http://www.cic.unb.br/~rezende/sd.htm > Riscos: ciberespaço

Futuro da Segurança no Ciberespaço

Entrevista ào jornalista Marcos Coronato,
Para reportagem na Revista Estadão Investimentos - Março de 2006

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
20 de Janeiro de 2006



Marcos Coronato: 1. Tende a se popularizar o uso de equipamentos portáteis para realizar transações financeiras. A tecnologia existente garante que esses dispositivos (celulares e outros equipamentos conectados à Internet e a grandes redes locais sem fio) oferecem tanta segurança quanto seus equivalentes não portáteis, como computadores e telefones fixos, conectados às redes por cabos?

Pedro Rezende: Redes sem fio são mais difíceis de se proteger devido a dois fatores: a mobilidade e a natureza etérea do meio de transmissão. A proteção de uma rede sem fio, montada com produtos do varejo, precisa começar por um mecanismo robusto de autenticação. Isto, de um lado, demanda sistemas criptográficos e operacionais sadios sob administração competente, enquanto, de outro lado, acaba por restringir em larga escala a mobilidade, sua vantagem prática.

O problema se agrava quando os clientes da rede usam softwares de um único fornecedor cujo modelo de licença trata a implementação das tecnologias de proteção como segredo de negócio. Esse tipo de rede constitui maioria, compondo o problema pela via de efeitos semelhantes aos que ocorrem em monoculturas. Esses efeitos não são meramente especulativos. Foram objeto de estudo de um grupo de competentes especialistas, cujo relatório, "
The cost of monopoly" [1], apesar de amplamente debatido em círculos de especialistas, ganhou atenção quase nula na mídia corportativa.

O que é lamentável, pois, conceitualmente, segurança é percepção. Percepção de que certa atividade ocorre sob níveis aceitáveis de risco, filtrada por uma componente irracional importante, o medo. Há os que preferem tratar esta percepção como senso comum, ou mesmo assunto de marketing, mas o profissional da segurança que se preza deve lastreá-la na mensuração de riscos. Num cenário monoculturista, fica deveras difícil estabelecer medidas confiáveis de risco, e a qualidade do trabalho de proteção tende a se degradar na relação custo/benefício, ou a nivelar-se por baixo.

Para citar um exemplo, a fabricante do sistema operacional usado em mais de 50% dos computadores de usuários finais (Windows XP) acaba de confirmar uma vulnerabilidade local grave no serviço Wi-Fi (conexão a rede sem fio) desse sistema, descrita por Mark Loveless na última conferência ShmooCon, que pode expor usuários de laptops a invasão por bisbilhoteiros invisíveis mas que só será corrigida talvez daqui a um ano e meio [2].

É claro que esse tipo de vulnerabilidade se dissolve nas estatísticas com que o fabricante alega a segurança do produto, e portanto, também na zona de conforto dos usuários que nela confiam cegamente, mas cabe a pergunta: Por que tanto tempo até a correção de uma falha tão grave? Só podemos saber na medida do que nos é dado conhecer.

Esta vulnerabilidade no serviço Wi-Fi do XP é efeito colateral do recurso de busca automática por endereço de conexão, entranhado na arquitetura do sistema de há muito. Como o processo de desenvolvimento desse sistema é monolítico, onde interesses autônomos de usuários não participam diretamente das tomadas de decisões técnicas, como ocorre nos projetos de software livre, a conveniência da funcionalidade que introziu esse efeito não foi adequadamente ponderada, em termos de riscos para usuários, contra seus possíveis efeitos colaterais em ambientes futuros, como o das rede sem fio. Em boa medida porque, no regime proprietário, nessas ponderações pesa muito a necessidade de novas funcionalidades, devido à estratégia de obsolescência programada que guia sua produção.

MC: 2) Qual a sua expectativa: a tecnologia de segurança avançará mais rapidamente que as tecnologias de fraude?
PR: Processualmente, segurança é controle da proteção. Por isso, as tecnologias de proteção e as de fraude são interdependentes. Na informática, quem invade precisa proteger seus meios de apagar rastros, e quem é invadido precisa proteger seus meios de rastrear. Aí, a precaução precisa buscar equilíbrio. Quem defende precisa conhecer, com uma estratégia de custo/benefício, os possíveis meios e formas de intrusão, para saber usar ou desenvolver mecanismos de detecção ou interceptação destes. E quem ataca precisa conhecer, com uma estratégia semelhante, os possíveis meios e formas de proteção, para saber usar ou desenvolver mecanismos de subversão ou neutralização destes.

Técnicas sofisticadas e muitas vezes alardeadas como solução mágica, como as criptográficas ou biométricas, não fazem milagres. Apenas permitem, a quem bem saiba usá-las, escolher o campo de batalha, limitando as chances do oponente a terrenos e situações que o usuário melhor conhece ou controla. Mas que trazem embutidas o risco de uso inepto, uso que gera falsa sensação de segurança, como com as armas de fogo. Nada diferente do que acontece no mundo da vida, exceto pelo fato dos bits serem invisíveis. Pelo que estamos sempre confiando, implicita ou explicitamente, em camadas de software para intermediar nossa percepção. Em consequência, se a lógica de negócio do fornecedor do software atrelar sua própria proteção aos riscos de quem usa o software, contrapondo a segurança do seu negócio à do usuário, a primeira vítima será a clareza na percepção de riscos.

Com o crescimento da interconectividade, os modelos de desenvolvimento e licenciamento do regime proprietário entra nessa zona de conflito, ao tratar conhecimento como propriedade, e sua realização em software como segredo de negócio. Esse regime predomina há vinte anos, mas mostra sinais de fadiga na relação custo/benfício ao tratar, nos seus modelos negocias e no contexto da hiperconectividade que marca nossa marcha ao futuro, bens simbólicos como bens rivais. Essa fadiga não é de se estranhar, pois a indústria de software tem experimentado ciclos de predominância de modelos negociais que duram cerca de vinte anos, e a internet é o primeiro grande caso de sucesso do regime produtivo que com ela ressurge, chamado livre ou de código aberto.

Porém, enquanto seus nichos de eficácia no setor de software encolhem, o regime proprietário se alastra entre atores dominantes nos mercados de conteúdos digitais, como no setor de entretenimento, que antes lastreavam a eficácia dos seus modelos negociais no controle de circulação da mídia. Isso obstrui, através daquilo que economistas contemporâneos chamam de "efeito rede", a influência evoluitva da eficácia econômica no processo de desenvolvimento das TIC, ameaçando a liberdade semiológica que caraterizou o ciberespaço desde sua infância.

Pode parecer estranho um regime produtivo que trata conhecimento como linguagem, livremente acessível, que concentra seus modelos de negócio nas áreas de serviço, suporte e customização, possa oferecer, em média e a longo prazo, melhor relação custo/benefício ao processo de segurança do usuário. Este fato, que parece anti-intuitivo, e que foi tema de uma entrevista à revista ComCiência [3], só parece paradoxal quando se pensa a segurança na informática através do modelo de risco mais simples possível, inadequado ao contexto, que enxerga segurança como sinônimo de sigilo.

Com mais de dois interesses potencialmente conflitantes em cena, o processo de segurança deve buscar um equilíbrio entre transparência e sigilo, para que interesses conflitantes possam controlar o risco de conluio, inclusive circunstancial. No ciberespaço, além dos interesses do usuário e dos cibercriminosos, operam também os interesses dos fornecedores de software e dos provedores de conteúdo digital. Acredito que as tecnologias de fraude, e sua influência na relação custo/benefício das tecnologias de combate ao crime digital, evoluirão na medida inversa em que compreendemos e resolvemos esses conflitos de interesses.
MC: 3) Ficaremos mais tranqüilos no futuro? Ou nossa preocupação será crescente, conforme ganhamos novos meios eletrônicos de fazer transações (ou seja, abrimos mais possibilidades de fraude)?
PR: Vou citar dois exemplos de como interesses que interagem no ciberspaço podem conflitar, para responder a esta pergunta.

No início de novembro, um pesquisador de segurança descobriu que CDs de música da Sony-BMG, ao serem tocados em computador com Windows XP, instalavam silenciosamente um poderoso programa espião (rootkit) que varre o computador a cada poucos segundos para monitorar atividades e, de vez em quando, se comunicar ocultamente com a Sony [45], à guisa de "gerência dos direitos digitais" do vendedor (conhecida pela sigla DRM). O usuário só é vagamente informado dessa possibilidade, em linguagem esotérica pela qual aceita o DRM do vendedor, na licença de uso do CD. À guisa de impedir que o tal CD seja copiado, o DRM-rootkit da Sony não pode ser desinstalado do XP, nem mesmo por especialistas, sem o risco de danificar a instalação de todo o sistema. Permanecerá comportando-se de forma subreptícia e instrusiva, indistinguível de programas maliciosos que se insinuam como inofensivos para dominar remotamente o computador (cavalos de tróia). E para isso pode ser usado. De fato, no mesmo dia em que a Sony declarava, em entrevista coletiva à imprensa, que seu DRM não causa danos colaterais aos usuários, começava a circular na Internet um programa adaptador para esse rootkit (exploit) que subverte um outro DRM, o do popular jogo eletrônico para XPs World of Warkraft [15]. O feitiço virando contra feiticeiros.

Noutro caso, ao desenvolver um software para modelar a gestão estratégica dos seus negócios, a empresa Enron inovou bastante. Não só desenvolveu uma técnica de despiste contábil, que gerava complexas cadeias de participação acionária em empresas-laranja, destinadas a despistar violações às regras operacionais de empresas de capital aberto sob aquela gestão, mas também uma ferramenta cibernética para achaques a políticos. Uma função no software calculava o preço otimizado da corrupção, o montante ideal para propinas em troca da aprovação de leis que permitissem à Enron realizar novas formas de capitalização sobre manipulações até então irregulares nos mercados onde atuava.

Formas essas engendradas a partir do sucesso do lobby da mesma empresa pela desregulamentação do mercado primário onde atuava, o da distribuição de energia, no oeste dos EUA. Com tal esquema, a Enron chegou ao cume de uma escalada extorsiva do mercado consumidor do Oeste americano, principalmente a Califórnia, cujas assimetrias podia manipular com a desregulamentação teleguiada. Se a Califórnia reagia, por sentir-se refém do mercado de energia desregulado, o software de gestão da Enron contra-atacava, simulando, para os legisladores corrompidos, análises que "demostravam" que o problema não estava na falta de regulamentação, mas naquela regulamentação que ainda restava.

Os feitos e efeitos desse software de gestão da Enron ultrapassaram as expectativas iniciais. A escalada do seu "sucesso", movida a ambição, chegou a perturbar variáveis macro-econômicas a ponto de, no limite, perverterem a sua própria lógica. O esquema da Enron desmoronou, em 2002, porque a ambição se fez cega, ou viu-se impotente, perante os limites da sua lógica, cujos efeitos colapsaram o mercado que manipulava. As leis de auditoria exigem a transparência dos livros contábeis, mas não do código fonte de softwares de contabilidade ou de gestão. Neste caso as maiores vítimas serão, além dos cidadãos da Califórina, os clientes de vários planos de aposentadoria privada, que levaram o maior golpe da hitória do capitalismo, enquanto os verdadeiros algozes muito provavelmente sairão impunes [16, 19].

Talvez não seja por acidente linguístico que o software da Enron se chamasse Matrix [17]. De volta à sua pergunta, acho difícil prever o grau de tranquilidade futura do cidadão comum, já que ele dependerá de como o jogo político irá resolver conflitos de poder entre interesses cada vez mais afetados pela penetração das TIC nas práticas e formas organizacionais da sociedade globalizada.

MC: 4) Quais são as futuras tecnologias de segurança mais promissoras e realistas no momento? Quais são as tecnologias embrionárias, a se realizar apenas num futuro distante, que o senhor considera mais impressionantes?
PR: Para falar de tecnologias de segurança, preciso saber: segurança de quem, contra o quê. De forma abstrata, prefiro falar de tecnologias de proteção.

Qualquer tecnologia de proteção de bens simbólicos precisa de âncoras físicas, para lastrear as inevitáveis premissas de sigilo ou de confiança dos processos de identificação e de autenticação. É nessa dimensão física que a inovação tecnológica se mostra mais promissora. Na sua dimensão lógica, isto é, nas camadas de protocolo, algoritmo e técnicas criptográficas, a inovação tecnológica acompanha o desenvolvimento científico de forma restrita, mediada por relações entre custo e benefício e por relações entre complexidade conceitual e cultural, que viabilizam o uso adequado.

Apesar do que possa sugerir o fascínio coletivo com as TICs, vistas por muitos como panacéia para problemas na natureza humana, o futuro das tecnologias de proteção, pelo menos o futuro do seu uso sadio, se limita, na sua dimensão lógica, pelo ritmo em que evoluem a criptografia e a cultura cibernética. Acredito que a criptografia, ciência baseada em matemática, estatística e linguística, já saiu de sua adolescência com a descoberta dos sistemas de chave pública, e que portanto, não dará mais saltos surpreendentes. E que a cibercultura evolui no ritmo marcado pelo letramento técnico-digital e pela capacidade de cidadãos comuns adaptarem e recalibrarem seus mecanismos internos de avaliação de riscos, na maioria instintivos.

Na sua dimensão física, várias inovações impressionantes acenam do horizonte. Dentre aquelas de influência mais remota podemos destacar a criptografia quântica, que promete blindar certos canais de comunicação, restritos a curtas distâncias e sujeitos a altos riscos; e a computação quântica, que promete tornar obsoletas certas técnicas de assinatura digital e chave pública, mas não todas, até onde entendo (as que se baseiam em curvas elípticas não são afetadas).

Dentre as inovações de influência mais imediata, os RFIDs prometem, através do implante subcutâneo de "chips", eliminar alguns riscos no processo de identificação digital, enquanto cria riscos de outra natureza, ao suprimir do implantado o controle sobre o acionamento e manuseio do dispositivo.

Por outro lado, vejo graves perigos na possibilidade das tecnologias de proteção digital virem a ser adotadas de forma inconsistente com o ritmo de evolução da sua dimensão lógica, numa sociedade globalizada e exposta, ao mesmo tempo, ao fascínio coletivo com novas tecnologias em geral, e a impressionantes promessas relativas à dimensão física dessas tecnologias de proteção. O perigo está em como as relações de poder podem se alterar através de adoções mal justificadas em seus propósitos ou mal compreendidas em seus efeitos.

MC: 5)  Teremos de guardar cada vez mais senhas e adotar procedimentos cada vez mais complexos no futuro, para garantir nossa segurança digital?
PR: Teremos que administrar um número cada vez maior de identidades e relações virtuais, e senha é, de fato, o meio mais simples possível de ancorá-las na vida de uma pessoa. Mas em princípio, o problema do crescimento do número de senhas por pessoa é gerenciável. Componentes adicionais que se integram a dispositivos de proteção podem hierarquizar as relações de confiança que as senhas e as chaves criptográficas representam, armazenando várias num só repositório, protegido por senha mestra. Como a concentração amplifica os riscos, esse repositório pode ser isolado o máximo possível do ambiente computacional promíscuo pelo qual se interage no ciberespaço, através de padronizações para interoperabilidade. Smart cards e tokens criptográficos são exemplos de componentes que podem abrigar tais repositórios.

Entretanto, implementar na prática esse gerenciamento é tarefa dificultada pelo regime proprietário de produção. Fornecedores nesse regime constumam ofuscar não apenas seus softwares, mas também formatos, padrões, algoritmos e protocolos digitais que seus softwares realizam, como forma de manter a dependência do usuário e afastar competidores. Esse ofuscamento, que impede a integração de dispositivos de proteção indepenentes, pode não ter nada a ver com segurança do usuário.

Num mecanismo de proteção destinado a operar sob premissas de confiança sujeitas ao risco de conluios, o usuário deve ser o único a introduzir segredos -- como senha, por exemplo -- nos processos que o identificam. Nesse contexto, que é o do ciberespaço aberto pela Internet, a segurança que tem a ver com segredos em formatos e padrões pré-definidos é a do negócio do fornecedor. Formatos e padrões ofuscados servem para que ele tenha chances, no regime proprietário, de competir sob o efeito rede e através de dependências artificosas (o "vendor lock-in"). Rumo ao graal do monopólio, ou à dissolução em algum.

Portanto, vislumbro dois cenários possíveis em que não teremos que adotar procedimentos cada vez mais complexos. Ou a evolução tecnológica segue seu curso natural, rumo à eficiência técnica e econômica, convergindo padrões, formatos, algoritmos e protocolos de segurança para soluções interoperáveis, de conhecimento público e implementação desimpedida para fornecedores independentes, ou o mito da "garantia de segurança" nos levará a sacralizar o efeito rede, a criminalizar alternativas ao regime proprietário, e a nos submeter a regimes cartoriais de esotérico controle. O mais grave efeito colateral dessa opção pode ser a apropriação desse controle por interesses totalitários, que só pode ser entendida como garantia de segurança num plano psicológico dominado coletivamente pelo medo.

O filósofo e semiólogo Umberto Eco escreveu, em 1995, um artigo que aborda esse entendimento, e os desdobramentos que nele alavancam tão grave efeito: "Eternal Fascism" [5]. Do cenário atual, a mim se apresenta como mais provável o futuro desenhado pelo segundo cenário. Isso porque, numa sociedade cada vez mais informatizada o acesso ao conhecimento se transforma em chave do poder, e as batalhas pelo seu controle se intensificam. A mistificação da ideologia neoliberal, a radicalização do regime de propriedade intelecutal e o desmonte das conquistas humanistas do iluminismo fecham seus cercos.

Na informática, esses cercos se fecham através de leis e projetos radicais, como UCITA [6, 18], DMCA [7], HAVA [8], UNCITRAL [9] e CDBPTA [10], de batalhas legislativas e diplomáticas, travadas no parlamento europeu, na OMPI, OMC, ALCA e acordos bilaterais de livre-comércio, em torno da patenteabilidade de idéias implementáveis por computador [11], de terrorismo jurídico-econômico [12], insuflado pelo pânico da ganância esvaída em seus limites [13], e de furiosas cruzadas moralistas amparadas na hipocrisia [14] (como saber se um internauta é ou não menor de idade sem identificá-lo?), com munição abastecida pelo quarto poder.


Bibliografia

1- http://www.ccianet.org/papers/cyberinsecurity.pdf
2- http://news.com.com/2100-1002_3-6028275.html
3- http://www.cic.unb.br/~rezende/trabs/entrevistaCC.html
4- http://www.sysinternals.com/blog/2005/10/ sony-rootkits-and-digital-rights.html
5- http://www.themodernword.com/eco/eco_blackshirt.html
6- http://cscott.net/UCITA/
7- http://www.durangobill.com/Fight_DMCA_Abuse.html
8- http://www.freepress.org/departments/display/19/
9- http://www.cic.unb.br/~rezende/trabs/laws.htm
10- http://slashdot.org/yro/02/04/10/2051220.shtml?tid=126
11- http://www.cic.unb.br/~rezende/trabs/LACFREE2005.html
12- http://www.cic.unb.br/~rezende/trabs/cibercon04.html
13- http://www.groklaw.net/staticpages/index.php ?page=20050315132709446
14- http://www.mercurynews.com/mld/mercurynews/news/13657303.htm
15- http://www.securityfocus.com/brief/34 
16- http://www.huffingtonpost.com/robert-scheer/ enrons-political-helpmat_b_14902.html
17- Costa, A. L.: "Corrupção high-tech", CartaCapital, ano VIII, n. 177, 20 de fevereiro de 2002, pp. 38-43.
18- http://ipcenter.bna.com/pic2/ip.nsf/id/ BNAP-6LLKNX?OpenDocument
19- http://www.alternet.org/story/31894