Com a integridade dos códigos garantida, hackers terão mais dificuldade para manipular programas. Em parceria com empresas e universidade, entidade lidera projeto para aumentar segurança de software de código aberto.
Alfred Muller/Pixabay
A Linux Foundation anunciou o projeto "Sigstore" para facilitar a verificação de integridade de códigos e programas baixados da internet. O intuito é dificultar a ação de hackers que manipulam os programas para invadir sistemas.
A Linux Foundation é uma organização sem fins lucrativos que promove soluções de software de código aberto e patrocina o desenvolvimento do Linux.
Além da entidade, a Sigstore conta com a colaboração do Google, da Red Hat e da Universidade de Purdue. A ideia original foi de Luke Hinds, um desenvolvedor da Red Hat.
O Google publicou um comunicado próprio comemorando o lançamento do projeto. A companhia comparou o Sigstore ao "Let's Encrypt", uma iniciativa que ajudou a facilitar o acesso a certificados digitais para criptografar e proteger a transmissão de dados na web.
"Instalar a maioria dos softwares de código aberto hoje é como pegar um pen drive qualquer na rua ligá-lo na sua máquina. Para resolver isso, temos que permitir a verificação da procedência de qualquer software, incluindo os pacotes de código aberto", diz a nota do Google.
O que é o 'Let's Encrypt'? Entenda como funciona a certificação digital na web
Segurança nos downloads: como baixar programas e jogos legítimos no computador
Como saber se você está baixando um aplicativo legítimo ou oficial
A certificação digital permite que um desenvolvedor ateste a legitimidade do seu software. Caso um hacker adultere o arquivo, o usuário recebe um alerta informando sobre uma assinatura digital inválida.
Porém, muitos projetos de código aberto não adotam assinaturas digitais. Além do custo da certificação, a utilidade da medida em projetos de código aberto costuma ser menor, já que qualquer pessoa pode baixar o código fonte e assiná-lo com outro certificado, por exemplo.
Para o usuário, ficaria difícil de diferenciar a assinatura original de uma secundária.
O projeto Sigstore prevê a criação de um conjunto de ferramentas que facilitem esse processo e autentique a distribuição e até o código-fonte aberto desses softwares. Para evitar custos com certificação, a identidade do desenvolvedor será verificada a partir de outros serviços e tecnologias.
O risco de manipulação de software em ataques de hackers se tornou uma prioridade para muitos especialistas após o caso da SolarWinds. Várias empresas foram atacadas após uma atualização do Orion, desenvolvido pela SolarWinds, ser modificado por hackers.
Hackers atacaram empresa de tecnologia de redes para invadir governo dos EUA e FireEye
O Sigstore não resolveria o problema enfrentado pela SolarWinds, que não é um software de código aberto.
Mas a atuação do Sigstore poderia evitar outros ataques de menor gravidade e sofisticação que já foram registrados contra programadores, em que versões modificadas de códigos foram distribuídas por erros de digitação ou por vírus.
Criminosos miram programadores para roubar Bitcoin e outras criptomoedas
Hackers miram desenvolvedores com praga digital para Windows e Linux que se espalhou no Github
Dave Wheeler, diretor de segurança para a cadeia de fornecedores da Linux Foundation, publicou um artigo promovendo a ideia de "builds reproduzíveis". Se realizado, esse cenário permitiria que versões específicas de aplicativos fossem recriadas como forma de validação.
Variações no ambiente tecnológico podem fazer com que dois softwares gerados a partir do mesmo código-fonte sejam diferentes, o que torna isso um desafio. Além disso, não há nada que previna mudanças discretas no código, abrindo uma brecha para hackers que manipularem o código.
A assinatura digital por meio do Sigstore seria um dos passos para a criação dessa tecnologia, que aumentaria a confiabilidade dos códigos e softwares.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Entenda a política de privacidade do WhatsApp:
Seis perguntas sobre a nova política de privacidade do WhatsApp
