12.11.06

A Mágica dos Números

Publicado na coluna Segurança, Bits & Cia do Jornal do Commercio em 28/02/02
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
26 de Fevereiro de 2002

Números explicam qualquer coisa. Exemplo: alguém com a cabeça no freezer e os pés em água fervente estaria sem febre, com temperatura média de 36 graus. Há três semanas a INFO Online (portal UOL, 6/2/02) deu eco a um curioso e semelhante diagnóstico sobre a saúde de sistemas operacionais, ao sintetizar o último relatório do portal SecurityFocus sobre o tema.

Soma as vulnerabilidades "apresentadas" ano passado por dois modelos do Windows (2000 e NT), 42, e as compara com as de quatro distribuições Linux: 96. Pela primeira vez estes números anuais são menores para os sistemas de Redmond. Titula-se então a matéria com a provocante pergunta: "Linux é mais vulnerável que Windows?" E como comparações entre ambos "sempre resultam em polêmica", convida-se o leitor "linuxista" ao debate, redimindo-se do resvalo no sofisma em direção a uma bombástica e subliminar mensagem.

Será mais proveitoso respondê-la antes aqui, e mais charmoso nos chamarem de pingüinistas. A polêmica resulta de confusões sobre o que se compara. Mais do que dois sistemas operacionais equivalentes, se comparam dois modelos antagônicos de produção e negócio do software. Minha definição favorita de software diz tratar-se do mistério da virtualíssima trindade. Para seu produtor (pai) é propriedade intelectual. Para seu usuário (filho) é inteligência intermediadora. E no ciberespaço é a lei. Um modelo toma partido do pai (proprietário) e outro do filho (livre), para exercerem seu poder no mundo dos símbolos. A quem o papel do software na revolução digital não esteja nítido, tal confronto ideológico se parece com birra emotiva ou escolha de cerveja. Não é.

"Vulnerabilidade do software" é simplismo abusivo. Software não vulnera. Vulnera quem tem com ele algo a perder, quer no seu negócio, no seu uso ou nas conseqüências de ambos. Software é logica. A que protege o produtor pode vulnerar o usuário, ou vice-versa, e a que protege sua interoperabilidade pode vulnerar ambos, por vias distintas. Ricas respostas devem distinguir esses modelos e as formas como engendram e "apresentam" suas vulnerabilidades. E como neles tais falhas são reconhecidas, debatidas, explicadas e corrigidas. Já as pobres ignoram distinções no ciclo de vida do software, nascidas de estratégias opostas em relação ao seu código-fonte, comparável a seu código genético e a seu canal de consciência, pelo qual é criado e pelo qual sua lógica se expõe à inteligência humana.

Entre o número 42, o 96 e aquele título, cabe mensagem oculta: todas as falhas são iguais. Gatos pardos? Depois do Code Red provocar danos entre 8 e 15 US bilhões explorando falha no seu servidor web, o IIS, Scott Culp da Microsoft lançou um manifesto: Basta de "anarquismo digital!" Luz sobre esses gatos só beneficia hackers e vândalos. Só o produtor e um grupo seleto de empresas de segurança deveriam ser avisados.

Mais um monopólio?. Entretanto, softwares livres como Linux, Apache e SendMail evoluem através de exaustivos e abertos debates entre colaboradores. A própria internet surgiu assim. Culp quer criminalizar o modelo que compete com o seu, mas é no seu que, via de regra, se ignoram, se negam, e depois se obscurescem falhas reportadas. Como aquela por trás do vírus ILoveYou, detectada com o Melissa e ignorada na ocasião, talvez por ter sido decisão de projeto em deliberada violação de RFCs do IETF. Resultado: leis Orwellianas (DMCA, UCITA), censura antidifamatória em licenças de uso (Frontpage 2002), ameaças e prisões de pesquisadores acadêmicos em segurança computacional (Felten, Sklyarov), e agora o OIS (veja artigo " Companhias formam grupo para criar padrões de segurança", do Jornal do Commercio de 26/02).

E os efeitos colaterais? Afinal, no mundo do Linux, quem já pegou vírus? No do Windows as cepas já passam de 7 mil. Ou quem se expôs a falhas que ficaram mais de uma semana em debate sem patch de correção disponível? No do Windows há as que ficam mais de ano e as que batem bola com séries de patches. Onde está mesmo o perigo do debate livre? Talvez na camuflagem do mais sujo segredo do modelo proprietário: a segurança do seu negócio se choca com a do usuário. Como exemplo, falhas no protocolo Passport lhe apresentam riscos mais nefastos que qualquer outro desses gatos pardos.

Link para refêrencia