Companhias formam grupo para criar padrões de segurança
Entidade pretende estabelecer prazo para divulgação de alertas

Grandes companhias de tecnologia decidiram formar um grupo para estabelecer em quanto tempo os desenvolvedores de software e o público em geral devem ser avisado de falhas que colocam computadores sob risco de invasão. A Organização para Segurança da Internet (OIS) tem como missão acertar um ponto controverso que coloca empresas como a Microsoft contra pesquisadores de todo o mundo.

A Microsoft já reclamou que os pesquisadores não dão aos desenvolvedores tempo suficiente antes de alertar o público sobre vulnerabilidades em produtos. Por sua vez, os especialistas argumentam que a maior companhia de software do mundo tem demorado para reconhecer problemas e corrigi-los, deixando computadores vulneráveis a ataques.

Proteção. A divulgação das informações tem como objetivo forçar os desenvolvedores a agir e dar aos usuários uma oportunidade para solucionar a situação antes que um hacker mal-intencionado tire vantagem da falha.

O esforço da OIS tem como intenção proteger o público e os desenvolvedores de custos elevados resultantes da ação de vírus como Nimda e Code Red. Pragas como essas causaram prejuízos de US$ 12 bilhões no ano passado, segundo a Computer Economics, uma consultoria independente de segurança.

O objetivo da OIS é estabelecer padrões para divulgação de falhas de segurança e "garantir que empresas de software e segurança, bem como pesquisadores, possam proteger os usuários de maneira mais eficiente".

Entre os membros da OIS estão, além da Microsoft, IBM, Oracle, Hewlett-Packard (HP), Sun Microsystems, Compaq, Silicon Graphics, Cisco Systems, Symantec, Network Associates, ISS, BindView, Foundstone, Guardent e AtStake. Uma porta-voz da entidade disse que o grupo ainda não foi fechado. Os participantes encontraram-se durante a conferência RSA 2002.

Uma proposta apresentada pela OIS à IETF - entidade independente que estabele padrões para a Internet - recomenda que as empresas de software tenham dez dias para responder a alertas de vulnerabilidade e 30 dias para consertá-las.

Para empresas com versões diferentes de produtos rodando em diversas plataformas, escrever e testar arquivos de correção leva tempo, lembrou Chris Wysopal, diretor de pesquisa da AtStake e co-autor da proposta. "Elas não podem fazer praticamente nada em menos de um mês", ressaltou.

A questão da publicação de informações recebeu atenção recentemente, quando Gray McGraw, diretor de tecnologia da Cigital, revelou limitações de segurança no pacote de programação Visual Studio .Net, da Microsoft.