Construindo a confiança junto com o Disclose.io

1 ago 2019

Por que você escolheu um antivírus e não o outro? Porque é mais barato. Porque você confia mais na sua primeira opção, é claro. Mas por que os pesquisadores de segurança investem mais tempo analisando um aplicativo e não o outro? Porque eles confiam mais na empresa que desenvolveu o primeiro aplicativo. Nem todas as empresas encaram de forma construtiva a notícia de que uma vulnerabilidade foi encontrada em seu produto; algumas até ameaçam os analistas com ações legais.
Então sim, escolher o produto de uma empresa (e não de outra) é uma questão de confiança e um erro é suficiente para destruí-la, quando, pelo contrário, é muito mais complicado conquistá-la. É como uma torre com milhares de tijolos: basta remover um único tijolo para derrubá-la, mas para construí-la é preciso colocá-los cuidadosamente, um a um, milhares de vezes. Isso é difícil e leva muito tempo.

Um refúgio para os pesquisadores

Na Kaspersky, sabemos que você, nossos clientes ou potenciais clientes, confiam em nós, por isso estamos construindo uma torre, tijolo por tijolo, e mantendo-a. Já lançamos nossa Iniciativa Global de Transparência e esperamos que ela evidencie a transparência de nossa empresa. Além disso, aumentamos nossos programas de recompensas de bugs. Agora, temos o prazer de anunciar que aderimos ao projeto Bugcrowd, Disclose.io, garantindo que não tomaremos medidas legais contra aqueles que desejam investigar nossos produtos em busca de vulnerabilidades.

Em agosto de 2018, a Bugcrowd lançou o projeto Disclose.io em colaboração com Amit Elazari, um pesquisador de segurança de renome, a fim de proporcionar um quadro jurídico claro para proteger as organizações e pesquisadores envolvidos em atividades e programas de caça aos bug, especialmente, na divulgação de vulnerabilidades. Em essência, o que o Disclose.io oferece é uma série de acordos entre pesquisadores e empresas. Qualquer empresa que se junte ao projeto Disclose.io concorda em respeitar esses acordos, assim como os pesquisadores. É um texto muito simples, fácil de ler e entender; então esqueça as centenas de parágrafos e cláusulas minúsculas em todos os lugares que podem tornar certos acordos legais impossíveis de compreender sem ajuda jurídica especializada. Você pode encontrar os termos básicos de suporte a transparência no GitHub (em inglês). No entanto, os documentos no GitHub não podem ser modificados sem que toda a comunidade saiba disso.

Esses acordos incentivam as empresas a não punir os pesquisadores por fazerem seu trabalho, mas sim a trabalhar juntos para entender as vulnerabilidades e propor uma solução, além de reconhecer as contribuições para a segurança do produto. Além disso, esses acordos exigem uma atuação responsável e ética do pesquisador, frente as vulnerabilidades que encontrar: não divulgar a informação sobre a falha de segurança antes que o problema seja resolvido, não abusar da informação a que tem acesso e não a use para extorquir o desenvolvedor do produto, entre outras coisas.

Em resumo, o Disclose.io basicamente diz: “Caros pesquisadores e empresas, se você se comporta bem, os dois ganham.” Estamos totalmente de acordo com esta afirmação. E, por isso, apoiamos o movimento Disclose.io e oferecemos um porto seguro para pesquisadores que desejam encontrar pontos fracos em nossos produtos.

Nossos clientes, claro, também ganham. Quanto mais a comunidade de segurança investiga um produto ou serviço, mais confiável será. As soluções de segurança devem oferecer a máxima segurança possível.