Limites da proteção digital
Publicado em parte no Jornal de Brasília (2/09/03)
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
2 de Setembro de 2002
Marcos Nunes: Escuta-se tanto, de tantas opções de proteção (Rede privativa, firewall, detecção de intrusos, autenticação e certificação digital, filtro de conteúdo, antivírus, backup, consultorias, protocolo, Winproxy). Como unir tudo isso e conseguir a melhor?Pedro Rezende: Este é um problema com várias dimensões, cujas soluções apresentarão resultados proporcionais ao esforço individual do interessado. Software para proteger software é uma proposta circular, não é solução mágica. Segurança não é produto, é processo. Não se terceiriza, se planeja. Segurança é o controle da proteção, não o mecanismo de proteção em si, e portanto não pode ser delegada. De que adianta um carro forte para transportar dinheiro, se o motorista não agir sob controle do dono do dinheiro?
Das dimensões do problema, a primeira é o conhecimento dos riscos. Pior do que estar desprotegido é estar enganado. O usuário que instala um monte de coisas cuja lógica desconhece, e sai a navegar e operar sem muito discernimento ou cautela, julgando-se mais protegido do que realmente está, corre mais risco do que o usuário que sabe que está desprotegido.
O vírus SQL Slammer, por exemplo, atingiu o pico de sua epidemia, no final de janeiro, em menos de uma hora depois de lançado. Esse vírus explora uma falha do MSSQL que a empresa diz ter protegido com um patch lançado meses antes, mas ela mesma foi atingida. Ocorre que o vírus também explora um componente "oculto" em outros softwares, derivado do MSSQL, o Microsoft Database Engine.
Além disso, o antivirus só protege contra vírus já conhecidos, enquanto surgem mais de 3 novos vírus para o ambiente windows em média, por dia. E as empresas que fazem software antivirus precisam em média de uma semana para atualizar os arquivos de antídotos dos seus clientes, depois que surge um novo vírus. Felizmente, no caso do SQL Slammer, uma nova regra de filtragem nos firewalls bastava a quem ainda não havia sido atingido.
A segunda dimensão é a barreira cultural. Como
conhecer
os riscos e a eficácia, os custos indiretos e os efeitos
colaterais
das possiveis medidas de proteção? É preciso um
mínimo
de conhecimento da tecnologia para se poder filtrar, antes de qualquer
coisa, o discurso dos vendedores de caixas-pretas. Por vários
motivos,
esses vendedores agem como se o seu negócio estivesse acima da
ética
nas relações comerciais e sociais. Basta ler a
licença
de uso de um software proprietário, como o Windows ou o Word,
para
se certificar disso. Se o consultor estiver envolvido no
negócio,
volta-se à estaca zero.
MN: Sim, mas como reunir tudo isso e conseguir a melhor?
Ainda temos a terceira dimensão, que é a
relação
custo/benefício. Cada mecanismo de proteção que se
implementa para neutralizar algum risco, traz novos riscos e
responsabilidades.
Junto à minha coluna no Jornal do Commercio do Rio de 26 de
junho,
por exemplo, pode-se ler notícias de falhas de segurança
em firewalls e antivirus líderes de mercado, tais como o
Security
Check e os Firewalls da Symantec, com o Groupshield da McAfee, com o
Emanager
e o PC-Cillin da Trendmicro.
Tanto esses mecanismos de proteção, quanto os softwares que eles buscam proteger, apresentam curvas de aprendizado e ciclos de atualizações e remendos de complexidade crescente. Não bastasse isso, tais mecanismos sempre apresentam o risco de acusar falsamente uma invasão, ou deixar passar uma invasão por algum mecanismo ainda desconhecido, os chamados falsos positivos e negativos.
Os riscos não acabam nunca: segurança é
apenas
risco aceitável. Há que se encontrar, portanto, uma linha
de equilíbrio entre investimento em proteção e
aceitação
de risco. Uma vez traçada esta linha, uma competência em
segurança
computaconal, livre de agenda oculta, poderá planejar a
integração
racional deste investimento, separando riscos neutralizáveis de
aceitáveis.
MN: O que o usuário pode conseguir em versões gratúitas ou baratas e que sejam confiáveis?
PR: Pode-se conseguir versões gratuitas de
praticamente
qualquer tipo de software de segurança, mas a gratuidade ou o
baixo
custo independe da qualidade. Para a qualidade, mais importante do que
o preço é o modelo de produção e de
negócio
do software.
Nem todo software gratuito é livre, e nem todo software pago é proprietário. Nem todo software de código aberto é livre, mas todo software livre precisa ter código-fonte acessível sem restrições.
O que caracteriza o software livre é o grau de liberdade do usuário em relação a ele. Este grau de liberdade permite, inclusive, que qualquer pessoa com competência em seu manejo, suporte, configuração ou adaptação possa com ele ganhar dinheiro, desde que não seja com licença de uso. Cobrar pela licença de uso cerceia a liberdade de redistribuição, que é o mecanismo de seleção natural do software livre. Software livre é, portanto, tratado por produtores e consumidores mais como linguagem do que como mercadoria, ao contrário do software proprietário.
O que vem tornando a proteção do software proprietário inviável é o seu modelo de negócio. Não deixa de ser curioso observar o discurso da indústria monopolista desse tipo de software, papagaiado pela grande mídia, tratando esse modelo como eterno e imutável, tendo ele surgido há pouco mais de vinte anos, sucedendo um outro modelo de negócio cujos ciclo de ineficácia se esgotava, este por sua vez sucessor de um outro modelo pioneiro e embrionário.
O negócio do software baseado na venda da licença de uso obriga o produtor a programar a sua obsolescência, se quiser se manter no negócio. Porém, essa estratégia torna o software cada vez mais complexo, cheio de penduricalhos de necessidade duvidosa, dificultando o controle da sua qualidade e sua relação custo/benefício. O resultado é a eventual fadiga do modelo.
É natural que exita pouco incentivo à
produção
de software livre para proger software proprietário. E portanto,
pouco software livre de segurança para o ambiente windows. Isto
porque, no mundo do software proprietário, a ecologia da
liberdade
do capital é hostil à liberdade semiológica que
fecunda
o software livre.
MN: Quem faz esses serviços ou oferece esses produtos para esse perfil de usuário doméstico (Trend Micro, Symantec, McAfee, Norton)?
PR: Todas as empresas citadas oferecem produtos e
serviços
para usuários domésticos. Mas o problema é que o
usuário
doméstico, na medida que vem sendo seduzido para transferir,
cada
vez mais, para um computador os seus mecanismos de
interação
social, fica cada vez mais distante de um nível prudente de
compreensão
dos riscos a que se expõe no ciberespaço. E o maior
desses
riscos é achar que existe solução mágica
para
sua incompreensão dos outros riscos, mensagem subliminar na
corrida
pela última versão de tudo que é digital,
promovida
pelo marketing de TI.
O fato é que a eficácia da proteção oferecida por esses mecanismos se torna cada vez mais difícil de ser avaliada, devido à complexificação do ambiente que pretendem proteger.
Veja-se, por uma lado, o exemplo das vulnerabilidades desses próprios mecanismos, e por outro, o motivo da crescente complexidade nos softwares proprietários que requerem proteção desses mecanismos. Boa parte da complexidade desses softwares decorre de mecanismos internos para gerência de direitos autorais, sendo introduzidos para que o dono do software possa controlar, no ambiente onde opera, a validade da licença de uso, base do seu negócio. Enquanto nada disso é necessário no software livre.
A obsolescência do software livre ocorre em ritmo natural, da mudança no perfil de necessidades dos usuários, e não em ritmo artifical, induzido pelo fluxo de caixa do fabricante do software. Enquanto o GNU/Linux, com várias ferramentas de programação e várias interfaces gráficas incluidas, não passa de 7 milhões de linhas de código-fonte, o windows XP tem cerca de 60 milhões. O que isso significa?
Significa que o software proprietário tende a se tornar improtegível. O último remendo de segurança para o Windows XP, por exemplo, ansiosamente aguardado, quando foi finalmente lançado, no final de maio pela Microsoft, teve que ser recolhido depois de meio milhão de downloads, pois estava derrubando as conexões dos usuários quando instalado. Que tipo de segurança é essa? É a segurança do negócio do software, não a do usuário.
É claro que quem opta por software livre também corre riscos. Corre o risco do software escolhido ficar "orfão", isto é, de ninguém mais se interessar em dar-lhe suporte no futuro. Corre o risco de boicotes à interoperabilidade com sistemas proprietários. Ou mesmo de uma guerra suja nos tribunais, por questões turvas e oblíquas do direito autoral, como venho comentando em meus últimos artigos.
Mas com o software proprietário há riscos equivalentes, e talvez ainda mais perniciosos. Se o usuário recusar a enfiar a mão no bolso para submeter-se à obsolescência programada, seu software ficará órfão da mesma forma, e cada vez mais cego do ciberespaço. E pior, seu acervo digital estará oculto em padrões e formatos proprietários, de cujo dono se tornou refém.
Veja o exemplo do serviço de autenticação centralizada vendido pela Microsoft, o Passport. Falhas graves de segurança descobertas e divulgadas no ano passado nesse serviço só foram corrigidas meses depois. Porém, apenas para os usuários da última versao do sistema, o XP. E a licença de uso do XP é como um contrato de aluguel, só que pior, pois o usuário contrata sem saber quanto custará a próxima prestação, nem quando terá que pagá-la, a título de upgrade.
MN: O que o senhor já usou?PR: Eu só uso antivirus com filtro se o sistema é windows, e filtro de pacotes quando o sistema é GNU/linux, mas o administrador das redes onde me conecto certamente usa muito mais. Nem mesmo criptografia eu uso, apesar de ser professor de criptografia e segurança na informática, e orientar projetos no tema, pois considero que o custo/beneficio para as minhas necessidades não compensa.
Minha melhor proteção é navegar e me expor com cautela, evitando riscos desnecessários. Faço imposto de renda à mão porque a declaração digital não autentica o declarante perante terceiros. Porém, em minha opinião, o risco desnecessário mais pernicioso são os aplicativos Microsoft Office, o Internet Explorer e o correio eletronico Exchange.
Esses aplicativos usam dialetos da linguagem de controle de processos do windows, o VBasic, como linguagem de programação para conteúdo ativo. A decisão de incorporar esta linguagem em aplicações em rede aberta teve o efeito prático de apagar a fronteira entre o público e o privado nesses sistemas, tornando-os praticamente indefensáveis.
Em decorrência, vários casos de novas formas de ataque no ambiente windows surgem com frequência, levando quase sempre meses para serem "corrigidos" por remendos ou novas versões, quase sempre precários, com a mesma vulnerabilidade voltando à tona em versões futuras ou após remendos contra outras vulnerabilidades.
A influência da decisão sobre a linguagem de conteúdo ativo sobre essas vulnerabilidades pode ser observada na recorrência quase absoluta de controles ActiveX nos ataques. Foi uma decisão de estratégia comercial, que visava manter a base de programadores do sistema DOS em novas aplicações web. Mas foi também uma decisão que desprezou os riscos dos usuários, que estão agora pagando a fatura desses riscos.
O "sucesso" de uma tal estratégia é privilégio de uma indústria monopolista: nunca encontraria sucesso no mundo do software livre. Mesmo estando no windows, o que faço é evitar ser vítima desta estratégia. Uso o Open Office e o Netscape ou o Mozzilla, para diminuir meus riscos e dependência a softwares de segurança. E se estou no linux, os virus se tornam uma preocupação a menos.
Doutra parte, no contexto atual a certificação digital não é nenhuma panacéia alternativa, como busco esclarecer em vários artigos e palestras (http://www.pedro.jmrezende.com.br/sd.htm), apesar do que digam vendedores de caixas-pretas. Principalmente com a Medida Provisória 2200 em vigor, empurrando praticamente todos os riscos no uso desse mecanismo para o cidadão.
Minha avaliação é a de que o usuário do software proprietário se tornou refém de um processo em que a qualidade dos produtos tende a cair, com os custos e os riscos a subir. Esse processo busca a sobrevida de um modelo de negócio que perde eficácia, mas que promoveu a mais rápida concentração de poder econômico na história da humanidade.
Se a sociedade não quiser, por qual seja o motivo, abandonar esse modelo de negócio hoje predominante, que assuma as consequências. E se alguém quiser palpites sobre as possíveis consequências, que leia além dos analistas de TI, na ficção de George Orwell.