Ir direto para o menu
Ir direto para o conteúdo
Altieres Rohr | 15/05/2008 - 00h56
A McAfee renomeou o Hacker Safe, principal produto da ScanAlert, uma empresa adquirida pela gigante por 50 milhões de dólares em outubro do ano passado. A ferramenta, que agora chama-se McAfee Secure, exibe nos websites que contratam o serviço uma figura que certifica que os mesmos são seguros com o texto “Hacker Safe”. No Brasil, o nome usado é Site Blindado.
Ao clicar na imagem exibida pelos sites é possível ver uma página que diz que, se o site tem o selo, você pode comprar “tranqüilo”. Porém várias críticas tem sido direcionadas ao serviço desde que websites “protegidos” foram comprometidos.
Para exibir o selo, o site do cliente é primeiro examinado pelo McAfee Secure, que encontra brechas no servidor e nas páginas do site. Ou, pelo menos, tenta. Se nenhuma vulnerabilidade é encontrada, o website pode exibir uma imagem que diz “Site Blindado”, “Hacker Safe” ou “McAfee Secure”. O problema é que brechas ainda existem mesmo que não detectadas pela ferramenta, o que significa que usuários dos websites que fazem uso do serviço estão sendo simplesmente enganados.
As críticas mais recentes são relacionados ao fato de que diversas brechas de XSS não são detectadas — mais de 60 clientes do serviço tiveram problemas deste tipo em seus sites. A McAfee chegou a afirmar que estas brechas não oferecem grande risco porque “não podem ser usadas para comprometer um servidor“.
Discordando da afirmação de que XSS “não representa risco”, o especialista em segurança Russ McRee publicou um vídeo mostrando uma falha de XSS no site da McAfee que faz o site da gigante exibir uma mensagem dizendo “Este site NÃO É McAfee Secure”…
Nathan McFeters, especialista em segurança da Ernst & Young e blogueiro do site ZDNet, pensa que a McAfee deve mudar o tom da ferramenta para deixar claro que não existe uma maneira de certificar que um site é totalmente seguro, muito menos com um simples exame automatizado.
Penso como McFeters, porém o princípio por trás da ferramenta é exatamente o selo de “segurança” — a idéia de construir confiança entre o website e o internauta. Se o selo não diz nada e o exame de vulnerabilidade não funciona, teria a McAfee gasto 50 milhões em uma empresa cuja principal propriedade parece ser a marca registrada “Hacker Safe” impressa em uma imagem JPG GIF?
