Segurança é maior em sistemas livres
APor que um
usuário prefere adquirir um programa de computador mais caro,
mais vulnerável aos ataques de vírus e com um sistema de
segurança duvidoso? Segundo os defensores do software livre
simplesmente pela "força da marca" que um produto tem e outro
não.
A
aceitação crescente de países como o Brasil ao
software livre desencadeia duas discussões principais: uma sobre
a segurança desses softwares; a outra sobre os ataques de
vírus. No caso de programas do governo que tratam
informações sigilosas, assim como bancos e empresas,
Antonio Marcelo, especialista em segurança em GNU/Linux, afirma
ser mais seguro usar software livre, pois é possível
modificar o sistema de acordo com as necessidades de cada um. Já
quando se usa um software com o código fonte fechado ou
proprietário, o usuário não tem
informações sobre o programa, que seria uma verdadeira
"caixa-preta". "Imaginemos que um país que rode software
proprietário americano entre em guerra contra os EUA. Quem
garante que lá dentro não tem um backdoor [falha de
segurança que permite o controle da máquina pela
internet], ou que o mesmo não pode ser atacado por um tipo de
vírus desenvolvido pelo fabricante deste software, tornando-o
inoperante?", questiona Marcelo.
De acordo com Marcelo isso
não aconteceria com o software livre, já que o código
está aberto e as falha são identificáveis.
Um dos pontos de vantagem de usar o software livre é o fato
de existir milhares de pessoas checando o código em busca
de problemas de programação insegura. No entanto,
Marcelo garante que existe um ponto ainda mais importante. "Com
o código aberto eu posso fazer o que eu quiser, inclusive
criar uma versão customizada [adaptada] do sistema que um
hacker, ou qualquer tipo de invasor, não tenha acesso", explica
Marcelo.
Esta opinião
não é compartilhada pelo gerente de Estratégia
de Mercado da Microsoft Brasil, Eduardo Campos. Ele questiona se
o fato de um software ter seu código fonte aberto é
um bom parâmetro para se avaliar segurança. Campos
conta que foi feito um estudo com o Linux e Windows pelo Instituto
de Pesquisas Forrester Research onde foram analisados a vulnerabilidade
dos dois sistemas, no período entre junho de 2002 e maio
de 2003. “A Microsoft mostrou o melhor trabalho em atualizar
vulnerabilidades rapidamente e ficou com 25 dias de risco, enquanto
Linux Red Hat e Debian empataram em segundo, com 57 dias vulneráveis.
O Windows liderou em vulnerabilidades que receberam atualizações:
todos os 128 problemas sérios encontrados mereceram consertos.
A Red Hat veio em segundo, com 99,6% de atualizações
em falhas graves”, informa Campos.
O gerente
da Microsoft entende que é necessário preservar o
código fonte para garantir suporte e compatibilidade. Porém
ele afirma que em alguns casos especiais é possível
abri-lo para inspeção. “A
Microsoft permite isso e já adotou essa medida no Brasil,
por exemplo, quando o governo brasileiro e os partidos políticos
puderam auditar o código de 50.000 urnas eletrônicas
baseadas no Windows CE”, informa Campos. O uso das urnas eletrônicas
no sistema eleitoral brasileiro é um bom exemplo. Hoje esse
sistema roda com uma combinação entre um sistema desenvolvido
pelo Tribunal Superior Eleitoral (mas que também é
fechado) e um sistema operacional proprietário (veja reportagem publicada).
Em 2002, os técnicos
do TSE e dos partidos tiveram cinco dias para inspecionarem as mais
de 2 milhões de linhas de código do Windows CE presente
nas urnas.
Porém,
para Marcelo, seria mais seguro usar uma tecnologia que não
estivesse nas mãos de poucos. "O uso do software aberto é
mais seguro, pois a tecnologia não depende de terceiros. Como
acontece com alguns bancos, a chave da segurança não fica
na mão do fabricante do software e sim do próprio banco",
argumenta. Ele afirma que ainda temos uma barreira para vencer nesses
dois casos, os mais polêmicos atualmente. "No caso dos bancos
temos alguns como no Rio Grande do Sul, que utilizam Linux na parte
administrativa e existem vários bancos de investimentos (que
não posso citar por sigilo profissional), que utilizam software
livre em sua estrutura de segurança de Internet", conta Marcelo.
Em artigo, o professor de Ciência da
Computação da Universidade de Brasília, Pedro
Antonio Dourado de Rezende, expõe os motivos que fizeram
países como a França e a China trocarem seus fornecedores
de software. As relações geopolíticas entre os
países são potencialmente conflituosas, e esses dois
países tornaram públicas as denúncias de
espionagem industrial e militar. Dourado afirma que, se pensarmos em
termos estratégicos, e, por exemplo, alguém no governo
brasileiro especificar o uso do Windows XP para o Sistema de
Vigilância da Amazônia (Sivam) deveria ser processado e
condenado por traição, "se a constituição for levada à sério".
Um outro assunto que merece
atenção quando se fala em softwares e, está
diretamente relacionado com a segurança, são os ataques
de vírus em software livre. De acordo com Rezende, o servidor
de páginas web mais utilizados no mundo é um software
livre, o Apache. O IIS da Microsoft, equivalente proprietário,
ocupa um terço do mercado que o Apache alcança. Segundo
dados estatísticos do Computer Emergency Response Team (CERT),
a grande maioria dos ataques bem sucedidos a servidores web - cerca
de 80% - vitimam o IIS. "O Gartner Group chegou a recomendar, em
2001, que as empresas não usassem o IIS", conta Rezende.
Para ir ainda um pouco mais longe com a discussão sobre a
segurança, é falso afirmar que os softwares livres
são poucos comuns. Entre os que funcionam como clientes nos
desktops, os softwares proprietários
são mais comuns, mas entre os softwares que funcionam como
servidores da internet, ocorre o contrário. O Apache é
responsável por 62% das instalações, enquanto
que o IIS apenas 20%.
Os softwares
livres têm sua arquitetura voltada não apenas para
facilitar a distribuição e evolução
modular, mas para evitar as armadilhas de outros softwares que
comprometam o seu funcionamento. Os vírus que atacam a internet
não infectam as máquinas com GNU/Linux pois teriam muito
mais trabalho a fazer. Dessa forma os vírus teriam que ser
implantados, pela ação humana. "Infecção
automática do GNU/Linux, da forma como acontece no Windows,
ainda é lenda urbana. As falhas de segurança em ambiente
Linux, Unix e outros semelhantes, em 99% dos casos são falta de
atenção, ou mesmo incompetência dos administradores
de rede", critica Rezende.
Para Campos, da Microsoft,
a existência de vírus é diretamente
proporcional ao número de usuários que utiliza um
sistema operacional. Ele explica que o Windows, por ter milhões
de usuários em todo o mundo, é um alvo preferencial.
No caso do Linux, o seu baixo uso em desktops resulta em baixa atratividade
para o desenvolvimento de vírus. Para ele, a própria
gênese do software livre torna-o mais vulnerável, pois
permite que hackers possam encontrar e explorar vulnerabilidades
com mais facilidade. Marcelo acredita que existirão
vírus no futuro que virão para o Linux. “Os
vírus para Linux serão uma questão de tempo”,
acredita. “Eles serão mais elaborados e mais inteligentes,
com recursos de polimorfismo e que se baseiem em falhas mais complexas
do sistema operacional”, enfatiza Marcelo.
Por enquanto, o
software livre, além de mais seguro, apresenta uma maior
imunidade aos ataques de vírus, pois os interesses que movem
aqueles que programam não avançam quando se opõem
aos interesses dos usuários. Com a característica de um
movimento social (des)organizador, os programadores de software livre
formam redes em que a segurança dos usuários sempre
é o foco. "Se o software é ruim a comunidade mata, se for
bom viceja, com ou sem investimento de risco", conclui Dourado.
(AG)
|