O acesso do governo a uma ampla gama de vulnerabilidades de software não corrigidas pode estar sujeito a abusos, temem os especialistas (foto: CC0 Public Domain) As medidas propostas pela União Europeia para revelar vulnerabilidades de segurança cibernética recentemente descobertas são bem intencionadas, mas acabarão por revelar-se contraproducentes, alertaram os especialistas. Segundo eles, a divulgação

O acesso do governo a uma ampla gama de vulnerabilidades de software não corrigidas pode estar sujeito a abusos, temem os especialistas (foto: CC0 Public Domain)

As medidas propostas pela União Europeia para revelar vulnerabilidades de segurança cibernética recentemente descobertas são bem intencionadas, mas acabarão por revelar-se contraproducentes, alertaram os especialistas. Segundo eles, a divulgação de vulnerabilidades aumenta o risco de seu uso malicioso.

Dezenas de especialistas em segurança cibernética estão instando a União Europeia a rever seus requisitos “contraproducentes” para divulgar vulnerabilidades recém-descobertas na proposta de Lei de Resiliência Cibernética (CRA). Os especialistas temem que isso abra a porta para abusos.

Introduzida em setembro de 2022 pela Comissão Europeia, a lei baseia-se na Estratégia de Segurança Cibernética da UE e visa melhorar a segurança de todos os dispositivos digitais conectados e do software que utilizam para os utilizadores em todo o bloco. A norma impõe requisitos e obrigações obrigatórios de segurança cibernética aos fabricantes. Obriga-os a fornecer suporte de segurança contínuo e patches de software, bem como a fornecer informações suficientes aos utilizadores sobre a segurança dos seus produtos.

Um objeto de atenção dos especialistas cibernéticos é a divulgação de vulnerabilidades. O artigo 11.º da lei estabelece que os fabricantes de software devem notificar a agência de segurança cibernética da UE, conhecida como ENISA, sobre qualquer vulnerabilidade recentemente descoberta no prazo de 24 horas.

Numa carta aberta à UE, dezenas de especialistas em segurança cibernética de diversas organizações dos setores público e privado afirmaram que os regulamentos de divulgação de vulnerabilidades criariam novas ameaças que minariam a segurança dos produtos digitais e das pessoas que os utilizam. A carta é dirigida a Nicola Danti, relator da CRA no Parlamento Europeu, Thierry Breton, Comissário do Mercado Interno da CE, e Carme Artigas Burga, Secretária de Estado da Digitalização e Inteligência Artificial da Espanha.

„[Член 11] significa que dezenas de agências governamentais terão acesso em tempo real a um banco de dados de software com… vulnerabilidades, sem a capacidade de usá-los para proteger o ambiente online e, ao mesmo tempo, criando um alvo tentador para indivíduos mal-intencionados”, afirmam os especialistas. escreveu. Segundo eles, existem vários riscos associados à rápida divulgação de informações sobre vulnerabilidades não corrigidas, ou seja, para os quais não foram tomadas medidas correctivas.

Existe o potencial de abuso por parte dos governos europeus, um risco acrescido de vulnerabilidades serem expostas por intervenientes mal-intencionados e um potencial efeito “dissuasor” na investigação de segurança genuína.

“O acesso do governo a uma ampla gama de vulnerabilidades de software não corrigidas pode ser utilizado de forma abusiva para fins de inteligência ou vigilância. A falta de restrições ao uso malicioso de vulnerabilidades reveladas através da CRA e a falta de um mecanismo de supervisão transparente em quase todos os estados membros da UE abrem a porta a potenciais abusos”, escreveram os especialistas cibernéticos.

“As violações e o subsequente abuso de vulnerabilidades não são uma ameaça teórica, já aconteceram a algumas das entidades mais protegidas do mundo. Embora o CRA não exija a divulgação de uma avaliação técnica completa, mesmo a mera clareza da existência de uma vulnerabilidade é suficiente para que uma pessoa com as competências necessárias possa tirar vantagem.”

A questão do reflexo do problema na investigação em segurança é essencial. Especialistas dizem que as medidas de divulgação podem dificultar a colaboração entre desenvolvedores de software e pesquisadores de segurança. Isso ocorre porque estes últimos precisam de tempo para verificar, testar e corrigir vulnerabilidades antes de torná-las públicas.

“Como resultado, o CRA pode reduzir a receptividade dos fabricantes às divulgações de vulnerabilidades por parte dos investigadores de segurança e pode desencorajar os investigadores de reportar novas vulnerabilidades se cada divulgação desencadear uma onda de notificações governamentais”, escreveram.

“Embora a intenção por trás da divulgação imediata de vulnerabilidades possa ser facilitar a solução do problema, o CRA agora exige – em uma disposição separada – que os editores de software corrijam as vulnerabilidades imediatamente. Apoiamos esta obrigação, mas também insistimos num processo de divulgação responsável e coordenado que equilibre a necessidade de transparência com a necessidade de segurança.”

Alternativamente, os especialistas recomendam a adoção de uma “abordagem baseada no risco”. Deve considerar a gravidade da vulnerabilidade, a disponibilidade de soluções, o impacto potencial nos utilizadores finais e a probabilidade de exploração generalizada. Os especialistas recomendam a eliminação total das disposições do artigo 11.º ou, pelo menos, a sua revisão.

As revisões adicionais propostas incluem a proibição expressa de agências governamentais de usar ou compartilhar vulnerabilidades divulgadas para fins de inteligência ou vigilância; alterar os requisitos de relatórios para incluir apenas vulnerabilidades que podem ser corrigidas dentro de 72 horas após a correção; e excluir completamente o relato de vulnerabilidades identificadas através de pesquisas de segurança de boa-fé.

“Ao contrário da exploração maliciosa de uma vulnerabilidade, a investigação de segurança de boa fé não representa uma ameaça à segurança”, escreveram. Acrescentam que a ISO/IEC 29147 deve ser referenciada na CRA e utilizada como base para todos os relatórios de vulnerabilidade da UE.

Embora as intenções da legislação sejam boas, os requisitos de divulgação estabelecidos estão em conflito direto com as melhores práticas estabelecidas na indústria, observou Alex Rice, cofundador e diretor de tecnologia da HackerOne. “Reportar dados altamente sensíveis apenas a algumas agências governamentais na UE cria um forte incentivo para que indivíduos mal-intencionados se infiltrem nestes centros e obtenham conhecimento de vulnerabilidades para atacar organizações vulneráveis ​​– entre uma série de outros riscos”. o risco de uma violação para as organizações complicará a situação e tornará as organizações menos receptivas à pesquisa de segurança de boa-fé.

“Todo mundo sofre quando essas vulnerabilidades são relatadas prematuramente”. O Parlamento deve rever a CRA para exigir a divulgação assim que as vulnerabilidades forem corrigidas».

Em Junho de 2023, o Grupo Europeu para os Direitos Digitais (EDRi) e 10 outros grupos civis escreveram uma carta aberta semelhante. Nele, expressaram preocupação com a divulgação de vulnerabilidades não corrigidas. Por serem descobertas recentemente, é improvável que essas vulnerabilidades sejam resolvidas imediatamente – e isso “levará ao surgimento de bancos de dados de software em tempo real com vulnerabilidades não corrigidas, mantidos por dezenas de agências governamentais”. Isto aumenta o risco de utilização indevida para fins de inteligência estatal ou maliciosos.

Atualizado em by Bahar MAKOOI
Registro Rápido

A Exnova oferece uma plataforma única para seus traders. A estrutura é clara e transparente.

89%
Pontuação de Confiança

Ganhe $10.000 Virtuais Ilimitados! Depósito Inicial Não é Necessário.

icon Saiba Mais! icon Saiba Mais!
Pontuação de Confiança
icon Saiba Mais! icon Saiba Mais!
Pontuação de Confiança
icon Saiba Mais! icon Saiba Mais!
Risco de Perda de Capital
Pontuação de Confiança
O acesso do governo a uma ampla gama de vulnerabilidades de software não corrigidas pode estar sujeito a abusos, temem os especialistas (foto: CC0 Public Domain) As medidas propostas pela União Europeia para revelar vulnerabilidades de segurança cibernética recentemente descobertas são bem intencionadas, mas acabarão por revelar-se contraproducentes, alertaram os especialistas. Segundo eles, a divulgação
banner image