sexta-feira, 22 de abril de 2011

'Não corrigimos falhas menores para não danificar o produto', diz Microsoft


Mike Reavey, diretor do Microsoft Security Response Center (Foto: Divulgação)Mike Reavey é diretor do Microsoft SecurityResponse Center
Veja abaixo a íntegra da entrevista.
Por que existem falhas publicadas na internet que ainda não receberam correção?
Mike Reavey – O Microsoft Security Response Center sempre vai investigar qualquer falha que apareça. Nós trabalhamos para ter certeza que a maioria das falhas serão consertadas antes que os nossos consumidores fiquem sabendo. Às vezes, há problemas detectados que possuem riscos menores ou que são pouco práticos para um ataque. Além disso, aquele problema talvez requeira uma mudança na configuração e na arquitetura do produto. Se nós consertarmos essa falha, talvez prejudique outras funções do produto.
Então, para ataques de pouca severidade ou impraticáveis, nós não queremos parar a funcionalidade de sistemas que estão funcionando pois os consumidores não iriam aplicar a correção de qualquer jeito. Porém, em casos de ataques grandes, não vamos apenas corrigir o problema, como vamos colocar soluções para que as pessoas se protejam.
No entanto, é importante saber que 85% das falhas que nós reportamos – de forma privada – foram corrigidas antes que houvesse qualquer notificação pública. Portanto, a grande maioria das falhas são concertadas antes que os usuários sejam expostos a qualquer tipo de risco.
Como funciona o trabalho do Microsoft Security Response Center?
Mike Reavey – O time do Security Response coordena qualquer vulnerabilidade que é encontrada em produtos da Microsoft, como Windows, Internet Explorer e Office. Nós não criamos a correção. Nós trabalhamos com engenheiros do produto, que conhecem bem o sistema, e eles nos ajudam a criar a correção. O que fazemos é trabalhar com a equipe do produto para entender a brecha encontrada pelo hacker. Mais do que apenas concertar um problema, nossa equipe tenta resolver o maior número possível de falhas. Desta forma, quando os consumidores baixam a atualização, ela irá durar por mais tempo.
Quantas pessoas trabalham no Microsoft Security Response Center?
Mike Reavey – Mais de 40 pessoas. Porém, nós temos funcionários dedicados nas equipes dos produtos que também trabalham nos problemas de segurança. Para a maioria das ocorrências, há centenas de pessoas trabalhando na atualização de segurança. E, para incidentes maiores, é possível ter mais de 1 mil funcionários focados na falha.
Como é feita a escala dos funcionários?
Mike Reavey – Em uma grande falha, nós trabalhamos no modelo chamado “seguindo o sol” (quando as tarefas são repassadas para equipes em outras partes do mundo). A Microsoft é uma empresa global que trabalha com equipes em várias partes do mundo, como China, Índia e Europa. Muitas falhas são resolvidas durante o horário comercial. Porém, em incidentes de alta prioridade, nós não paramos de funcionar e trabalhamos 24 horas por dia em sete dias por semana no modelo “seguindo o sol” (quando um escritório fecha na Califórnia, outra equipe pega as tarefas no Japão, por exemplo).
Como a Microsoft acompanha as mudanças na área da segurança?
Mike Reavey – O nosso trabalho nunca é chato. Nós acompanhamos o desenvolvimento do cenário de segurança ao longo dos anos e a Microsoft tem crescido junto com esse panorama. Porém, uma das razões que fazemos eventos como o “BlueHat” é porque a comunidade de pesquisadores está sempre encontrando novas maneiras inovadoras de testar a segurança dos produtos. Nós criamos uma relação com essa comunidade para entender a sua metodologia.
Como a Microsoft gerencia os avisos de brechas enviados pelos clientes?
Mike Reavey – Os tipos de vulnerabilidade estão sempre mudando e as defesas também. Nós recebemos mais de 100 mil e-mails no site da Microsoft Security por ano. Nós temos funcionários que olham todos esses e-mails para entender se algum deles envolve vulnerabilidade. A maioria dessas mensagens não tem relação com segurança. Por isso, acabamos selecionando 1 mil e-mails para investigar. Chegam perguntas de suporte como “minha conta do Hotmail está comprometida”. Mas isso é normal porque o endereço da Microsoft Security é muito procurado. Porém, não usamos filtro de spam e nem sistema automático porque podemos receber problemas críticos também. Realmente temos pessoas que cuidam do e-mail 24 horas por dia.
Quais os principais desafios das ameaças de hoje?
Mike Reavey – As ameaças estão ficando melhores e mais desafiadoras em várias áreas. Por
exemplo: quando eu cheguei na Microsoft (em 2003), você via vírus que atacavam as máquinas quando o usuário não estava fazendo nada. Hoje, não se vê mais isso pois as ameaças estão diferentes. O que está acontecendo hoje, mais do que nunca, é um esforço colaborativo, uma defesa de base da comunidade, onde não há um produto trabalhando por si só tentando resolver o problema. Eles estão trabalhando com outros. Eu acho que isso é necessário para tentar criar mais confiança na internet.
Como é sempre ter que corrigir um problema novo em um produto diferente?
Mike Reavey – É sempre muito desafiador para a Microsoft atualizar os seus produtos, pois há várias versões, em diversas línguas e com diferentes funções. Mesmo assim, atualizamos os sistemas todos os meses, na segunda terça-feira de cada mês, às 10h [horário do Pacífico, 15h de Brasília]. Algumas vezes, atualizamos 600 milhões de sistemas [de usuários] durante a primeira semana do mês. E, se nós “invalidamos” algo, as pessoas não irão instalar a atualização. Então, a prioridade número 1 nas nossas atualizações de segurança é ter sempre muita qualidade. Nós construímos processos e testamos sistemas e isso leva algum tempo. Por isso, realizar esses testes é um processo muito intenso e que leva tempo.

Nenhum comentário:

Postar um comentário