A Microsoft não está feliz com governos que mantêm falhas de segurança do Windows em segredo
O diretor jurídico da Microsoft escreveu um post criticando duramente governos que mantêm falhas de segurança de softwares em segredo
Enquanto o ransomware WannaCry se espalhava no final de semana, o diretor jurídico da Microsoft, Brad Smith, reforçando o pedido de uma e criticando duramente governos que mantêm falhas de segurança de softwares em segredo. Smith argumenta que, quando agências de inteligência armazenam vulnerabilidades, cria-se uma internet menos segura para todos.
• Como o ransomware WannaCry avançou durante o fim de semana
• Tudo o que sabemos sobre o ciberataque que comprometeu sistemas de todo o mundo
Especialistas de segurança apontam que a falha utilizada pelo WannaCry ficou conhecida após o vazamento de ferramentas sigilosas usadas pela NSA (Agência de Segurança Nacional), pelo grupo hacker “Shadow Brokers”. Desta forma, a agência seria parcialmente responsável pelo caos mundial que fez com que hospitais desmarcassem consultas, empresas inteiras e órgãos governamentais ficassem parados, caixas eletrônicos deixassem de funcionar, entre diversos outros prejuízos.
A Casa Branca já ordenou reuniões emergenciais por causa do ransomware e veículos de comunicação, profissionais especialistas em cibersegurança estão trabalhando com o Conselheiro de Segurança Nacional dos EUA, Tom Bossert, durante todo o final de semana. Esse grupo agora tem a tarefa de tentar diminuir o estrago feito pela NSA e proteger os sistemas americanos de novos ataques. O país, inclusive, foi pouco impactado até agora.
No publicado pela Microsoft, Brad Smith chegou a comparar o ataque do ransomware com o roubo de uma bomba:
O ataque oferece mais um exemplo do porquê o armazenamento de vulnerabilidades pelos governos é um problema. Esse é um padrão emergente em 2017. Vimos vulnerabilidades armazenadas pela CIA aparecendo no WikiLeaks, e agora essa vulnerabilidade roubada da NSA afetou consumidores ao redor do mundo. Repito, brechas nas mãos dos governos acabaram vazando para o domínio público e causaram danos significativos. Em um cenário equivalente com armas mais convencionais, seria como o exército americano ter um de seus mísseis Tomahawk roubado. E esse ataque mais recente representa uma ligação completamente não intencional, mas desconcertante, entre as duas formas mais graves de ameaças à segurança cibernética no mundo de hoje – a ação do Estado-nação e ação criminosa organizada. Os governos de todo o mundo deveriam ver esse ataque como um alerta.As organizações afetadas pelo vírus estão arcando com o prejuízo por não manterem uma infraestrutura em dia e ainda utilizarem versões antigas do sistema, como o Windows XP – porém, atualizar uma rede como a da NHS (hospitais públicos da Inglaterra) não é tão simples quanto apertar um botão: demanda dinheiro, tempo e autorização do poder público.
A Microsoft lançou a atualização de segurança para o Windows em maio, apenas para as versões mais recentes e que ainda continham suporte. Só depois que o ataque se espalhou que foi para o Windows XP, Windows 8 e Windows Server 2003. Ou seja, apesar da bronca, a Microsoft também tem culpa no cartório.
Foto do topo: Patrick Semansky/AP