A instituição Linux Foundation em parceria com a Google e também com a Red Hat e Purdue University notificaram a concepção de um projeto de open source intitulado Sigstore, que tem como seu principal objetivo defender e sustentar de forma gratuita a assinatura de software. O intuito do projeto veio em consequência da SolarWinds ter sido atacada por hackers supostamente da Rússia através do seu sistema de atualizações. As consequências por enquanto não foram completamente conhecidas.
O projeto Sigstore fará com que desenvolvedores de software consigam assinar de forma mais segura os artefatos do programa, como arquivos mais recentes, figuras de contêiner e também binários. As ferramentas de assinatura ficam então guardadas em um documento público que não pode ser violado, sendo mais seguro dessa forma. Tal serviço será feito de forma gratuita, englobando todos os desenvolvedores e fornecedores de software, sendo desenvolvido pelo grupo Sigstore que também criou o código Sigstore e as ferramentas de operação.
A Google fez um informe na qual ela própria celebra o lançamento do projeto. A empresa fez uma comparação da Sigstore com o seguro projeto da “Let’s Encrypt”, que colaborou com a facilitação de certificados digitais para HTTPS gratuitamente , criptografando e protegendo a propagação de dados através da internet.
“Instalar a maioria dos softwares de código aberto hoje é como pegar um pen drive qualquer na rua e ligá-lo na sua máquina. Para resolver isso, temos que permitir a verificação da procedência de qualquer software, incluindo os pacotes de código aberto”, diz a Google, em nota.
Muitos sistemas de empresas já sofreram falhas nos últimos meses como Netflix, Tesla, Apple e Microsoft. Essas falhas se iniciam quando vários projetos de software são respaldados por dependências encontradas em repositórios públicos como npm para Node, PyPi para Python e RubyGems para Ruby, podendo obter a totalidade dos códigos através de qualquer indivíduo.
A ameaça que ficou famosa pelo nome “confusão de dependência” se dá quando invasores mandam aos repositórios, pacotes maldosos com nomes remetendo à pacotes que já existem e são inocentes. Em eventos mais intensos, também pode acontecer a adulteração de pacotes autênticos. Assim, no momento em que um desenvolvedor ou profissional de TI realiza um comando para descarregar uma dependência, pode acabar recebendo um pacote com alto grau de perigo, embora já se tenham feitos muitos esforços, não há como nenhum repositório dar a garantia de que todos os códigos ali presentes estarão isentos das instruções maldosas.
Nicolas Eller, consultor de segurança da informação e sócio da empresa Netbras Tecnologia, explica um pouco como se dá este processo de combater o ataque de hackers, apesar de não conseguir ver agora uma solução imediata para fazer a web totalmente segura. Ele defende que será um processo contínuo e com ajuda governamental.
“Com certeza esse projeto de melhorias nessa assinatura desses pacotes, ela vai dificultar um pouco a vida dos hackers que tem utilizado essas metodologias, mas ainda falta muito dessas grandes empresas pra que a gente possa ter uma web segura onde os grandes produtos de segurança ainda são muito caros para a pessoa final que raramente até conhece algumas dessas soluções e para empresas continuam sendo bem dispendiosas. Eu acho que a melhor técnica ou melhor projeto é que haja fundo governamental e empresarial para que essas empresas se unifiquem pra tornar esses produtos de segurança gratuitos, embutidos nas suas soluções. Produtos mais variados como firewalls, antivírus, proxy, appliance como agente tem em empresas contra criptografia em massa, Isso tinha que estar no computador do cidadão comum sem ele precisar pagar nada por isso. Acho que essa é a melhor tipo de prática e incentivo”, comenta Nicolas.
Essas ideias não são recentes. O que acontece é que as resoluções disponíveis no momento são, em muitas ocasiões, guardadas através de serviços que não oferecem um nível de segurança mínimo em relação à essa utilização. Para que se garanta a confiança, o projeto teve como base certificados de curta duração através do OpenID Connect, escolhendo logs públicos transparentes, possibilitando a fácil monitoração dos pacotes. E, se caso ocorrer algum problema detectado, será feito uma revisão de forma rápida.
O projeto Sigstore que uniu grandes empresas do setor tecnológico em prol de conseguir combater esses ataques de hackers ainda se encontra em fase inicial, mas o desejo da Linux Foundation é que com o passar do tempo, o empreendimento seja amplamente praticado pelos desenvolvedores dos mais distintos projetos relacionados ao código aberto.
Leia Também: Nomofobia: doença atrelada à tecnologia tem afetado parte da sociedade
Software facilita uso de painéis solares
Rafael Barreto – 8º período
Agência UVA 
Pingback: Venda do Jovem Nerd para Magazine Luiza: O que muda agora? | Agência UVA