Especialista: para melhorar segurança é necessário mudar regras de escrita de código

Ao mudar a maneira que desenvolvedores fundamentam o código, o pesquisador de segurança Dan Kaminsky planeja corrigir falhas na proteção da computação. Durante a BlackHat e a Defcon no Rio All Suite Hotel e Casino em Las Vegas, conversamos com o pesquisador sobre sua teoria de que reescrever as regras da ciência da computação  é a maneira de evitar falhas, ataques e outras vulnerabilidades.

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

Kaminsky é mais conhecido por ter descoberto e corrigido um bug no Domain Name System (DNS) da internet.

“Abordagens dogmáticas para segurança da computação não resolvem os problemas que temos. Precisamos de novos modelos de programação e engenharia porque o que estamos fazendo não está funcionando. Não há ciência suficiente sendo realizada”.

Nesta semana, ele planeja lançar uma atualização para o pacote chamado compilador Interpolique, que mantém o código e dados separados. Segundo o especialista, o problema com a forma que as coisas são feitas agora,é que desenvolvedores não escrevem códigos seguros: eles querem misturar códigos e dados.

Não é que os programadores odeiem segurança. “Eles não querem vazar números de cartões de créditos”. Então a pergunta é: por que os desenvolvedores não escrevem códigos de uma maneira que previna problemas?

“Temos que respeitar e dar a eles as ferramentas que precisam. Sabemos que temos problemas de segurança devido ao tempo gasto entre descoberta e resolução. Ainda não os corrigimos. Se conseguirmos corrigi-los, não custariam mais bilhões de dólares”.

A hipótese da linguagem teórica de segurança é que as vulnerabilidades são a consequência da forma que as linguagens códigos são escritos. Em outras palavras, as maiores dificuldades não se resolvem com a geração de números randomizados; e sim por meio da linguagem. Há três problemas: a inabilidade apara autenticação, para escrever código seguro e a incapacidade para prender os vilões.

Kaminsky explicou que ao usar, por exemplo, clocks no computador,  isso evita que a randomização de geração de números seja uma maneira viável para atacar redes de computadores.

“Não importa qual código você escreva, se há partes no meio mudando ou bloqueando o que você envia. Bloqueio e alteração de conteúdo se torna realidade. A Verizon reivindica o direito de ser a primeira a reescrever as conexões de internet. Países inteiros estão silenciosamente bloqueados páginas de rede”.

“Antes de certificados serem mudados, temos que perceber que algo mudou. Minha área é a detecção. Quero aumentar a probabilidade de ocorrência de testes”.

Com tecnologias subjacentes, Kaminsky deseja aumentar a quantidade de dados disponíveis, então as vulnerabilidades podem ser descobertas mais rapidamente.

“Operamos em um vácuo de informação. Há coisa que tememos em segurança e censura. Por que não descobrir o que está acontecendo?”

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini

Saiba mais:

Desenvolvimento de aplicativos migra para usuário final, diz Artech

Desenvolvimento de apps móveis: cuidados com a segurança

Segurança de aplicativos: três dicas para facilitar a gestão

Segurança: 5 dicas para ajudar na escolha da tecnologia