Reportagens






 

Segurança é maior em sistemas livres

APor que um usuário prefere adquirir um programa de computador mais caro, mais vulnerável aos ataques de vírus e com um sistema de segurança duvidoso? Segundo os defensores do software livre simplesmente pela "força da marca" que um produto tem e outro não.

A aceitação crescente de países como o Brasil ao software livre desencadeia duas discussões principais: uma sobre a segurança desses softwares; a outra sobre os ataques de vírus. No caso de programas do governo que tratam informações sigilosas, assim como bancos e empresas, Antonio Marcelo, especialista em segurança em GNU/Linux, afirma ser mais seguro usar software livre, pois é possível modificar o sistema de acordo com as necessidades de cada um. Já quando se usa um software com o código fonte fechado ou proprietário, o usuário não tem informações sobre o programa, que seria uma verdadeira "caixa-preta". "Imaginemos que um país que rode software proprietário americano entre em guerra contra os EUA. Quem garante que lá dentro não tem um backdoor [falha de segurança que permite o controle da máquina pela internet], ou que o mesmo não pode ser atacado por um tipo de vírus desenvolvido pelo fabricante deste software, tornando-o inoperante?", questiona Marcelo.

De acordo com Marcelo isso não aconteceria com o software livre, já que o código está aberto e as falha são identificáveis. Um dos pontos de vantagem de usar o software livre é o fato de existir milhares de pessoas checando o código em busca de problemas de programação insegura. No entanto, Marcelo garante que existe um ponto ainda mais importante. "Com o código aberto eu posso fazer o que eu quiser, inclusive criar uma versão customizada [adaptada] do sistema que um hacker, ou qualquer tipo de invasor, não tenha acesso", explica Marcelo.

Esta opinião não é compartilhada pelo gerente de Estratégia de Mercado da Microsoft Brasil, Eduardo Campos. Ele questiona se o fato de um software ter seu código fonte aberto é um bom parâmetro para se avaliar segurança. Campos conta que foi feito um estudo com o Linux e Windows pelo Instituto de Pesquisas Forrester Research onde foram analisados a vulnerabilidade dos dois sistemas, no período entre junho de 2002 e maio de 2003. “A Microsoft mostrou o melhor trabalho em atualizar vulnerabilidades rapidamente e ficou com 25 dias de risco, enquanto Linux Red Hat e Debian empataram em segundo, com 57 dias vulneráveis. O Windows liderou em vulnerabilidades que receberam atualizações: todos os 128 problemas sérios encontrados mereceram consertos. A Red Hat veio em segundo, com 99,6% de atualizações em falhas graves”, informa Campos.

O gerente da Microsoft entende que é necessário preservar o código fonte para garantir suporte e compatibilidade. Porém ele afirma que em alguns casos especiais é possível abri-lo para inspeção. “A Microsoft permite isso e já adotou essa medida no Brasil, por exemplo, quando o governo brasileiro e os partidos políticos puderam auditar o código de 50.000 urnas eletrônicas baseadas no Windows CE”, informa Campos. O uso das urnas eletrônicas no sistema eleitoral brasileiro é um bom exemplo. Hoje esse sistema roda com uma combinação entre um sistema desenvolvido pelo Tribunal Superior Eleitoral (mas que também é fechado) e um sistema operacional proprietário (veja reportagem publicada).

Em 2002, os técnicos do TSE e dos partidos tiveram cinco dias para inspecionarem as mais de 2 milhões de linhas de código do Windows CE presente nas urnas.

Porém, para Marcelo, seria mais seguro usar uma tecnologia que não estivesse nas mãos de poucos. "O uso do software aberto é mais seguro, pois a tecnologia não depende de terceiros. Como acontece com alguns bancos, a chave da segurança não fica na mão do fabricante do software e sim do próprio banco", argumenta. Ele afirma que ainda temos uma barreira para vencer nesses dois casos, os mais polêmicos atualmente. "No caso dos bancos temos alguns como no Rio Grande do Sul, que utilizam Linux na parte administrativa e existem vários bancos de investimentos (que não posso citar por sigilo profissional), que utilizam software livre em sua estrutura de segurança de Internet", conta Marcelo.

Em artigo, o professor de Ciência da Computação da Universidade de Brasília, Pedro Antonio Dourado de Rezende, expõe os motivos que fizeram países como a França e a China trocarem seus fornecedores de software. As relações geopolíticas entre os países são potencialmente conflituosas, e esses dois países tornaram públicas as denúncias de espionagem industrial e militar. Dourado afirma que, se pensarmos em termos estratégicos, e, por exemplo, alguém no governo brasileiro especificar o uso do Windows XP para o Sistema de Vigilância da Amazônia (Sivam) deveria ser processado e condenado por traição, "se a constituição for levada à sério".

Um outro assunto que merece atenção quando se fala em softwares e, está diretamente relacionado com a segurança, são os ataques de vírus em software livre. De acordo com Rezende, o servidor de páginas web mais utilizados no mundo é um software livre, o Apache. O IIS da Microsoft, equivalente proprietário, ocupa um terço do mercado que o Apache alcança. Segundo dados estatísticos do Computer Emergency Response Team (CERT), a grande maioria dos ataques bem sucedidos a servidores web - cerca de 80% - vitimam o IIS. "O Gartner Group chegou a recomendar, em 2001, que as empresas não usassem o IIS", conta Rezende. Para ir ainda um pouco mais longe com a discussão sobre a segurança, é falso afirmar que os softwares livres são poucos comuns. Entre os que funcionam como clientes nos desktops, os softwares proprietários são mais comuns, mas entre os softwares que funcionam como servidores da internet, ocorre o contrário. O Apache é responsável por 62% das instalações, enquanto que o IIS apenas 20%.

Os softwares livres têm sua arquitetura voltada não apenas para facilitar a distribuição e evolução modular, mas para evitar as armadilhas de outros softwares que comprometam o seu funcionamento. Os vírus que atacam a internet não infectam as máquinas com GNU/Linux pois teriam muito mais trabalho a fazer. Dessa forma os vírus teriam que ser implantados, pela ação humana. "Infecção automática do GNU/Linux, da forma como acontece no Windows, ainda é lenda urbana. As falhas de segurança em ambiente Linux, Unix e outros semelhantes, em 99% dos casos são falta de atenção, ou mesmo incompetência dos administradores de rede", critica Rezende.

Para Campos, da Microsoft, a existência de vírus é diretamente proporcional ao número de usuários que utiliza um sistema operacional. Ele explica que o Windows, por ter milhões de usuários em todo o mundo, é um alvo preferencial. No caso do Linux, o seu baixo uso em desktops resulta em baixa atratividade para o desenvolvimento de vírus. Para ele, a própria gênese do software livre torna-o mais vulnerável, pois permite que hackers possam encontrar e explorar vulnerabilidades com mais facilidade. Marcelo acredita que existirão vírus no futuro que virão para o Linux. “Os vírus para Linux serão uma questão de tempo”, acredita. “Eles serão mais elaborados e mais inteligentes, com recursos de polimorfismo e que se baseiem em falhas mais complexas do sistema operacional”, enfatiza Marcelo.

Por enquanto, o software livre, além de mais seguro, apresenta uma maior imunidade aos ataques de vírus, pois os interesses que movem aqueles que programam não avançam quando se opõem aos interesses dos usuários. Com a característica de um movimento social (des)organizador, os programadores de software livre formam redes em que a segurança dos usuários sempre é o foco. "Se o software é ruim a comunidade mata, se for bom viceja, com ou sem investimento de risco", conclui Dourado.

(AG)

 
Anterior Proxima
Atualizado em 10/06/2004
http://www.comciencia.br
contato@comciencia.br

© 2003
SBPC/Labjor
Brasil