Wikileaks impõe condições para compartilhar falhas de segurança com Google e outras empresas
Os quase 9 mil documentos vazados pela Wikileaks na primeira etapa do projeto Vault 7 revelaram que o governo dos Estados Unidos faz espionagem explorando vulnerabilidades em várias plataformas, incluindo iOS e Android. Mas se Apple, Google e outras empresas quiserem saber mais sobre esses problemas, vão ter que negociar: a Wikileaks está fazendo várias exigências para liberar detalhes técnicos das falhas.
Após o vazamento, a organização prometeu enviar os dados às empresas envolvidas. Só que não seria tão fácil assim: na data de divulgação do Year Zero — codinome da primeira leva de vazamentos do Vault 7 —, a Wikileaks havia sinalizado que só revelaria códigos-fonte e detalhes dos meios explorados pela CIA para espionagem quando tivesse certeza de como fazê-lo sem abrir espaço para outros problemas de segurança, principalmente do tipo zero-day (aqueles que são explorados antes de as correções ficarem prontas).
A condição mais importante — os outros termos não foram revelados até o momento — é a concordância por parte de cada empresa de corrigir as vulnerabilidades em até 90 dias após a entrega dos detalhes.
As companhias envolvidas no assunto foram notificadas por email sobre as exigências. Porém, até agora, somente a Mozilla respondeu concordando. A Wikileaks afirma que Google e outras empresas permanecem em silêncio — nenhum retorno foi dado, nem para expressar discordância.
Para a organização, a ausência de resposta é um sinal de que essas empresas têm conflito de interesses. Nesse sentido, é de se suspeitar que, para muitas delas, a concordância em resolver os problemas em 90 dias poderia dificultar possíveis acordos de colaboração com autoridades.
Mas há a possibilidade de as empresas envolvidas estarem certas de que as vulnerabilidades foram ou serão corrigidas com atualizações. O próprio Google afirmou, após analisar a primeira leva de documentos vazados, que está confiante de que updates e recursos de segurança estão protegendo usuários do Chrome e do Android das supostas vulnerabilidades, apesar de não haver ali detalhes sobre as falhas.
Update on CIA #Vault7 “zero day” software vulnerabilities
Ref: https://t.co/h5wzfrReyy pic.twitter.com/WEiyptlRu3
— WikiLeaks (@wikileaks) March 18, 2017
Por parte da Apple houve declarações semelhantes. Para a companhia, muitas das falhas relacionadas às práticas de espionagem já foram corrigidas com os updates mais recentes para iOS.
Seria razoável se a própria CIA se encarregasse de comunicar as brechas às companhias envolvidas, afinal, sabendo que elas existem, grupos com intenções maliciosas poderiam se organizar para encontrá-las. Mas não é do feitio dessa e de outras agências tomar esse tipo de iniciativa. De alguma maneira, isso pode dar pistas sobre o modus operandi delas, sem contar que a CIA ainda não reconheceu os documentos vazados.
Levando esse aspecto em consideração, é realmente curioso que Google, Apple e tantas outras companhias não tenham aceitado as condições da Wikileaks até agora. Ou as empresas estão realmente seguras da sua própria capacidade de encontrar as vulnerabilidades ou os termos são extremamente rigorosos, indo muito além do tal prazo de 90 dias.
Essa é uma história que promete ir longe. O Vault 7 deve ter pelo menos mais sete vazamentos ao longo do ano.
Com informações: TechCrunch, Motherboard
