[Owasp-brazilian] [Owasp-brazilian-leaders] Segurança na web - Uma janela de oportunidades

Fernando Cima (SCOE) fcima at microsoft.com
Wed Apr 6 18:11:44 EDT 2011


Desculpe, mas a analogia não é válida. Quando se fala de segurança existe um oponente que intencionalmente procura causar dano, e não é possível esperar que o fabricante seja responsabilizado por uma ação causada por este oponente. Uma coisa é o fabricante se responsabilizar por um motor que quebrou em condições de uso normal, uma outra se alguém foi lá  e colocou solvente no combustível.

Está também se ignorando que o conceito de vulnerabilidade de segurança é diferente do conceito tradicional de defeito de software. Um software pode se comportar exatamente como definido na sua especificação (e portanto no sentido tradicional estar "correto"), mas ainda assim estar vulnerável.

Por exemplo, um software com um buffer overflow pode tranquilamente implementar corretamente todos os use cases previstos na sua especificação funcional. No entanto ele implementa um "funcionalidade" adicional (o buffer overflow) indesejada que não deveria estar lá, e que jamais seria acionada caso não existisse um oponente agindo intencionalmente para causar dano. De quem deve ser a responsabilidade civil aqui? Para mim é do oponente e não do fabricante, que não tem condições de testar todos as use cases possíveis fora das suas especificações.

É preciso também levar em conta que durante o desenvolvimento de um software decisões de gerência de risco são tomadas assumindo um determindo perfil de ameaças. No exemplo que eu dei anteriormente, um sistema de gerência de conteúdo voltado para blogs pessoais pode perfeitamente armazenas as suas senhas em claro no banco de dados, enquanto isto seria inimaginável em um sistema corporativo ou militar. Não existe um modelo "one-size-fits-all".

Existem ainda situações onde determinadas "vulnerabilidades" tem que ser adotadas por questão de compatibilidade com o legado e/ou com padrões em vigor. Por exemplo, o Windows suporta o uso de certificados com hash MD5 devido ao número destes certificados em uso atualmente, ainda que o algoritmo seja atualmente considerado vulnerável. Como fica a responsabilidade aqui?

Abraços,


-          Fernando Cima


From: L. Gustavo C. Barbato [mailto:lgbarbato at owasp.org]
Sent: Wednesday, April 06, 2011 5:06 PM
To: Lucas Ferreira
Cc: Jeronimo Zucco; Owasp-brazilian-leaders at lists.owasp.org; Fernando Cima (SCOE); owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian-leaders] [Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Não condordo. Eu concordo. :-)
L. Gustavo C. Barbato<http://www.owasp.org/index.php/User:Gustavo_Barbato>, Ph.D.
Chapter Leader, OWASP Porto Alegre<http://www.owasp.org/index.php/Porto_Alegre> / Brazil<http://www.owasp.org/index.php/Category:Brasil>
Member, Global Chapter Committee<http://www.owasp.org/index.php/Global_Chapter_Committee>

On 04/06/2011 04:59 PM, L. Gustavo C. Barbato wrote:
Condordo.
L. Gustavo C. Barbato<http://www.owasp.org/index.php/User:Gustavo_Barbato>, Ph.D.
Chapter Leader, OWASP Porto Alegre<http://www.owasp.org/index.php/Porto_Alegre> / Brazil<http://www.owasp.org/index.php/Category:Brasil>
Member, Global Chapter Committee<http://www.owasp.org/index.php/Global_Chapter_Committee>

On 04/06/2011 03:54 PM, Lucas Ferreira wrote:

Zucco,



nenhum produto é perfeito. Por exemplo, se há defeito em um carro que

comprometa sua segurança, o fabricante é responsável. Por que o

fabricante de software não pode ser responsabilizado por falhas em seu

produto?



Inté,



Lucas



2011/4/6 Jeronimo Zucco <jczucco at gmail.com><mailto:jczucco at gmail.com>:



  Sob esse ponto de vista, somente softwares perfeitos podem ser

escritos. Softwares são feitos por seres humanos, como garantir que

não exista um problema de segurança ? Definindo um baseline de

segurança mínimo ?



--

Jeronimo Zucco

http://jczucco.blogspot.com





Em 6 de abril de 2011 15:01, Lucas Ferreira <lucas.ferreira at owasp.org><mailto:lucas.ferreira at owasp.org> escreveu:



Ambos, solidária e objetivamente.



2011/4/6 Fernando Cima (SCOE) <fcima at microsoft.com><mailto:fcima at microsoft.com>:



Perfeito, então todos os desenvolvedores de software, independente do modelo de licença, seriam responsabilizados civilmente por defeitos de segurança.

Fica a questão sobre quem seria responsabilizado, o distribuidor do software ou o dono do copyright (i.e. autor).





-----Original Message-----

From: lucas.ferreira at gmail.com<mailto:lucas.ferreira at gmail.com> [mailto:lucas.ferreira at gmail.com] On Behalf Of Lucas Ferreira

Sent: Wednesday, April 06, 2011 2:37 PM

To: owasp-brazilian at lists.owasp.org<mailto:owasp-brazilian at lists.owasp.org>; Owasp-brazilian-leaders at lists.owasp.org<mailto:Owasp-brazilian-leaders at lists.owasp.org>

Cc: Fernando Cima (SCOE)

Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de oportunidades



Sobre a polêmica abaixo, conversei com um amigo advogado e a questão é

mais simples do que parece. Caso a legislação proíba as licenças de

software de isentar os fabricantes de responsabilidade com a segurança

de seus produtos, as cláusulas que afirmarem o contrário serão

consideradas ilegais, mas apenas elas.



Ou seja, as licenças não seriam inválidas mas apenas as clausulas

específicas que forem contrárias à lei, eliminando a necessidade de

relicenciamento ou de mudança de licença.



Inté,



Lucas







2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com><mailto:fcima at microsoft.com>:



"Eliminar licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos"

Você está ciente que isto inclui *todas* as licenças de software existentes hoje, correto?



Sim



Ok, então esteja ciente das consequências disto, em especial para os projetos colaborativos. Por exemplo, todas as licenças 'open source' contém uma cláusula que exclui qualquer responsabilidade dos autores por danos diretos, indiretos, incidentais, etc. Para se relicenciar o software é necessário que todos os titulares de copyright concordem com a mudança na licença. Em alguns projetos é exigido que o copyright de qualquer contribuição seja atribuído ao coordenador do projeto (prática adotada por exemplo pela Free Software Foundation), em outros isto não ocorre e podem existir até milhares de pessoas com copyright em partes do código, caso do Linux por exemplo. Sugerir uma mudança da licença nestes casos é algo virtualmente impossível.













--

Homo sapiens non urinat in ventum.











--

Homo sapiens non urinat in ventum.

_______________________________________________

Owasp-brazilian mailing list

Owasp-brazilian at lists.owasp.org<mailto:Owasp-brazilian at lists.owasp.org>

https://lists.owasp.org/mailman/listinfo/owasp-brazilian












-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110406/5886a3a3/attachment.html 


More information about the Owasp-brazilian mailing list