http://www.cic.unb.br/~rezende/sd.php > virus e malware: nimda

Mais negócios, menos segurança

Entrevista ao Jornalista Rodrigo Chia,
sobre as verdadeiras causas de vírus como o Nimda.
Publicada no Jornal do Commercio RJ em 3/10/01

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
28 de Setembro de 2001



Ricardo Chia: Existe realmente uma fragilidade característica dos softwares da Microsoft, como Outlook e Internet Information Server, ou esses programas acabam sofrendo por serem os mais "populares" e portanto estarem mais expostos à ação de hackers e criadores de vírus?

Pedro Rezende: Esta foi a explicação oficial da empresa quando surgiu o ILoveYou. Mas quem, depois do CodeRed, insistir nesta linha de argumentação, estará tropeçando na desinformação, no casuísmo e na ingenuidade. O IIS é o software de apenas um entre cada cinco servidores web na internet, apesar de ser o alvo de quatro entre cada cinco invasões reportadas, segundo levantamento da Conectiva. O IIS não é o alvo mais visível ou cobiçável (no sentido da abrangência) no universo dos servidores web, e sim o Apache, que anima três vezes mais servidores. E o CodeRed é apenas mais um exemplo da indefensibilidade da arquitetura que integra tanto o Outlook quanto o IIS ao Windows. 

RC: No caso específico das falhas que permitem a ação do Code Red e do Nimda, a Microsoft liberou arquivos para correção do IIS. Como avalia o comportamento da empresa? Poderia ter feito mais do que isso?
PR: Talvez sim. Mas, com as decisões estratégicas que tomou no passado, não pode fazer mais do que isso hoje. E o pior é que só pode fazer com eficácia decrescente. Há notícias de que a empresa tem levado até 13 meses para corrigir uma falha. Há notícias de service packs que desabilitam patches introduzidos em service packs anteriores, reintroduzindo uma velha vulnerabilidade. Via de regra, a empresa só passa a dar atenção a vulnerabilidades quando seus efeitos passam a gerar publicidade negativa, e não quando são reportadas. O drama ocorre porque pior do que a falta de segurança é a falsa sensação de segurança. 

Tudo isto é compreensível. E não se deve à má-fé ou à incompetência da empresa, mesmo que uma leitura emocional do que escrevo entenda-o insinuando tal coisa. Esta situação decorre da natureza do modelo de negócio da empresa, que começa a dar sinais de fadiga, sinais de esgotamento de seu ciclo de utilidade. 

RC: A culpa, então, é do modelo de negócios?
PR: O problema não é do modelo de negócio em si, que muito bem serviu à sociedade e à empresa por duas décadas. O problema está na sua obsolescência, e no fato da empresa querer mantê-lo a qualquer custo, por uma visão estratégica que aposta as fichas no poder econômico já acumulado, e não numa leitura natural da evolução do cenário tecnológico onde opera seu negócio. E enquanto ela puder convencer o mercado, pelos meios de que dispõe, de que não pode haver outro modelo de negócio, sua estratégia vai dando certo na superfície, mas a um custo social cada vez maior, abaixo da superfície. 
RC: O Gartner publicou um relatório, na semana passada, sugerindo que as empresas pensem seriamente em trocar o IIS por soluções como Apache e iPlanet. Considera isso viável?
PR: Cerca de 60% dos servidores web são Apache. Não entendo a pergunta sobre a viabilidade de se migrar para o Apache, a menos que esteja se referindo a potenciais problemas de compatibilidade, gerados por escolhas feitas no desenvolvimento de conteúdo. Se não foram considerados, durante o desenvolvimento de conteúdo, as características universais e abertas da internet, havendo-se optado por tecnologias que constituem padrões e formatos fechados e proprietários da empresa que fornece o IIS, haverá custo adicional de recomposição de conteúdo. 

O custo desta recomposição poderá, sim, inviabilizar uma migração, se o horizonte de TCO considerado como parâmetro de viabilidade for relativamente curto. Para um horizonte de previsão orçamentária mais longo, há que se considerar que o crescimento da fragilidade das plataformas da empresa só não é mais perigoso do que o de seu apetite e engenhosidade para cercar clientes com novas dependências, como mostra sua plataforma ponto net e seus contratos select. 

Quem submete-se voluntariamente a padrões proprietários da empresa que produz o IIS para integrar-se à internet, sem considerar antes as conseqüências desta submissão, poderá se ver, neste momento, prisioneiro de suas decisões. Porém, estas seriam falhas de planejamento estratégico de quem se submeteu voluntariamente a esta situação, e não da lógica que leva o Gartner Group a fazer sua recomendação. 

RC: E qual é essa lógica?
PR: Para entendermos, voltamos à estratégia da empresa para introduzir controles artificiais sobre a demanda por seus produtos. Tendo chegado tarde no mercado dos browsers, ela resolveu "inovar" introduzindo o VBScript como linguagem padrão para conteúdo ativo nos seus produtos para a rede (Active scripting). Com isto, queria oferecer "funcionalidade adicional" para quem tivesse os seus produtos nas duas pontas das conexões TCP. Se seu produto viesse a dominar a ponta do cliente, esta funcionalidade adicional se tornaria uma vantagem competitiva. 

Mas o feitiço virou contra o feiticeiro. Para ser mais preciso, o feitiço virou, até agora, contra os ajudantes do feiticeiro, o gado de corte que vai inocentemente para o matadouro do fundamentalismo de mercado, achando que está escolhendo o melhor para si, porque está escolhendo o que "90% do mercado usa". E por quê? Acontece que o VBScript é, antes de tudo, a linguagem de controle de processos do sistema operacional Windows. Ao torná-la também, em seus produtos para a internet, uma linguagem para scripts de conteúdo ativo, desmarcou a fronteira entre o público e o privado na arquitetura de suas plataformas, destinadas a operar em um universo virtual hostil, despertando tentações demoníacas nos que conhecem os meandros da programação. 

RC: Que tipo de tentação?
PR: Tentações de se explorar, através da "porta lateral" aberta nos serviços de e-mail e web de quem usa seus produtos, as inúmeras possibilidades de desvios de função e seqüestros de controle, sobre 150 milhões de computadores ligados em rede no mundo. 
RC: Muitos especialistas em segurança afirmam que nunca haverá ambientes totalmente seguros e que o trabalho das pessoas deve se concentrar na diminuição de riscos. Você concorda com essa visão?
PR: Há um clássico da literatura chinesa, que nunca perdeu a atualidade ao longo dos 2500 anos decorridos desde que foi escrito. Trata-se de um pequeno tratado de um general chamado Sun Tsu, intitulado "A arte da guerra". A visão mencionada em sua pergunta vem desta obra clássica. Admiro e aceito sua sabedoria perene, fazendo uma pequena ressalva à sua frase. Ao se falar de "diminuição de riscos", presume-se uma escala de medida para riscos, cuja escolha já é, por si, a parte mais crucial de uma estratégia de defesa. Seria melhor que a palavra "diminuição" fosse trocada por "controle", para aproxima-la melhor do clássico de Tsu. O objetivo de se controlar riscos seria mais adequado porque riscos não podem ser simplesmente eliminados, como sugere a palavra "diminuição", já que toda iniciativa ou ação para eliminação de riscos gera outros riscos. Segundo esta visão, o controle de riscos começa por uma escolha criteriosa da plataforma computacional. Hardware, sistema operacional, aplicativos e ferramentas de administração e de auditoria.