatizaramainsero

  • 6/8/2014 Segurana de Software: cdigo aberto versus fechado faz diferena quando tratamos de vulnerabilidades em programas

    http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 2/5

    propositaldevulnerabilidadesemaplicaes.Adiscussoaquemerefirosurgequandoosdefensoresdesoftwarelivreutilizamtaisdennciasparadizerqueomelhoremaissegurousarsoftwarelivre.

    Garantiraseguranadeumsoftwareexigeprocessosdetesteeauditoriadecdigoconstantes.Obviamentepelosoftwareserlivre,eportanto,seucdigoamplamentedisponvel,confundeseestafacilidadecomaautomticaseguranaqueamesmaproporcionaria.Infelizmenteemumareadeexatas,afacilidadeparaalgonoimplicanecessariamentequeestealgovenhaaserfeito.Eaquificaminhasplicaparaaspessoasdesoftwarelivre:aprendammaissobrecomoencontrarvulnerabilidadesemprogramas.Entendammaissobrequesitosdeseguranaquedefatodificultamaexploraodesistemas(taiscomoativarcanarynacompilao,fornecerexecutveisPIEqueproporcionamaefetivaaplicaoderandomizao,utilizaocorretadecriptografiaeseusdiversoselementos),implementemeaceitemtestesespecficosparaencontrarproblemasdesegurana(fuzzerseanlise

    esttica).

    Oargumentodeinserodefalhaspropositaisemsoftwareproprietriosdeveriadeixardeserutilizado,poisassumequetaisfalhasnopoderiamserinseridosemsoftwareabertos(vejamainfluncia,porexemplo,daNSAnodesenvolvimentodokerneldoLinuxcomoSELinux[3]).Talargumentotambmassumequesoftwareproprietriosnopoderiamserauditados(emboraatarefasejamaistrabalhosa,amesmanoimpossvel,aindamaisquandoseassumeasformasclssicasqueaparentementeamaioriadaspessoasimaginaparainserodevulnerabilidadesemprogramas).

    Aproveitandoparafalarsobreainseropropositaldevulnerabilidades,queroenfatizarqueamesmanosetratademodificaesvisivelmentefalhas.Emgeral,taisinseressosutis,misturadascomreaisbenefciosparaosoftwareefacilmenteconfundidascomerrosnointencionaisquandodescobertas.Dadoisto,comosaberseumoumaiscontribuidoresdesoftwarenoofazemdepropsito,tantoemempresasdesoftwareproprietrioquantoemprojetosOpenSource?Opagamentoporvulnerabilidadesdescobertaseosaltosvaloresnegociadosemexploits[4]mudamabalanadevaloresquandotratamostaisassuntos,eainocnciaperanteestefatonodeveserdesconsiderada.

    Dadotudooquefoiditoatagora,doquesetrataentoumsoftwareseguro?Tratasedosoftwarecorretamenteauditado(porumnmeroadequadodeprogramadoresqueentendamosproblemasdeseguranainfelizmentenoexisteumnmeromgico,nemumaproporomgica,dadoquetudodependedacomplexidadedosoftware,interrelaocomelementosexternosediferentesquesitos),umsoftwarequepossuitestesconstantesdesegurana(automatizadosnaformadefuzzerseanlisesestticas,bemcomomanuaisemnovos

  • 6/8/2014 Segurana de Software: cdigo aberto versus fechado faz diferena quando tratamos de vulnerabilidades em programas

    http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 3/5

    recursosadicionados).

    Umdosargumentosquecostumoouvirequeestacorretssimoparaosoftwareabertoemdiversoscasos,masinfelizmentenoseaplicaaquestoseguranaestnofatodequeumaempresainteressadaemutilizardeterminadosistemaequedesejegarantirqueomesmonopossuivulnerabilidadesintencionaisepossuicertaqualidadeemtermosdesegurana,poderiasimplesmentecontratarumterceiroparaefetuarumaauditoria,dadaadisponibilidadedocdigo.Estequesitomostraseerrado(namaioriadoscasos,masobviamenteemcasosmenorespodesertotalmenteplausvel,esperoqueoleitorentendataisargumentosecomeceacriarumavisocrticaparaavaliarcadacaso)poisocustoparadefatoserealizarumaanliseextremamentecompletadeumprojetodeportemedianodepoisdedesenvolvidoseriaastronmico(issosemconsideraraanlisecontnuadomesmorazopelaqualasempresasdesoftwarefechadohojeapanhamtantoemrelaoaseguranadeseusprogramas,afinal,poranosnoinvestirameagoramesmoosbilhesdirecionadosaestafinalidadenoconseguemresolveroproblema)eportantoumaanliseamostralteriadeserutilizada.Comoexplicado,vulnerabilidadesintencionaissofacilmentedisfaradascomovulnerabilidadesnormais,eportantomesmoumaauditoriacompletamostrarianomximoalgumasvulnerabilidadesenotodasdeumsoftware.Talresultadopodeseratingidodamesmaformacomanlisedeaplicativosbinrios(comojcomprovadopelasdiversasvulnerabilidadeslanadasemdiferentesprogramasdemercado).Aoinvsdeutilizaroargumentodesermaisseguroporseraberto,deverseiaaproveitaraverdadeiravantagemdocdigoaberto:Porseraberto,poderiasertornadomaisseguro,casoaempresaestivessedispostaainvestiremespecialistasparatalprojeto.Issocriariaoincentivoparadiversasempresasusuriasdesoftwarelivreapoiaremosprojetos,almdedesenvolverummercadomaiorparaespecialistasfocadosemsoftwareabertoeinfluenciarpositivamenteaseguranadele.Aeconomiacomlicenaspoderiaserrevertidaemconhecimentoparaaempresa(comacontrataodetaisespecialistas),queauxiliariamnoapenasnesteprojeto,comoemdiversasoutrasnecessidadesdeseguranadamesma,gerandoeconomiaposterior(danosaimagemeperdasemcasosdeinvases,bemcomonaprpriacontrataodemodeobraqualificada).

    Seconsiderarmosopapeldosgovernosnamelhoriadaqualidadedesoftware,aindamaisemfacedasespionagensdenunciadasrecentemente,devemospensarqueincentivosnaeducaoeinvestimentosemsistemasauditveis(eemprocessosdeauditoriasabertosparaosmesmos)soprovavelmenteanicaviaparaproverindependnciatecnolgica.Deixareiparadiscutiresteitememumprximopost,masfiquemavontadeparacomearemaopinar.

    Aperguntaqueficaento,:comosetornarumpesquisadordevulnerabilidades?Este

  • 6/8/2014 Segurana de Software: cdigo aberto versus fechado faz diferena quando tratamos de vulnerabilidades em programas

    http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 4/5

    perguntamemuitasvezesfeitaporpessoasquepensamemencontrarvulnerabilidadesemsoftwareproprietrioseentrarnomercadodeexploits.Estaspessoasseesquecemqueapessoaqueauditacdigos(tantoproprietriodentrodasempresas,quantoOpenSource,sejadentrodeempresasouapenaspordiverso)tambmumpesquisadordevulnerabilidades.Muitospesquisadoresdevulnerabilidadesestofocadosnaanlisebinria(engenhariareversa,fuzzing)deumsoftware,masdiversos(eudiriaqueamaioria)soespecializadosemanlisedecdigo.Comotudoemsegurana(ouquase?),aprticalevaaperfeioeaquiosoftwareabertopodecontribuir(ecomissorecebercontribuies)emuito!Olharasdiversascorreesefetuadasaolongodosanos,osproblemasencontradoseasmelhoresprticasadotadasparaevitlosessencialparaointeressadoconseguircriaramentalidadenecessriaparaauditarcdigo.Cursosnareapodemagilizaresteprocesso,dandoavisodepadresclaramenteerrados,paraqueaexperinciaposteriorpermitaoaprendizadoeaextrapolaodecasosmaisgerais.

    FAQ:

    1)Mas,ofatodosoftwareserlivrefacilitaaauditoria

    Esseargumentoconstantementeusadoeapesardeservlido,aindadeixaemabertoaquestodequemirrealizartalauditoriaecomoelaseriarealizada.Mesmoprojetosdetamanhomdiopossuemtamanhacomplexidadequeauditoriascompletassoinviveiseportantoamostragensdevemserutilizadas.Emtaiscasos,umsoftwareproprietriopodesertooumelhorauditadoqueumsoftwarelivre(dadoqueamostragenspodemcontererrosdeamostra,sortenasescolhas,melhorexperinciadoanalistacomdeterminadoquesitodosoftware,etc.)

    Talargumentotambmesqueceofatormudanadeumsoftwarelivre:osprojetosevoluemmaisrapidamentedoqueasempresasconseguematualizarseussistemas,oquefazcomquediversasvulnerabilidadescorrigidasnomainlineaindanoestejamcomasatualizaespresentesnasdistribuiesemenosaindanossistemasemproduo.Investirnestesprocessosessencialparaoaumentodaseguranadosoftwarelivre.

    Aeconomiadomercadodevulnerabilidadesoutrofatorconstantementeignoradoportalargumento.Lembrandoquevulnerabilidadesinseridassosutis,emuitasvezesconfundidas/misturadascomnovosrecursos.

    2)Entoosoftwareproprietriovantajosoemtermosdesegurana?

    Maisumaconclusoprecipitada,comumentevistaemdiscussesemqueaspessoasseapressamageneralizareconcluircoisasantesdeasentenderem.NO.Softwareproprietrionovantajosoemtermosdesegurana.Nemdesvantajoso.Elepossuiaspectosfavorveis(comoocontroledereleases/verseseprticasdetestes)efatoresdesfavorveis(asempresassoinfluenciadaspelomercadoenoporquesitostcnicosepodemserforadasporgovernosatomaraesduvidosasemrelaoasegurana).

    Osoftwarelivrepodeedeveriasersempremelhor,tambmnoquesitosegurana.Oqueacontecequeemdiversosprojetos,talquesitonoprioritrioouentodecididoporprogramadoresnoespecialistasnoassuntosegurana.

    SOFTWARESEGUROAQUELEEMQUEDECISESDEPROJETOLEVAMEMCONSIDERAOASEGURANADASINFORMAESEAUDITORIASCONSTANTES

  • 6/8/2014 Segurana de Software: cdigo aberto versus fechado faz diferena quando tratamos de vulnerabilidades em programas

    http://www.4linux.com.br/noticia/seguranca-de-software-codigo-aberto-versus-fechado-faz-diferenca-quando-tratamos-de 5/5

    GARANTEMQUEERROSSEJAMENCONTRADOS,CORRIJIDOS,DOCUMENTADOSELIESSEJAMAPRENDIDAS.Emgeral,softwarelivrefalha(emuito)napartededocumentaes[6].

    3)Nohsentidoemfazercursosparaauditoriadesoftware,dadoquecadasoftwarediferente?

    Semprepenseiquecursospodemajudarcasoaexperinciaprticadoprofessoragilizeoaprendizadodoaluno.Nuncaaceiteienemaceitareiqueumcursosubstituaaprticaouquesemumcursooaprendizadoseriaimpossvel.Nocasodeauditoriadeprogramas,dadoocrescimentodosmesmos,acomplexidadeeaquantidadedeinformaesdisponveisatualmente,umcursopodeajudaraalinharospensamentoseaspesquisas,provendoinformaesquecontribuamparaaextrapolaoposteriordocontedoparacasosmaisespecficosvivenciadosnaprtica.

    4)Vocachasoftwarelivremaisseguro?

    Vejodiversosproblemasnosprocessosatuaisdesoftwareemgeral,sejaelelivreouproprietrio.Masasvantagensdosoftwarelivreextrapolamquaisquerdesvantagensnamaioriadoscasoseseasdiscussesfossemmaisjustascommenosargumentosduvidosos(porambasaspartes,eemgeralfeitosporpessoasquenosodefatoespecialistasnositensemqueestoargumentando),creioqueficariaMUITOmaisclaroparatodosasvantagensdosoftwarelivre.


Gestión de Vulnerabilidades

Gestión de Vulnerabilidades

Technology
Programa Vulnerabilidades Desastres

Programa Vulnerabilidades Desastres

Documents
Redificatoria Vulnerabilidades

Redificatoria Vulnerabilidades

Education
Vulnerabilidades y-riesgos

Vulnerabilidades y-riesgos

Internet
Vulnerabilidades 1

Vulnerabilidades 1

Technology
Análisis de Vulnerabilidades

Análisis de Vulnerabilidades

Documents
metodologia analisis vulnerabilidades

metodologia analisis vulnerabilidades

Documents
Ataques Y Vulnerabilidades

Ataques Y Vulnerabilidades

Travel
Vulnerabilidades web

Vulnerabilidades web

Technology
Vulnerabilidades del Software

Vulnerabilidades del Software

Technology
4linux Palestra Engenharia-Reversa

4linux Palestra Engenharia-Reversa

Documents
Vulnerabilidades en navegadores

Vulnerabilidades en navegadores

Documents
Puppet webcast 4linux

Puppet webcast 4linux

Documents
linux deteccion vulnerabilidades

linux deteccion vulnerabilidades

Documents
Vulnerabilidades y resiliencia

Vulnerabilidades y resiliencia

Documents
Nos tratamos con - portalsej.jalisco.gob.mx

Nos tratamos con - portalsej.jalisco.gob.mx

Documents
Vulnerabilidades servidor web

Vulnerabilidades servidor web

Documents
INFORME DE VULNERABILIDADES

INFORME DE VULNERABILIDADES

Documents
Vulnerabilidades Das Megacidades_rmsp

Vulnerabilidades Das Megacidades_rmsp

Documents
Encontrando Vulnerabilidades XSS

Encontrando Vulnerabilidades XSS

Documents
Educacao a Distancia 4linux Abr09

Educacao a Distancia 4linux Abr09

Documents
Vulnerabilidades Informáticas

Vulnerabilidades Informáticas

Documents
Direitos humanos vulnerabilidades

Direitos humanos vulnerabilidades

Education
Comandos_Basicos Linux 4linux

Comandos_Basicos Linux 4linux

Documents
Vulnerabilidades de las informaciones

Vulnerabilidades de las informaciones

Education
Android Vulnerabilidades

Android Vulnerabilidades

Documents
Apresentacao institucional 4Linux

Apresentacao institucional 4Linux

Internet
Vulnerabilidades en Redes

Vulnerabilidades en Redes

Documents
Vulnerabilidades de Windows

Vulnerabilidades de Windows

Documents
Debilidades vulnerabilidades protocolos_charla_spectra

Debilidades vulnerabilidades protocolos_charla_spectra

Technology