Google e Linux Foundation anunciam projeto para melhorar tecnologias contra adulteração de software
Com a integridade dos códigos garantida, hackers terão mais dificuldade para manipular programas. Em parceria com empresas e universidade, entidade lidera projeto para aumentar segurança de software de código aberto. Alfred Muller/PixabayA Linux Foundation anunciou o projeto "Sigstore" para facilitar a verificação de integridade de códigos e programas baixados da internet. O intuito é dificultar a ação de hackers que manipulam os programas para invadir sistemas.A Linux Foundation é uma organização sem fins lucrativos que promove soluções de software de código aberto e patrocina o desenvolvimento do Linux.Além da entidade, a Sigstore conta com a colaboração do Google, da Red Hat e da Universidade de Purdue. A ideia original foi de Luke Hinds, um desenvolvedor da Red Hat.O Google publicou um comunicado próprio comemorando o lançamento do projeto. A companhia comparou o Sigstore ao "Let's Encrypt", uma iniciativa que ajudou a facilitar o acesso a certificados digitais para criptografar e proteger a transmissão de dados na web."Instalar a maioria dos softwares de código aberto hoje é como pegar um pen drive qualquer na rua ligá-lo na sua máquina. Para resolver isso, temos que permitir a verificação da procedência de qualquer software, incluindo os pacotes de código aberto", diz a nota do Google.O que é o 'Let's Encrypt'? Entenda como funciona a certificação digital na web Segurança nos downloads: como baixar programas e jogos legítimos no computador Como saber se você está baixando um aplicativo legítimo ou oficial A certificação digital permite que um desenvolvedor ateste a legitimidade do seu software. Caso um hacker adultere o arquivo, o usuário recebe um alerta informando sobre uma assinatura digital inválida.Porém, muitos projetos de código aberto não adotam assinaturas digitais. Além do custo da certificação, a utilidade da medida em projetos de código aberto costuma ser menor, já que qualquer pessoa pode baixar o código fonte e assiná-lo com outro certificado, por exemplo.Para o usuário, ficaria difícil de diferenciar a assinatura original de uma secundária.O projeto Sigstore prevê a criação de um conjunto de ferramentas que facilitem esse processo e autentique a distribuição e até o código-fonte aberto desses softwares. Para evitar custos com certificação, a identidade do desenvolvedor será verificada a partir de outros serviços e tecnologias.O risco de manipulação de software em ataques de hackers se tornou uma prioridade para muitos especialistas após o caso da SolarWinds. Várias empresas foram atacadas após uma atualização do Orion, desenvolvido pela SolarWinds, ser modificado por hackers.Hackers atacaram empresa de tecnologia de redes para invadir governo dos EUA e FireEye O Sigstore não resolveria o problema enfrentado pela SolarWinds, que não é um software de código aberto.Mas a atuação do Sigstore poderia evitar outros ataques de menor gravidade e sofisticação que já foram registrados contra programadores, em que versões modificadas de códigos foram distribuídas por erros de digitação ou por vírus.Criminosos miram programadores para roubar Bitcoin e outras criptomoedasHackers miram desenvolvedores com praga digital para Windows e Linux que se espalhou no Github Dave Wheeler, diretor de segurança para a cadeia de fornecedores da Linux Foundation, publicou um artigo promovendo a ideia de "builds reproduzíveis". Se realizado, esse cenário permitiria que versões específicas de aplicativos fossem recriadas como forma de validação.Variações no ambiente tecnológico podem fazer com que dois softwares gerados a partir do mesmo código-fonte sejam diferentes, o que torna isso um desafio. Além disso, não há nada que previna mudanças discretas no código, abrindo uma brecha para hackers que manipularem o código.A assinatura digital por meio do Sigstore seria um dos passos para a criação dessa tecnologia, que aumentaria a confiabilidade dos códigos e softwares.Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]Entenda a política de privacidade do WhatsApp:Seis perguntas sobre a nova política de privacidade do WhatsApp