2
Silva97
3 min de leitura ·

O problema das vulnerabilidades falsas em cybersec

Acho que todos concordam que cybersec é uma área muito importante e que o trabalho dos pesquisadores de encontrar e reportar vulnerabilidades ajuda (e muito) na melhoria da qualidade de segurança de muitos projetos e produtos.

Mas existe um problema grave que quem é da área de cybersec já sabe disso, mas quem é de fora da área muitas vezes não tem nem ideia que isso acontece. Que são vulnerabilidades falsas que são reportadas por pseudo-pesquisadores de segurança.

A área de cybersec é muito movida por ego, todo mundo quer bancar o "hackudão". Então os "profissionais" que não tem competência técnica para encontrarem vulnerabilidades reais, acabam inventando vulnerabilidades falsas para engarem os leigos em segurança. E o problema é que funciona...

Infelizmente é muito comum artigos reportando vulnerabilidades falsas e até mesmo CVE registradas para vulnerabilidades falsas. Acontence que existem várias organizações que podem registrar CVEs (chamadas de CNAs) e nem todas elas colocam profissionais qualificados para avaliarem os reports de segurança. Então existem muitas CNAs negligentes que registram CVE para vulnerabilidades falsas, e os pseudo-pesquisadores sabem disso e se aproveitam disso para registrarem CVE no nome deles para uma vulnerabilidade que não existe.

Só para citar um exemplo de vulnerabilidade falsa, estou escrevendo este post porque recentemente compartilharam aqui no TabNews essa vulnerabilidade falsa: https://medium.com/@hijack-everything/post-compromise-rce-in-vs-code-remote-ssh-turning-developer-access-into-cloud-compromise-048eed10ad44

Eu explico porque ela é falsa neste comentário: https://www.tabnews.com.br/Silva97/f31a4d76-ba66-4dac-8e46-70c612c44bf2

Quem é leigo em segurança ler este artigo e pensa que é uma vulnerabilidade, porque o pseudo-pesquisador explica de um jeito que faz mesmo parecer que é uma vulnerabilidade. Mas aí entra o que eu falei no meu último post sobre senso crítico. É importante ter senso crítico para avaliar se o que uma pessoa tá chamando de "vulnerabilidade" realmente gera algum impacto na segurança.

E uma dica muito importante: se a empresa deu uma resposta negativa dizendo que aquilo não é uma vulnerabilidade ou não é significante, provavelmente a empresa está certa.

Existem casos da empresa ser mesmo negligente, mas assuma que 99% dos casos ela sabe do que tá falando. Salvo empresas pequenas, empresas como a Microsoft, Google etc. colocam analistas de segurança para avaliarem os reports de vulnerabilidades. Não é um leigo aleatório ou o suporte técnico que responde esses reports, são analistas de segurança. É gente especializada na área.

Na dúvida, confie no que a empresa disse e não no pseudo-pesquisador. Eu sei que parece um tiro no pé eu falar isso (eu sou pesquisador também), mas raramente eu vi a empresa estar errada. Na grande maioria dos casos, é o "pesquisador" que não sabe do que tá falando.

E agora com os LLMs, tá todo mundo achando que entende de segurança. O cenário já era ruim 5 anos atrás, mas agora está muito pior.

Carregando publicação patrocinada...
4

Você chegou a ver esse post?

Na dúvida, confie no que a empresa disse e não no pseudo-pesquisador.

Na minha opinião não se deve confiar em nenhum dos dois.

Hoje em dia tá difícil confiar em todo mundo, principalmente na Microsoft, a cada atualização é um bug novo, eles mesmo admimitiram estar errados

1

Eu já estava ciente do caso muito antes dele ser banido. Eu acompanhei em tempo real ele postando os exploits.

Isso aí é um caso completamente diferente do assunto abordado aqui no post. Você entendeu qual é o tema do post?