CPI da Espionagem, a Vulnerabilidade Heartbleed e Ações Políticas
Na mesma semana em que a CPI da Espionagem no Brasil concluiu seu
relatório, sem apresentar culpados, mas demonstrando grande
vulnerabilidade da segurança cibernética do nosso país, o mundo se
apavora com o bug Heartbleed, que pode ser traduzido como hemorragia
cardiáca ou coração em sangria, nome de impacto midiático dado a
uma falha do software OpenSSL, descoberta por engenheiros filandeses.
Assim sendo, o bug Heartbleed é uma vulnerabilidade séria do
software de criptografia conhecido como OpenSSL, identificada como
sendo um novo flagelo e uma das maiores falhas da história da
internet, afetando a segurança de cerca de dois terços de todos os
websites mundiais. Seus efeitos levaram usuários em todo o mundo a
mudarem suas senhas, grandes organizações a providenciarem
possíveis defesas e o próprio governo do Canadá a suspender a
submissão eletrônica de imposto de renda da população.
Se a CPI da Espionagem no Brasil desmistificou a mentira de muitos dirigentes públicos que, vergonhosa e publicamente, confirmam a grande segurança de nossos sistemas de informação, o bug Heartbleed descobriu uma verdade muito desconfortável, principalmente para o Governo Americano. Assim sendo, duas informações importantes, divulgadas na semana de aprovação do relatório da CPI, nos levam a concluir que a vulnerabilidade de segurança das tecnologias de informação no Brasil é pior do que se imagina e vai além do que é apontando no relatório da CPI da Espionagem. A vulnerabilidade Heartbleed pode ter afetado o país em cheio e o relatório da Bloomberg nos leva a esta suposição, considerando que a Agência de Segurança dos Estados Unidos, a chamada NSA, tinha conhecimento do blug Heartbleed e o utilizou regularmente para espionar o mundo. Assim sendo, no software de código aberto OpenSSL constava um erro, criado pelo programador alemão Robin Seggelman em 2011, o qual não foi corrigido, mas, pelo que se comenta, foi explorado por cerca de 3.000 (tres mil) hackers bem pagos da NSA para acessar informações privilegiadas no mundo inteiro por mais de dois anos, através das chamadas portas de fundos (backdoors), criadas em cima do erro acima citado. Neste tipo de espionagem não se deixa rastros.
Por sua vez, a NSA nega que sabia da vulnerabilidade recentemente descoberta no software de criptografia OpenSSL, depois que a agência financeira Bloomberg relatou que a inteligência dos Estados Unidos explorou esta vulnerabilidade para roubar senhas e outros dados importantes. Ao colocar o Heartbleed em seu arsenal, a NSA deixou milhões de usuários vulneráveis ao ataque não só de seus hackers, mas de hackers criminosos dos serviços de inteligência de outros países. O pior de tudo foi a manutenção do segredo. Não só a NSA, mas outras agências de inteligência do mundo inteiro gastam milhões de dolares buscando falhas dos software que podem facilitar o roubo de dados de computadores supostamente seguros. Para a Bloomberg, o Heartbleed foi encontrado pela NSA logo após a sua introdução e estas revelações mostram o seu papel até certo ponto contraditório. De um lado a NSA protege os computadores e a indústria dos Estados Unidos de ataques cibernéticos, enquanto acumula os tesouros de ataques da inteligência aos computadores dos outros, incluindo outros governos.
Não se poderia esperar que a CPI da espionagem fosse encontrar algum
bug do tipo Heartbleed ou culpados pela espionagem no Brasil, até
porque eles estão, em geral, fora do país. Se a espionagem não
deixa rastros, como encontrar culpados? Mas quem são os culpados
pelas vulnerabilidades encontradas pela CPI? São os gestores
públicos, reconhecidos pela CPI como despreparados, principalmente
os resposáveis pela aquisição de tecnologias inseguras e repletas
de portas de fundos (backdoors). Todos estão aqui, mas a CPI não
quis identificá-los. São co-autores da espionagem. Ao longo dos
anos, o Brasil vem investindo bilhões de dolares em tecnologias de
informação, com uma enorme utilidade para facilitar a espionagem.
Estes investimentos poderiam ter sido feitos em saúde e educação
do nosso povo. Até certo ponto, o Brasil financia a espionagem dos
Estados Unidos, ora adquirindo tecnologias proprietárias (códigos
fechados), ora de códigos abertos. De uma forma ou de outra, cada
vez mais se comprova que nestas tecnologias estão imbutidas as
chamadas portas de fundos, criadas pela NSA, para facilitar a
espionagem. Aliás o Brasil já é tão espionado pelos países
desenvolvidos, que as tecnologias de informação são apenas um
diferencial para que isto seja feito à distancia, talvez a um custo
mais baixo e, até certo ponto, financiado pelos espionados.
Se
tivesse que delongar para concluir seu relatório final, a CPI iria
comprometer cada vez mais as vulnerabilidades do governo. É pena que
tenha concluído seu trabalho muito cedo. A CPI poderia ter sido mais
educativa, mostrando para a sociedade quais as organizações e
sistemas mais vulnerávies no país. Com a vulnerabilidade Heartbleed
já é possivel identificar algumas das tecnologias que estão sob
riscos no Brasil, embora seja comentado que os sites governamentais
nao tenham apresentado nenhum problema. O governo brasileiro, por
exemplo, é um grande consumidor do sistema Linux da Red Hat e, pelo
que se comenta, distribuições do Linux foram afetadas pela
vulnerabilidade Heartbleed. O governo deve apresentar para a
sociedade, imediatamente, um inventário de seus sites e as versões
do OpenSSL que estão sendo utilizadas. Como acreditar que os
sistemas da Petrobrás, Justiça Eleitoral (Voto Eletrônico), da
área de saúde e muitos outros não estão comprometidos? É
inadmissível a segurança por obscuridade.
Contrário ao que está acontecendo no Brasil, nos países
desenvolvidos a maioria das organizações, tanto públicas quanto
privadas, detém meios de proteção contra ataques cibernéticos.
Isto é constatado em relatório divulgado há poucos dias sobre
defesa cibernética, mostrando que a maioria de organizações dos
Estados Unidos e Europa apresentaram seus sistemas de proteção, com
74% delas satisfeitas com o investimento feito nesta área.
Contudo, a CPI da Espionagem apresentou seu lado positivo, que trata de ações políticas que devem ser implementadas para que tenhamos uma sociedade mais segura de ataques cibernéticos. Se algumas organizações se sentem protegidas, pelos menos nos países desenvolvidos, o usuário comum está, em geral, totalmente desprotegido. Só através de uma ação política enérgica é possivel se educar e criar um nível de proteção e segurança cibernética da nossa sociedade. Outros Heartbleeds, com certeza, vão aparecer, mas que possam servir de lição para os erros cometidos. Não podemos continuar ampliando a nossa dependência dos países desenvolvidos, adquirindo tecnologias inseguras e, até certo ponto, de pouca utilidade.
Comentários
Considero que como foi colocado sobre o relatório da CPI boa parte destes gestores de TIs não possui uma qualificação adequada para a função seja por falta de treinamento ou aprendizado como também a indicação política para certos cargos.
E um fato que realmente está inserido em nossa cultura e temos de modificá-la é sempre que agimos pós os acontecimentos e não nos preparamos para o mesmo. Isso com certeza gera um prejuízo astronômico que muitas vezes poderia ser evitado.
Sobre a falha detectada podemos citar o Registro.br como exemplo que também foi afetado o que realmente tende nos deixar cada vez mais alerta sobre o assunto.
Obrigado pelo compartilhamento de conhecimento.