< Jornal Estado de Minas >
03/10/2002
<
Divulgar
falhas de segurança >
< pode ser crime
>
|
< Jornal Estado de Minas >
|
|
|
|
03/10/2002
|
<
Divulgar
falhas de segurança > |
|
Artigo publicado no suplemento Informátic@ do Estado de Minas em 03/10/2002 Não existe programa ou sistema operacional sem falhas. As mais temidas são as "falhas de segurança", que pessoas mal intencionadas usam para alterar ou ter acesso a dados, arquivos ou configurações de computadores alheios. A maioria dessas falhas é detectada por "hackers", especialistas em computação que passam a vida (ou a maior parte dela) fuçando programas. Quando quem descobre a falha é um hacker "do bem" (nos EUA conhecidos por "white hat", ou "chapéu branco"), ele informa os responsáveis pelo software que, então, providenciam a correção. Quando quem se depara com a falha é um hacker "do mal" ("black hat", ou chapéu preto), ele a mantém em segredo ou a divulga apenas entre seus pares que, até que ela se torne pública, provocam estragos consideráveis desenvolvendo vírus que dela se aproveitam. Muitas
vezes, no entanto, essas falhas são descobertas por profissionais
ou usuários avançados não ligados a empresas de
segurança de software como a maioria dos "white hats", mas cujo
caráter os impede de se aproveitar desse conhecimento para tirar
proveito ou prejudicar os outros, como os "black hats". Eles são
conhecidos como "gray hats" (chapéus cinzentos). Quando um deles
descobre uma vulnerabilidade, participa a descoberta aos desenvolvedores
do software, instando-os a corrigi-la. Mas se a correção
demorar ou o aviso for ignorado, eles tornam a falha pública
com o objetivo de forçar a empresa responsável a tomar
providências. Um esquema que funciona razoavelmente mas que está
ameaçado de desmoronar. Porque, devido à redação
confusa da DMCA ("Digital Millenium Copyright Act"), uma lei aprovada
pelo congresso americano em 1998 para proteger a propriedade intelectual
(veja texto em Acontece que um dos artigos da DMCA, mais especificamente o 1201, trata da violação de esquemas de proteção e dispõe que "ninguém deve fabricar, importar, oferecer ao público, prover ou, de qualquer outra forma, dar acesso a qualquer tecnologia, produto, serviço, dispositivo, componente ou peça concebida com o principal propósito de burlar uma medida tecnológica que efetivamente controle o acesso a uma obra protegida por esta lei". Até agora esse artigo tem sido usado por empresas de entretenimento para reprimir a distribuição de programas que "destravam" a proteção de DVDs ou livros eletrônicos criptografados. Mas, da forma como foi redigida, a lei permite interpretações que, como veremos, pode gerar resultados desastrosos para os usuários. Há cerca de dois meses um membro da SNOSoft, (Secure Network Operations, uma pequena empresa americana de segurança de redes), usando o codinome "Phaser", enviou para o SecurityFocus (<www.securityfocus.com/>), uma lista especializada na discussão detalhada de falhas de segurança de software da Bugtraq, uma nota denunciando uma falha no Tru64 Unix, um sistema operacional da HP. Quem a conhecesse poderia invadir o sistema e conquistar privilégios de administrador. Para comprovar a falha, Phaser anexou um programeto que demonstrava como isso poderia ser feito. Segundo um dos responsáveis pela SNOSOft, quando o programa foi publicado a falha já havia sido comunicada à HP há meses e nada havia sido feito para eliminá-la. Portanto, o procedimento de Phaser era o procedimento padrão dos "gray hats". O problema é que a HP - mais particularmente seu vice-presidente da unidade de sistemas Unix, Kent Ferson - não concordou com isso. E enviou uma carta ameaçando os membros da SNOSoft com uma multa de meio milhão de dólares e pena de prisão por até cinco anos caso não prestassem a devida cooperação para remover a denúncia da lista do SecurityFocus e impedir qualquer divulgação futura, acrescentando que a falta de cooperação seria encarada como prova de má fé. E baseava as ameaças justamente no artigo 1201 da DMCA. Foi a primeira
vez que o artigo era utilizado para impedir a divulgação
do resultado de pesquisas sobre falhas de segurança em sistemas
de software alegando que a publicação do programa que
comprova a vulnerabilidade (indispensável para validar a pesquisa)
viola a lei, já que "divulga algo desenvolvido com o principal
propósito de burlar uma medida tecnológica que controla
o acesso a uma obra protegida". Se a HP levar o caso adiante ou convencer
o Governo Americano a processar a SNOSoft pelas razões alegadas,
será aberto um precedente legal que sujeitará a multa
e prisão quem divulgar qualquer falha de segurança em
programas ou sistemas operacionais (veja artigo de Declan McCullagh
em A repercussão
da atitude da HP na comunidade informata foi péssima. Uma síntese
dela pode ser encontrada no comentário de Geoff Greene em uma
lista de discussão sobre o assunto. Diz ele: "Carros que explodem,
cigarros que causam câncer, brinquedos com peças que podem
ser engolidas, seja qual for a indústria, se você fabricar
um produto com falhas, pode apostar que alguém vai lhe processar
e sair do tribunal com uma pilha de seu dinheiro. E se você tentar
alguma retaliação contra quem apontar uma falha em seu
produto, pode ficar certo que será processado. A não ser
que... você desenvolva software" (veja o comentário completo
na seção "TalkBack" do artigo "When is hacking a crime?"
de Robert Lemos em Se a moda pega, a coisa fica séria. Até agora, a maior ajuda com que os usuários leigos contavam para obrigar as corporações a corrigir falhas de segurança em seus sistemas eram as denúncias dos hackers "do bem". Se elas forem proibidas, estaremos nas mãos dos hackers "do mal", que certamente descobrirão as vulnerabilidades e se aproveitarão delas. Os desdobramentos disso são imprevisíveis. Mas os indícios não apontam para um final feliz. Para ter uma idéia, tente uma visita ao sítio da SNOSoft, em <www.snosoft.com>. Há alguns dias, quando comecei a coletar material para este artigo, ele estava no ar firme e forte. Já hoje minha tentativa resultou na conhecida mensagem de erro "A página não pode ser exibida". Que fim ela levou, não sei. Mas os presságios não são dos melhores... (Os atalhos ("links") incluídos neste artigo podem ser encontrados na seção Escritos desta semana do Sítio do B.Piropo, em <www.bpiropo.com.br>).
B. Piropo |