Blog do Altieres Rohr

Por Altieres Rohr

É fundador de um site especializado na defesa contra ataques cibernéticos


Em parceria com empresas e universidade, entidade lidera projeto para aumentar segurança de software de código aberto. — Foto: Alfred Muller/Pixabay

A Linux Foundation anunciou o projeto "Sigstore" para facilitar a verificação de integridade de códigos e programas baixados da internet. O intuito é dificultar a ação de hackers que manipulam os programas para invadir sistemas.

A Linux Foundation é uma organização sem fins lucrativos que promove soluções de software de código aberto e patrocina o desenvolvimento do Linux.

Além da entidade, a Sigstore conta com a colaboração do Google, da Red Hat e da Universidade de Purdue. A ideia original foi de Luke Hinds, um desenvolvedor da Red Hat.

O Google publicou um comunicado próprio comemorando o lançamento do projeto. A companhia comparou o Sigstore ao "Let's Encrypt", uma iniciativa que ajudou a facilitar o acesso a certificados digitais para criptografar e proteger a transmissão de dados na web.

"Instalar a maioria dos softwares de código aberto hoje é como pegar um pen drive qualquer na rua ligá-lo na sua máquina. Para resolver isso, temos que permitir a verificação da procedência de qualquer software, incluindo os pacotes de código aberto", diz a nota do Google.

A certificação digital permite que um desenvolvedor ateste a legitimidade do seu software. Caso um hacker adultere o arquivo, o usuário recebe um alerta informando sobre uma assinatura digital inválida.

Porém, muitos projetos de código aberto não adotam assinaturas digitais. Além do custo da certificação, a utilidade da medida em projetos de código aberto costuma ser menor, já que qualquer pessoa pode baixar o código fonte e assiná-lo com outro certificado, por exemplo.

Para o usuário, ficaria difícil de diferenciar a assinatura original de uma secundária.

O projeto Sigstore prevê a criação de um conjunto de ferramentas que facilitem esse processo e autentique a distribuição e até o código-fonte aberto desses softwares. Para evitar custos com certificação, a identidade do desenvolvedor será verificada a partir de outros serviços e tecnologias.

O risco de manipulação de software em ataques de hackers se tornou uma prioridade para muitos especialistas após o caso da SolarWinds. Várias empresas foram atacadas após uma atualização do Orion, desenvolvido pela SolarWinds, ser modificado por hackers.

O Sigstore não resolveria o problema enfrentado pela SolarWinds, que não é um software de código aberto.

Mas a atuação do Sigstore poderia evitar outros ataques de menor gravidade e sofisticação que já foram registrados contra programadores, em que versões modificadas de códigos foram distribuídas por erros de digitação ou por vírus.

Dave Wheeler, diretor de segurança para a cadeia de fornecedores da Linux Foundation, publicou um artigo promovendo a ideia de "builds reproduzíveis". Se realizado, esse cenário permitiria que versões específicas de aplicativos fossem recriadas como forma de validação.

Variações no ambiente tecnológico podem fazer com que dois softwares gerados a partir do mesmo código-fonte sejam diferentes, o que torna isso um desafio. Além disso, não há nada que previna mudanças discretas no código, abrindo uma brecha para hackers que manipularem o código.

A assinatura digital por meio do Sigstore seria um dos passos para a criação dessa tecnologia, que aumentaria a confiabilidade dos códigos e softwares.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Entenda a política de privacidade do WhatsApp:

Seis perguntas sobre a nova política de privacidade do WhatsApp

Seis perguntas sobre a nova política de privacidade do WhatsApp

Deseja receber as notícias mais importantes em tempo real? Ative as notificações do G1!

Mais lidas

Mais do G1

Sugerida para você