Olá, aqui é o Fernando Cima. Eu trabalho com segurança na área de Serviços da Microsoft, ajudando a definir a nossa estratégia de consultoria e suporte, e além de ajudar clientes em projetos de PKI e segurança de rede. Alguns de vocês provavelmente já me conhecem do meu outro (e agora falecido) blog.

Nos últimos anos a BlackHat Las Vegas se tornou a principal conferência técnica sobre segurança (enquanto a RSA Conference talvez seja ainda a principal conferência de negócios), e a Microsoft usou o evento deste ano para anunciar dois novos programas relativos a divulgação de vulnerabilidades.

O Microsoft Active Protections Program (MAPP) [doc] é um programa onde a Microsoft compartilha informações sobre vulnerabilidades nos nossos produtos com empresas que fornecem softwares de proteção - antivírus, IDS, IPS, etc. - antes da divulgação dos boletins de segurança. Com isso os softwares de proteção podem incorporar assinaturas contra estes ataques de forma mais rápida, dando mais uma vantagem para os defensores na corrida para proteger o usuário que começa quando um boletim de segurança é divulgado.

Os fornecedores de software de proteção pode solicitar a participação no MAPP contactando mapp@microsoft.com. Para se qualificar para o programa entre outras condições a empresa tem que fornecer softwares que implementem recursos de proteção de rede ou de host para a plataforma Windows, e não pode ter na sua linha de produtos ferramentas de ataque.

Já o Microsoft Vulnerability Research (MSVR) [doc] é um programa através do qual a Microsoft irá reportar vulnerabilidades em softwares de terceiros que rodem na plataforma Windows.

Oops... acho que vale uma explicação detalhada aqui. Não se trata da Microsoft agora ter um tiger team dedicado a procurar vulnerabilidades no softwares dos outros. Este programa trata de situações do tipo:

■ As chamadas "ameaças combinadas", onde softwares diferentes tem comportamentos que por si só não são vulnerabilidades, mas que em conjunto colocam o usuário em risco. Um exemplo foi o recente problema envolvendo o browser Safari da Apple rodando sobre Windows XP ou Vista. O Safari permitia que um site Web gravasse arquivos no desktop do usuário sem o seu consentimento, e um comportamento do desktop do Windows permitia que estes arquivos fossem executados.

■ Vulnerabilidades em outros softwares sendo exploradas através de serviços como o Hotmail e o Messenger, ou descobertas de alguma forma durante as pesquisas internas do time de segurança da Microsoft.

■ Vulnerabilidades comunicadas à Microsoft por esquisadores externos, que durante o processo de triagem acabam sendo identificadas como sendo de outros softwares.

Dentro do MSVR a Microsoft vai reportar de forma confidencial as vulnerabilidades para o fornecedor e ajuda para desenvolver e testar a correção do problema. A Microsoft já tinha feito isto de forma informal algumas vezes, como no recente caso do bug do DNS descoberto pelo Dan Kaminsky, e o MSVR vai somente formalizar o procedimento na Microsoft nestes casos.

Tratar informações sobre vulnerabilidades (em especial aquelas que ainda não tem correção divulgada, as chamadas "0-day") é um dos grandes desafios da indústria de software, em especial com o alto preço destas informações no mercado negro. O anúncio destes dois programas são mais um passo na construção de um modelo de compartilhamento destas informações por todos os fornecedores.

-- Fernando Cima