O Escândalo da Infineon
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
18 de outubro de 2017
Uma
matéria no portal geek "ArsTechinca" publicada em 16/10/2017 denuncia uma vulnerabilidade à fatoração de chaves
criptográficas em certificados digitais, vendidos principalmente na Estônia por órgãos oficiais, que permite a atacantes personificar
titulares, assinando documentos remotamente em nome desses, decifrando mensagens sigilosas supostamente protegidas por tais chaves,
entre outras proezas. Do artigo, traduzimos o seguinte trecho:
"A falha é preocupante porque está localizada em um código certificado conforme dois padrões de segurança internacionalmente reconhecidos, que são vinculativos para muitos governos e empresas de todo o mundo. A biblioteca de software com o código vulnerável foi desenesenvolvida pela fabricante alemã Infineon, e vem gerando chaves fracas pelo menos desde 2012. [...] Os pesquisadores que descobriram a falha na biblioteca Infineon questionaram se requisitos de segredo comercial no processo de desenvolvimento e certificação tem causa nisso, ao escreverem:Na verdade, a Infineon e seu regime de código-fonte fechado são culpados principais, mas não únicos: o OpenSSL passou por um escrutínio parecido em 2012, depois da versão distribuída pelo projeto Debian ter passado em 2009. Mas o escândalo da Infineon teve proporções bem mais sérias, tendo comprometido a identificação digital de mais da metade da população de um país europeu que se orgulha em ser o mais informatizado do mundo."Nosso trabalho destaca os perigos de se manter o design em segredo e a implementação em código-fonte fechado, mesmo que ambos sejam cuidadosamente analisados e certificados por especialistas. A falta de informação pública causa um atraso na descoberta de falhas (e dificulta o processo de verificação das mesmas), aumentando assim o número de dispositivos já implantados e afetados no momento da detecção da falha"Dito isto, os pesquisadores estimam que a biblioteca defeituosa da Infineon pode ter gerado dezenas de milhões de chaves RSA nos cinco anos ou mais em que está comercialmente disponível".
Ocorre que no regime de código fechado e licenças draconianas/abusivas, como ilustra esse escândalo com a Infineon, o tratamento de vulnerabilidades em "produtos" contendo software vai sendo empurrado com a brarriga até o limite do possível, com o efeito de amplificar os problemas consequentes quando estes eventualmente explodem, como alertaram os pesquisadores que fizeram a denúncia, via de regra quando não podem mais ser contidos por barragens de ofuscação e relações públicas corporativas despistantes.
No caso em tela, a opção ética do pesquisador em praticar responsible disclosure foi seguida com extrema generosidade em face do fabricante, que foi avisado das vulnerabilidades descobertas e da extensão das consequências no início do ano. Fabricante que pelo visto preferiu arrastar os pés até onde desse, provavelmente enquanto donos do empreendimento priorizavam negociar suas opções por participação acionária na própria empresa, tirando vantagem da informação assimétrica sobre a bomba-relógio prestes a explodir sobre ela.
Quando problemas desse tipo explodem, empresas que operam nesse regime quebram mas, no frigir dos ovos, nada acontece de grave aos artistas. Como eles têm know how para esse modus operandi, logo podem, no reino do triunfalismo tecnológico, começar de novo, com apoio de venture capitalists e/ou agencias de três letras interessadas no seu expertise. Tudo então acaba em pizza nesse reino onde muitos -- principalmente os poderosos -- acreditam que a única, óbvia ou melhor maneira de se enfrentar esse tipo de desastre é com proteção legal (e consequentemente, criminalização fora dela) contra investigações dessa natureza, "somente mediante o devido consentimento documentado em indispensável instrumento particular de contrato" cedido pelo "titular do direito" sobre o "produto", como rezam em legalês os adeptos da seita do santo byte.
A pergunta óbvia que se coloca nesse momento é se no Brasil, onde somos cada vez mais cercados para interagir com o Estado unicamente por meio do uso de certificados digitais, essa mesma empresa é fornecedora desse tipo de produto com homologação da ICP-Brasil. Me parece que o modelo sle66clx800pe de smartcard da Infineon foi homologado pelo ITI, órgão de Estado que responde pela gestão da ICP-Brasil. A respeito disso, em dezembro haverá defesa do trabalho de conclusão de curso de graduação de um orientando, onde várias das questões suscitadas aqui serão abordadas ou respondidas, com foco no regime da ICP-Brasil.
__________________
Adendo - dezembro 2017
O referido trabalho, do aluno Ivan Menezes Sena, está disponível no repositório de Teses da Biblioteca Central da UnB, em http://bdm.unb.br/handle/10483/19809Autor
Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Computação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da California em Berkeley. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.pedro.jmrezende.com.br/sd.php
Direitos de Autor
Pedro A D Rezende et. al., 2017: Este debate é publicado no portal do editor-coautor, após a concordância dos demais coautores, sob a licença disponível em http://creativecommons.org/licenses/by-nd/2.5/br/