Google vs Microsoft - Agora é Pessoal
Carlos Cardoso 13 anos atrás
Existem poucas comunidades mais unidas do que a de Segurança. Todos tem seus pontos de vista, seus empregadores mas quando bicho pega, sabem guardar segredos. Informações de alto nível circulam entre rivais, pois o consumidor, o usuário na ponto do processo, o alvo da falha de segurança é um só, por mais que seja cliente de várias empresas.
Por isso a comunidade fica em pé-de-guerra quando surge um herege como Tavis Ormandy. Ele é engenheiro do Google na Suíça, descobriu uma falha de segurança no Windows XP.
Ele fez o correto, avisou da existência da falha e comunicou a Microsoft.
Também fez o errado. Cinco dias depois publicou todas as informações e código-fonte do bug em uma mailing list de segurança. Segundo ele por causa da severidade do bug E porque a Microsoft iria "ignorar sua análise".
Os poderes premonitórios de Tavis não o alertaram do feedback negativo. A Microsoft ficou MUITO irritada com a chantagem/facada, pois cinco dias é MUITO pouco tempo para a análise de um bug sério, muito menos para prover uma solução que seja testada e homologada nas N plataformas rodando XP existentes no mercado.
PIOR: O cidadão disponibilizou um hotfix temporário que NÃO FUNCIONA.
Como diz o Arnaldo, a Regra é Clara: Não se divulga problema sem a solução estar disponível. É entregar ouro a bandido. O bug poderia ser desconhecido, o cenário mais provável é que apenas Tavis o conhecesse. No momento em que ele se torna público, TODO script kid do planeta tem acesso a ele.
Se a moda pega empresas colocarão equipes para procurar bugs nos produtos concorrentes e divulgar imediatamente. Isso gerará uma onda de invasões e uma sensação de insegurança que não será bom para ninguém.
Fonte: Computer World
