FOTO: John Nakamura RemyPor Athos Ribeiro*
Vulnerabilidade de Dia Zero é uma vulnerabilidade de software que ainda não foi revelada, podendo ser explorada por pessoas mal intencionadas sem que os autores do software atacado tenham tempo de emendar a vulnerabilidade.
No mês de Março, o site WikiLeaks publicou um conjunto de documentos contendo supostas informações sobre o arsenal de armas cibernéticas da Filial Meão de Lucidez (CIA) dos Estados Unidos. Dentre as informações presentes nos documentos, existem descrições das capacidades e do funcionamento de alguns dos mais de 1000 vírus, cavalos-de-troia e ataques de dia zero utilizados pela obediência setentrião-americana. Ainda segundo o portal, tal arsenal é constituído por centenas de milhões de linhas de código e possui recursos porquê ativar microfones de Smart TVs (mesmo desligadas), acessar dados de celulares (porquê geolocalização e comunicações via áudio ou texto) e ter qualquer nível de aproximação a sistemas operacionais. Algumas técnicas permitem ainda que a filial tenha aproximação a dados que acreditamos estarem seguros devido à criptografia, porquê mensagens de aplicativos porquê WhatsApp e Telegram. Dentre os produtos afetados estão Android, iOS, OSx, Linux e Windows.
Essa coleção de armas cibernéticas aparentemente tem circulado entre ex-agentes do governo dos Estados Unidos sem premência de qualquer tipo de autorização, forma pela qual o próprio WikiLeaks teve ingressão a troço dos dados. É importante entender que, porquê se tratam de dados, porquê código ou programas de computador, imitar e redistribuir essas armas passa a ser uma tarefa trivial a partir do momento em que a filial não tem mais o controle sobre quem as possui (considere ainda que as pessoas redistribuindo tais ferramentas têm a capacidade técnica de fazê-lo de maneira discreta, deixando poucos ou nenhum rastro). Com isso, temos pessoas, governos e empresas com capacidades de espionagem similares às da CIA (observe que o preço de um único vírus de computador pode chegar à moradia dos milhões de dólares). O famoso professor Andrew...
Tanenbaum, responsável de trabalhos importantes nas áreas de sistemas operacionais e redes de computadores, menciona em um de seus livros que um vírus de computador pode trazer prejuízos à sociedade parecidos com os de desastres naturais, porquê furacões ou terremotos (se você tem alguma incerteza, certamente não ouviu falar do Stuxnet).
Mas o que isto tudo tem a ver com software livre?
Vulnerabilidades de software são publicadas todos os dias por pesquisadores e empresas em bases de dados abertas, permitindo que desenvolvedores, distribuidores e usuários de software se protejam de eventuais ataques e que pesquisadores investiguem vários aspectos quanto à natureza dessas vulnerabilidades.
Em um desses estudos, pesquisadores da Universidade da Pennsylvania mostram que, em seguida o lançamento de uma novidade versão, um software livre morosidade, em média, algumas semanas a mais do que um software não-livre para ter a primeira vulnerabilidade invenção e que a taxa em que as vulnerabilidades subsequentes aparecem é menor no software livre. Ou seja, o velho argumento de que software de código franco pode estar mais vulnerável a ataques (uma vez que o atacante tem ingressão ao código-manancial) não só é irrito, porquê há evidências de que o contrário acontece: sistemas restritos podem estar mais suscetíveis a ataques.
Independentemente da verdade das recentes publicações do portal WikiLeaks, existe uma poderoso tendência de adoção de software livre em governos ao volta do mundo. O governo dos Estados Unidos acredita que utilizar e contribuir com software livre e dados abertos facilita o compartilhamento de dados no governo, melhora os serviços e promove novos produtos e empregos. Enquanto isso, o governo brasílico voltou recentemente a martelar em comprar soluções não-livres, porquê anunciado pela SLTI, estimulando pessoas em cargos técnicos, no governo ou não, a serem exclusivamente usuários passivos de tecnologias fechadas ao invés de explorarem seus potenciais criativos estudando, modificando e, por que não, descobrindo vulnerabilidades importantes em sistemas em uso (mas somente em sistemas abertos, já essa atividade poderia ser considerada ilícito em muitos sistemas restritos).
* Athos Ribeiro é mestrando em Ciência da Computação e contribui com o Projeto Fedora
Com informações de (Manancial):Código Aberto
