http://www.cic.unb.br/~rezende/sd.php > virus e malware: de email

A inteligência e os embustes virtuais

Pubicado no Observatório da Imprensa em 05/06/2000

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
11 de Maio de 2000

Parte 1 - A verdadeira estória do vírus do amor
parte 2 - Pior que os vírus são os troianos e seus backdoors



parte 1 - A verdadeira estória do vírus do amor

Sempre que uma epidemia causada por algum vírus de correio eletrônico atinge a internet via extensões da HTML, como a do recente "Iloveyou" ou a do "Melissa", espanto-me com o senso de impotência e conformismo que perpassa notícias e discussões sobre o assunto, e com a quase unânime superficialidade e ingenuidade nos aconselhamentos para defesa oferecidos.

Tais conselhos se resumem geralmente a: "mantenha atualizada a versão do seu antivírus", e "não aceite qualquer programa que venha pela internet". Ambos óbvios, mas absolutamente inócuos contra o surto inicial das epidemias citadas. Certamente o vírus do amor não será o último episódio deste drama, mas tal fato não nos impede de refletir sobre como o óbvio se torna inócuo, ou como um pouco de exercício da nossa própria inteligência pode desfazer a frustração generalizada e nos erguer defesas virtuais mais eficazes. Se o leitor estiver interessado em uma receita, poderá recompensar-se lendo até o fim.

Um pequeno detalhe no funcionamento de tais vírus, obscurecido em presença de sentimentos frustrantes, será o fio condutor desta reflexão. Ele explica o alto grau de virulência desses ataques e aponta o caminho mais simples para sua neutralização. Tais vírus se replicam e/ou causam dano utilizando-se de uma extensão da linguagem HTML implementada no "Internet Explorer" versão 4 ou acima (VBScript), valendo-se principalmente de como comandos HTML em mensagens de email são interpretados pelo emailer deste software, o Outlook Express. (p.e: http://www.icsa.net/html/press_related/2000/05_04_00_loveletter.shtml)

Li algo (não recordo a fonte) que proclamava o fim do dogma de que dados não podem infectar: "Agora, a mera leitura do texto de uma mensagem de correio eletrônico pode destruir seus dados." alertava o jornalista ao anunciar o Melissa. Aqui, na pouca informação, há muito de alarmismo e confusão. A confusão começa na "mera leitura do texto". Pois vejamos. Um emailer, como o Outlook Express, o Eudora, o Netscape Messenger (Windows) ou o Pine (Unix), deve gerenciar a edição e formatação para transmissão, além de organizar e visualizar mensagens de email.

O protocolo SMTP – base para o serviço de email na internet – prevê apenas texto como conteúdo de mensagens (7 bits). Tendo se tornado o serviço mais utilizado na internet, o SMTP foi por isso estendido para poder "dar carona" a outros tipos de conteúdo, através do formato MIME. Daí por que alguns emailers atuais saibam gerenciar attachments. Um emailer deveria poder, para fins de visualização, separar completamente o corpo das mensagens (a ser manipulado pelo emailer como texto) de seus  anexos (cujo conteúdo não lhe deveria dizer respeito). Mas nem todos aceitam fazê-lo de forma completa, apesar do MIME permitir ao emailer identificar, numa mensagem, tipos e fronteiras desses conteúdos. Mas porque o detalhe da separação completa? Para quem percebe os riscos inerentes à revolução digital a resposta é obvia: Controle.

Código executável é parte da inteligência de alguém, delegada à máquina. Quando executa, tal inteligência interage com quem a aciona, para processar dados. Quem escreve programas, transfere assim parte de sua própria inteligência ao software que cria. Quem compra ou licencia software, julga útil a proclamada inteligência com o qual deseja interagir, transferida pelo autor ao software. Quem deseja interagir, guia-se por tais proclamações – que são promessas – para julgar tal utilidade. Quem julga tem, quando não neutralizado em tais licenças, o código de defesa do consumidor para desestimular engodos nessas promessas, tais como exageros e omissões grosseiras ou má-fé. Mas poucos percebem que as licenças de software proprietário geralmente anulam este efeito desestimulante, e menos ainda que a mera investigação e divulgação de tais engodos será criminalizada com o UCITA, Uniform Computer Information Transactions Act. (você já leu e entendeu completamente alguma licença de uso de software proprietário? veja http://www.cnn.com/2000/TECH/computing/03/07/ucita.idg/index.html)

Se o computador fosse como nossa casa, armazenar dados nele eqüivaleria a receber correspondência ou mantimentos nela. E rodar software nele eqüivaleria a convidar alguém para entrar nela. Metáforas podem ser úteis, mas também perigosas, e eis que tais analogias terminam quando retornamos à confusão na "mera leitura do texto". Em estados normais de consciência, confiamos que nenhum envelope ou saco de batatas irá se transformar num assaltante, quando lhe dermos as costas em nossa casa. Por outro lado, a distinção entre dado e código executável pode ser apenas uma questão de contexto. Ao processar dados, a intenção do software pode ser a de interpretá-los como seqüência de instruções (a serem remetidas ao processador ) ou manipulá-los como informações (a serem despachados à memória ou a periféricos, tais como monitor, HD, impressora, modem, etc.)

Sintaxe (formato correto) e contexto (intenção ao processar) é que fazem ou não dos dados um código executável, transformando sacos de bytes em agentes inteligentes. Aquela confusão está na ambigüidade do sujeito da frase. Antes que algum usuário leia uma mensagem na tela, e para que possa meramente fazê-lo, "leu-a" também (i.e, processou-a) o emailer. As "promessas" na interface gráfica de um emailer podem sugerir que certo conteúdo será manipulado como texto para leitura -- oposto a interpretado como instrução para execução --, quando na verdade ora uma, ora outra coisa podem estar sendo feitas. Código executável não pode ser confundido com extensão .EXE em nomes de arquivo. Se alguém der o nome X.EXE a um arquivo de texto, não irá transformá-lo com isto em código executável. Por outro lado, qualquer arquivo em formato VBS, VBX, DLL, PostScript ou HTML é, para seus respectivos interpretadores e independente do seu nome, código executável. A extensão no nome do arquivo serve apenas para indicar ao sistema operacional o interpretador adequado ao código ali supostamente contido. Um software é um mero jogo entre promessas e confianças.

Onde, para o repórter, há mera leitura de texto, há por trás o olvidado emailer, onde pode ter havido interpretação. É isso o que ocorre naquele emailer, que detém a inabalável intenção de interpretar qualquer conteúdo de attachment em formato HTML – a linguagem das páginas da web – como se fizesse parte do corpo da mensagem. Ou seja, como nos casos dos citados vírus, ativados e propagados pelo Outlook. Inicialmente destinada à formatação visual, a linguagem HTML foi, como o SMTP, depois estendida, mas neste caso para que as páginas  web pudessem se assemelhar a programas (com ActiveX, JavaScript, Applets, CGI, etc.). Um controle ActiveX por exemplo, pode fazer o mesmo que qualquer outro programa no Windows 98, exceto ser diretamente carregado como aplicativo. Esse poder implica em riscos, e deu no que deu. Por isso aquele detalhe, sobre quando o software estará, ao processar, interpretando ou apenas manipulando bytes, ser crucial para podermos controlar nossa exposição a riscos de embustes virtuais. É a questão de quem, no conjunto usuário-software, controla o processamento de bits e bytes, questão que se torna mais aguda quando a máquina nos conecta ao ciberespaço.

Nesse lugar virtual, onde o mundo se afunila e fica como a rua da nossa casa, e a rua do mundo fica estreita como o fio de telefone, e a porta de nossa casa se encolhe ao formato do conector RJ11 na placa do modem, ao encaixarmos o fio do telefone ao modem abrimos esta porta, e ao discarmos por acesso proclamamos sua abertura. A partir daí, quem controla a passagem do mundo por nossa porta é o software de rede e os aplicativos que dele se servem (browsers, emailers, irc, etc.), apesar de termos a impressão de que são apenas nossos cliques. Antes disso detínhamos algum controle sobre o que entrava, quer como executável ou não, devido ao suporte físico que os traziam. Podíamos guardar rastros e evidências do cumprimento ou não de promessas no HD, nos disquetes e CDs originais. Mas nesse novo lugar mal podemos tentar, pois lá rastros, promessas e tudo que há são etéreos simulacros.

Depois do modem ou da placa de rede ter mordido a maçã RJ11 que lhes oferecemos, os computadores passaram a poder ocultar intenções por trás das inteligências que abrigam. Você saberia dizer, por exemplo, qual programa instalou, ou usa, ou o que faz, cada DLL em seu Windows? E o Registry dele saberia? Não me agrada a receita "reformatar e reinstalar" para quando as coisas desandam. Nesses tempos, quando há crises de confiança em vários níveis, meu computador delas não escapa e a integridade do que nele toma forma e transita passa a ser, cada vez mais, de meu próprio interesse e responsabilidade. Alguns, principalmente os que tem algo a ganhar com isso, tentam me convencer que haverão tecnologias para assumir tal responsabilidade e proteger esta integridade: "Atualize seu antivírus!", me aconselham. Mas isso não é tudo, e algo ainda me cheira mal. Não gosto da atitude de empresas de software que embutem na arquitetura de seus produtos o julgamento a priori da incompetência (ou da burrice) dos usuários para decidirem o que pode ou não ser executado em suas próprias máquinas. Acho-a perigosa.

Tecnologia não é panacéia, e nunca irá substituir responsabilidades humanas. Se eu for omisso, alguma inteligência alheia decidirá por mim. Circulam estimativas de que o vírus do amor corrompeu (inviabilizando undeletes) mais de 3 milhões de arquivos pelo mundo, antes que o primeiro antídoto com sua assinatura ganhasse as rotas de download dos antivírus que sabiam reconhecê-lo (posso imaginar a velocidade da minha conexão, se dele então precisasse). Esta geração de vírus que mistura em boas doses a engenharia social [que nome interessante!...] e a integração de "recursos" do Outlook Express, tem conseguido alastrar seus surtos iniciais de ataque global em cerca de dois dias, menos da metade do tempo com que a industria de antivírus pode ser acionada e responder. Obviamente esta incrível virulência só é possível devido à densidade de Outlooks na internet, e da automação quase total oferecida ao ciclo infeccioso pelos "recursos" desse emailer. Principalmente o recurso da interpretação automática de conteúdo HTML em mensagens, que o usuário não pode ali desabilitar e que permite ao vírus reduzir a participação humana neste ciclo a um simples clique (o tal, para "mera leitura de  mensagem"). E que, juntos na internet, transformam o Outlook em perigoso dispositivo para reações em cadeia.

A lição aqui oculta é a de que precisamos enxergar intenções em sacos de bytes. Em qualquer um, em qualquer lugar. O alerta: "Agora, a mera leitura ..." nada fala de software. Teria sido mais informativo se dissesse: "No Outlook Express, a mera leitura (etc.)". Diminuiria o risco de se estar passando a falsa e alarmante impressão de que qualquer emailer faz o mesmo. A teoria econômica afirma que a preferência por marcas pode, num mercado perfeito, ser tomada como medida de qualidade. Mas no caso do mercado de browsers (que incorporam emailers) seria muito ingênuo acreditar na sua perfeição, haja vista a decisão do tribunal que condenou, por iniciativa do departamento de Justiça dos EUA e em primeira instância, seu fabricante por práticas monopolizantes. Portanto a preferência pelo Outlook não deve ser confundida com qualidade. É claro que, como diz seu presidente, tal browser é um great software. Mas pelo que dá aos acionistas da empresa e não pelo que oferece a mim, pois um emailer que me torna alvo fácil de embustes para que minha caixa de correio fique sempre floreada não me será útil. Confundir tais referências seria tão ingênuo como atribuir sabedoria ao dinheiro, quando este é apenas meio de troca ou veículo de ambição.

Não posso imaginar razões senão subjetivas nessa "inteligência" do Outlook Express, que toma qualquer conteúdo HTML anexado como parte da mensagem, ferindo o espírito do protocolo SMTP e do formato MIME descritos em RFCs do Internet Engineering Task Force, e suas recomendações de segurança. Muito menos na do fabricante, quando seu presidente diz precisar manter a integração do seu browser ao Windows "para melhor desenvolver proteção aos usuários", comentando com a imprensa sobre o vírus do amor. Quem há de querer mais recursos furtivos como este, que num clique dispõe de sua máquina a quem quer que seja, pelo título de um email? Mas o que mais me intriga em tudo isso, é que a vasta maioria dos consumidores acredita ser vantagem a conveniência de se optar pelo browser "já embutido" no sistema operacional de sua escolha, a ter que ponderar e avaliar objetivamente os riscos entre opções de browser que envolvam alguma instalação adicional. Abdicam assim do controle que deveriam exercer sobre o que executa em suas próprias máquinas enquanto estiverem a ler mensagens de email. Vírus são descobertos ao atacarem, mas grampos de senhas são bem mais dissimulados (veja a parte 2 sobre troianos abaixo). De novos hábitos ninguém gosta, mas neste caso a inércia e a miopia da confiança beiram o cômico, levando-os a agir como manada, e a serem tratados como tal por cibervândalos.

Para quem precisa usar um browser no Windows, há pelo menos uma opção igualmente gratuita, cujo código é aberto e em cujo emailer texto é apenas texto, se o usuário assim o determinar. No Netscape Messenger, para se precaver contra código embusteiro em extensões MIME buscando explorar seus recursos, ou contra a ignorância antiviral acerca de novos embustes em emails, basta um clique para desabilitar a opção "View Attachments Inline" no menu "View". Após isso, ao se abrir um email contendo qualquer conteúdo MIME este será apresentado como arquivo anexado e não será ali interpretado. Pode-se então, como normalmente se faz com attachments cujo tipo o emailer não sabe interpretar, inferir prováveis razões para aquela mensagem estar trazendo aquele arquivo. Por exemplo, verificando-se no corpo da mensagem, alem da sua utilidade, alguma referência ao nome ou função desse arquivo, como seria de se esperar em mensagens bem intencionadas. E só então decidir, com um clique sobre o ícone do attachment, abri-lo ou não. Ou para a interpretação do Netscape Navegator ou então, mantendo inerte o saco de bytes, para a inspeção do antivírus, para a visualização através de software inócuo (Notepad), para gravação em disco ou para a lixeira.

Já no Outlook Express (IE5), a única forma de se evitar a interpretação automática de conteúdo HTML é desabilitando a visualização completa de todas as mensagens. Só assim, ou selecionando-se em grupo na lista de mensagens (com a tecla "Shift"sobre vizinhos),  pode-se descartar emails suspeitos sem visualizá-los. Para mim a opção do Netscape é sensata e sua receita de cautela não parece difícil. Umas poucas travadas a mais, devido à obscuridade nas APIs do Windows que atormenta os programadores fora da sua fábrica, como os da Netscape, pode ser um preço aceitável para se poder exercer o direito de se controlar o código que irá executar em nossa própria máquina. Decidir dá medo e cansa, mas não decidir pode machucar. Tive a sorte de poder dar meu relato ao leitor antes que o Windows e seu browser passassem a ser distribuídos sob o regime do UCITA, segundo o qual estaria, por meio desta reflexão, praticando crime econômico e difamatório contra um great software. Reflexão que termina com um pensamento. O de que o verdadeiro bug do milênio é essa miopia fiducial coletiva, a internet "ridiculamente simples" que a publicidade nos oferece.


Pedro A. D. Rezende
Brasília, 11/05/2000
 



http://www.cic.unb.br/~rezende/segdadtop.htm > risco: backdoors

A inteligência e os embustes virtuais

parte 2 - Pior que os vírus são os troianos e seus backdoors

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
18 de Maio de 2000


Em seu caderno "internet" de 18 de maio de 2000 o Jornal do Brasil apresenta uma matéria em que sou entrevistado, contendo argumentos da parte 1 deste artigo, onde é também anunciada a ação da Microsoft em reconhecer sua parcela de responsabilidade nas recentes epidemias provocadas na internet por virus de email. Esses virus exploram questionáveis decisões de projeto do emailer Outlook Express que favorecem suas propagações explosivas. Ao anunciar o Outlook Email Security Update, que pretende diminuir os riscos a que estão expostos os usuários deste emailer, a empresa devolve a seus clientes parte da responsabilidade pelas decisões sobre a execução de código alheio em suas próprias máquinas. Antes tarde do que nunca. Mas para assumir tais responsabildades, o usuário precisa conhecer a natureza dos riscos que deverão nortear suas decisões. E os virus representam apenas uma pequena parcela desses riscos.

Vírus são descobertos quando atacam (veja acima a verdadeira estória do vírus do amor). Mas há outro tipo de programa embusteiro que pode causar dano sem com isso revelar sua existência. Programas ou módulos de programa furtivos, destinados à espionagem, ao acesso não autorizado a arquivos, ou a interceptação de processos no computador da vítima para fraudes, destruição de evidências ou outros fins escusos, geralmente chamados de backdoors. Para que um backdoor se torne ativo no computador da vítima, sem que esta perceba a intenção de embuste no processo, é necessário que algum programa aparentemente inofensivo à vítima o inclua ou faça sua instalação. Estes programas são chamados de troianos, ou cavalos de troia.

Um troiano pode, por exemplo, instalar um grampo de teclado na máquina da vítima. Um grampo de teclado é um tipo de backdoor que, carregado como serviço de background (assim como o antivirus e o software de rede), intercepta toda transmissão do driver de teclado a qualquer aplicativo. Pode assim registrar toda atividade de quem digita documentos no computador, capturar senhas de acesso a serviços remotos, inclusive aquelas para autenticação e movimentação de contas bancárias, antes de serem encriptadas para transmissão. A instalação de grampos de teclado para Windows por um troiano pode ser muito simples e, se o computador estiver indevidamente protegido, passar desimpedida e desapercebida por quem executa o troiano.

No meu curso regular de Segurança de Dados na Universidade de Brasília os alunos escolhem o trabalho final que desejam fazer. Nos últimos dois anos, em cada turma tem sempre havido alguém interessado em implementar grampos de teclado para Windows, como trabalho final. O motivo que a mim justifica esta escolha é para que se convençam da relativa simplicidade do mecanismo de embuste e da intrínseca falta de segurança deste sistema operacional. Apenas com a descrição informal encontrada em livros e discutida em aula sobre o que faz tal grampo, estes alunos tem conseguido sempre, ao final do semestre, apresentar um grampo que funciona. A experiência deles indica que a forma mais simples para se escrever um grampo de teclado para o Windows é através da linguagem VBScript, nele usada extensivamente para controle e comunicação entre processos, e na qual foi escrito e propagam o Melissa e o Virus do Amor. No Internet Explorer e no Outlook, mas não em outros browsers ou emailers, o VBScript é considerado extensão da linguagem HTML (active scripting).

Um grampo de teclado pode ser sofisticado, no sentido de ocultar sua própria instalação (apagando o troiano que o instalou), sua presença (eliminando seu nome da lista de tarefas do Windows) e o destino de sua desova (abrindo uma porta de comunicação TCP onde escuta e atende solicitações para envio de arquivo contendo as atividades de teclado já registradas, ao invés de transmiti-la para um endereço fixo do espião). O já famoso administrador remoto para Windows denominado Back Orifice, por exemplo, pode ser troianizado e contem um grampo de teclado que não só oculta o destino de sua desova, mas também pode autenticar o espião que a solicita. Entretanto, sempre exigi que, para a apresentação do trabalho de meus alunos, a instalação do grampo fosse não furtiva, isto é, que a instalação fosse executada a partir de um aplicativo (via código de tipo EXE) que anunciasse seu propósito, para evitar posteriores contaminações acidentais.

A instalação furtiva de software embusteiro escrito em VBScript é enormemente facilitada em computadores de usuários do Outlook devido à interpretação automática de conteúdo HTML, pois neste caso o troiano pode ser um simples attachment em uma mensagem inócua, da qual a vítima não teria em princípio motivo para levantar suspeitas. A istalação seria furtiva porque o Outlook sequer informa o usuário que, ao abrir tal mensagem, um attachment foi interpretado. A disseminação acidental de código embusteiro é um risco real mas é também um álibi para a atividade criminosa. No caso do Virus do Amor, por exemplo, os suspeitos de sua disseminação alegam acidentalidade, e parece que as autoridades policiais das Filipinas não tem conseguido elementos para caracterizar a veracidade ou não deste argumento de defesa. E, para a justiça, a defesa deve ter o benefício da dúvida caso a culpabilidade por negligência imprudente não prevaleça.

Por estes motivos, no processo de estabelecimento de padrões do IETF chegou-se ao consenso, em 1991, de que attachments ao protocolo SMTP em formato MIME não devem ser interpretados automaticamente, recomendação ignorada pelos engenheiros da Microsoft no projeto do Outlook, provavelmente porque os riscos inerentes à refutação da recomendação não foram considerados relevantes quando a decisão foi tomada, em vista da funcionalidade pretendida. Mas o momento agora é outro, o perfil desses riscos evoluiu -- como tudo na internet, muito rapidamente -- e parece não haver hoje justificativas para se manter aquela decisão. Considero portanto a interpretação automática de conteudo HTML no Outolook uma falha de projeto, cujas consequências se tornam cada vez mais catastróficas enquanto não for revista. O aviso na epidemia do Melissa não foi atendido, e um novo alerta está sendo dado agora pelo Vírus do Amor.

Apesar do anúncio do Outlook Email Security Update ainda há sinais de alarme, no fato de que a industria antivirus pode estar contribuindo para ofuscar a compreensão dos riscos a que o usuário estará se expondo. Veja o que o diretor de marketing da compania de segurança ISS (Internet Security Systems) no Brasil, Sidney Fabiani, tem a dizer sobre decisões de projeto, em entrevista para esta mesma reportagem do Jornal do Brasil: "...a Microsoft teria que adivinhar qual seria a atitude dos hackers e isto é impossível". Pura abobrinha. A atitude dos "hackers" é tão previsível quanto o movimento de fluxo da água, que é a de ir pelo caminho de menor resistência. No caso dos crackers, pelo caminho no sistema que ofereça menor resistencia à subversão de seus controles e funções. Assim como é a dos ladrões e estelionatários no mundo da vida.

No caso em questão este caminho é claríssimo. É a via de acesso em VBScript à lista de endereços a partir da interpretação online de HTML para a propagação infecciosa. Este caminho já havia sido traçado pelo IETF em 1991, e a pedrinha com possíveis consequências do descaso da Micrsoft às recomendações do IETF foi cantada em todas as listas de segurança que assino. E depois pelo vírus ExploreZip, e finalmente pelo Melissa. Esta desculpa do diretor de marketing (vejam só quem a compania escolheu para falar de segurança!) cheira ao conluio que pode estar havendo entre o fabricante do Windows/Outlook e a industria antivirus, conforme alertou Peter Neumann, cientista principal da SRI International, em sua revista eletrônica Risks Digest 20.88. Antes dos holofotes da condenação por práticas monopolistas se acenderem, os sinais alarmantes de exposição dos usuários de seu produto a riscos grotescos foi solenemente ignorada pela empresa e acobertada por acólitos, com parlance marqueteira e unguentos paliativos. (atualize seu antivírus!)

O desenvolvimento de software proprietário é um processo já amadurecido na sequinte rotina: O marketing diz aos engenheiros qual funcionalidade o usuário vai querer (ou deve querer), os engenheiros de desenvolvimento dizem quais as alternativas para sua implementação e as respectivas dificuldades decorrentes. E quando o software é sensível, os engenheiros de segurança dizem quais vulnerabilidades e riscos decorrem dessas alternativas de implementação, e quais implementações adicionais poderiam minorar estes riscos e como. Há na empresa um processo decisório onde alguem então decide e banca. A indústria de software proprietário é prisioneira deste modelo, pois precisa continuar oferecendo novas funcionalidades para justificar upgrades e manter seu fluxo de caixa, ao ritmo ditado pelas expectativas dos seus acionistas para este fluxo. A explicação do vendedor de software, de que tal e tal é assim porque o mercado exige, precisa ser corretamente entendida. Seu discurso está calcado na falácia de que a soma do que cada um quer no software será sempre igual ao consenso sobre o que todos querem, e que os riscos são por isso apenas decorrência deste consenso coletivo, e portanto uma fatalidade do destino para o usuário. A única alternativa hoje conhecida a este modelo é a do software livre.

Um engenheiro de segurança computacional é pago para apontar o caminho de menor resistência do software ao embuste, prevendo assim a ação lógica dos crackers e cibervândalos, como também para tornar este caminho o mais íngreme possível, dificultando tal ação. Quem crê na impossibilidade ou inutilidade desta atividade obviamente não pode vir a ser um engenheiro de segurança, embora possa vir a ser um ótimo marqueteiro. Em minha atividade de formação de profissionais de segurança na informática sempre encontro alguem que retém tal crença, e que por isso vem a detestar (e a se reprovar em) meus cursos. Neles se aprende que a complexidade do software cresce exponencialmente com sua funcionalidade, e que a complexidade é a maior inimiga da segurança, entendida como o processo de se administrar riscos. O que entretanto parece realmente impossível de se prever, e que impacta a avaliação da gravidade dos riscos embutidos nos caminhos de menor resistência do software, é o caminho que trilhará a internet, como mecanismo ou estrutura de interação social.

O problema com a Microsoft é que, na sua estratégia para esse processo de decisão, a funcionalidade sempre prevaleceu sobre a análise de riscos do usuário. Isto é dito em outras palavras por André Zambrini, da Computer Associates, na mesma reportagem do JB, onde aponta a Microsoft como vítima de seu desejo de agradar o mercado. André diz que o Outlook é vítima, e não vilão, porque é o alvo mais cobiçável que há, mas desafio-o -- ou qualquer um -- a conceber um mecanismo de propagação na internet que possa ser hoje mais virulento que esta velha pedrinha cantada no repúdio ao IETF, onde ao mero clique para abertura da mensagem que o contém o virus usa o VBScript e a lista de endereços da vítima para se propagar como mensagem legítima, através de um título sugestivo e remetente reconhecido. Ou um portão de Tróia mais mamão-com-açúcar que esse. Nenhum outro emailer ou browser hoje disponíveis permite isso. Sidney e André estão ocupados com a questão errada, a da culpa pelo estrago no tiro ser da bala ou do revólver, tendo riscado o dedo no gatilho -- a responsabilidade pelo risco do usuário -- de seu vocabulário, arremedando a empresa que acobertam.

Para as grandes empresas de software proprietário, segurança do usuário é uma questão de marketing. Só existe quando atrapalha sua imagem. A justificativa dessas empresas de que "exigências de mercado" por funcionalidade A ou B estão acima de ponderações sobre prudência e bom senso é corroborada pelo consumidor, quando este concorda com o software "as is" ao rasgar o celofane da caixa colorida. Esta estratégia da Microsoft sempre foi pública e, até a semana passada, motivo de orgulho para ela e seus satélites. Mas parece que agora, com seus problemas na justiça, estão acordando para o fato de que tal estratégia, embora lucrativa, pode estar minando a confiança do público nos seus produtos (entre os literati, sem dúvida), e que esta estratégia a longo prazo pode, na ausência das alavancas do monopólio, também minar sua lucratividade. E eis então que a condenação da empresa já começa a beneficiar o consumidor, antes mesmo da pena ser definida.

O pesquisador na universidade pública é pago para pensar, e dele se espera a produção e disseminação de conhecimento. Estou com estes alertas a cumprir meu dever social, mesmo que minha palavra não encontre eco de autoridade na grande mídia. Também os cientistas da segurança computacional nos EUA raramente conseguem penetrar a muralha de dólares na mídia globalizada sobre o tema. Dos grandes no Brasil até agora, somente o JB abriu algum espaço para o debate mediado.
A revista Veja, por exemplo, fez questão de omitir qualquer referência correta ao Outlook em toscas e alarmistas reportagens nas edições de 8 e 15 de maio. Mas algo ganhamos ao tentar e fracassar. Ganhamos indícios de que a grande mídia pode estar fazendo o jogo de violência simbólica da maior empresa do mundo para subjugar a opinião pública, espalhando confusão e escamoteando informação útil, usando a mesma argumentação dos escravagistas do século passado para justificar moralmente a escravatura -- "porque uns poucos esperneiam, se a empresa oferece tudo que o mercado precisa?"

Afinal, a escravatura também deu abrigo e sustento (o windows/word/outlook da época) a muita gente que vivia no mato (quem não usaria o micro não fosse o windows). Sob este mote a grande mídia vassala o neo-capitalismo, beatificando a grande vaca sagrada do software proprietário enquanto faz jogo de cena com reportagens sobre "os perigos da globalização". Resta-nos aguardar, agora que a empresa resolveu admitir sua parcela de responsabilidade nestes episódios ao anunciar o Outlook Email Security Update, para ver que tipo de entretenimento nos será oferececido, à guisa de informação sobre o tema. A revista Veja já deu o tom, omitindo em 22/05 o mea culpa e proposta de remendo da sua cliente publicitária, enquanto divulga o novo filtro de email da Trend Micro que "se pretende 100% seguro", quimera só levada a sério por quem quer ser otário. Mas também, o que se pode esperar de uma revista que oferece ao leitor uma definição do sistema operacional Linux como "uma linguagem de computador", confunde cautela com neurose e induz o desatento leitor a tomar ingenuidade por agilidade?

Confiança é algo que, em se merecendo, não há que se pedir. E em a desmerecendo, algo há a se esconder. Muitas pessoas, para se sentirem seguras, buscam símbolos de solidez para seus habitos e crenças. Muitos veem o império da Microsoft como um tal símbolo na evolução tecnológica da humanidade, e estão sempre prontas a rotular qualquer crítica como se fora mero despeito ou inveja oportunista. O tema toca forças profundas, e as discussões tendem a resvalar para o fanatismo dogmático. Nessas discussões, no momento em que se deixa o plano geral do argumento e se nomeia o objeto da critica, a leitura do discurso tende a passar ao plano emocional, bloqueando a comunicação do encadeamento lógico dos argumentos apresentados.

Temos aqui um teste para esta comunicação, na relação que pretendo entre as duas partes deste artigo. Quem se absteve de me julgar oportunista talvez já a tenha percebido. Quem, diante dos fatos narrados, concentra sua atenção na abominação aos crimes descritos (ou na ausência dessa abominação de minha parte), pode não ter percebido ainda o papel social que os criminosos virtuais involuntariamente desempenham. Eles agem como catalizadores darwinianos, acelerando o processo de seleção natural que irá separar o bom software do mau, ao longo da revolução digital. Por bem ou por mal a revolução quer nos ensinar a distingui-los, do ponto de vista da evolução das espécies vivas, dado que são inteligências.

E quando nesta revolução as massas delegam, por crença na sabedoria da mão invisível do mercado, o poder de julgar o que é bom ou mau para o software a uma entidade que consegue alcançar posição de monopólio no seu desenvolvimento e distribuição, sua estratégia para este julgamento seguirá logicamente o caminho da eficácia, e a funcionalidade do software terá  sempre primazia sobre os riscos do usuário, pois este é o caminho de menor resistência imediata ao seu fluxo de caixa, até o limite da rebeldia (leia sobre a lei UCITA, que pretende controlar este limite!). Talvez por isso nunca, na história da humanidade, algum outro empreendimento tenha amealhado tanto dinheiro.

Mas o vírus do amor serve para mostrar a todos que esta estratégia é, a longo prazo, danosa para o usuário, pois levará inevitavelmente à disseminação de programas muito grandes e pouco seguros. Não fosse esse virus, não teria tido a atenção do leitor para poder lhe falar dos riscos mais graves de ataque por troianos, decorrentes da arquitetura Windows/Outlook, a que está hoje sujeita a grande maioria dos usuários da informática, e tampouco do esforço Orwelliano da indústria do software proprietário e seus satélites para a aprovação da lei UCITA.

Terei tido sucesso em me comunicar na medida em que o leitor tenha contribuído com sua coragem intelectual para manter seu foco de leitura no nível racional do discurso, embora tenha consciência e peço desculpas por não ter, eu mesmo, me mantido neste nivel ao longo de todo esse meu discursar. Não importa qual tenha lhe parecido ser minha mensagem, ela termina com este lembrete: A convivência com riscos conhecidos e evitáveis é decisão e responsabilidade pessoais intransferíveis. Pedro A D Rezende
Brasilia, 20 de Maio de 2000
(revisão v.2)


Debate com leitores