segunda-feira, 21 de abril de 2014

CPI da Espionagem, a Vulnerabilidade Heartbleed e Ações Políticas

Na mesma semana em que a CPI da Espionagem no Brasil concluiu seu relatório, sem apresentar culpados, mas demonstrando grande vulnerabilidade da segurança cibernética do nosso país, o mundo se apavora com o bug Heartbleed, que pode ser traduzido como hemorragia cardiáca ou coração em sangria, nome de impacto midiático dado a uma falha do software OpenSSL, descoberta por engenheiros filandeses. Assim sendo, o bug Heartbleed é uma vulnerabilidade séria do software de criptografia conhecido como OpenSSL, identificada como sendo um novo flagelo e uma das maiores falhas da história da internet, afetando a segurança de cerca de dois terços de todos os websites mundiais. Seus efeitos levaram usuários em todo o mundo a mudarem suas senhas, grandes organizações a providenciarem possíveis defesas e o próprio governo do Canadá a suspender a submissão eletrônica de imposto de renda da população.

Se a CPI da Espionagem no Brasil desmistificou a mentira de muitos dirigentes públicos que, vergonhosa e publicamente, confirmam a grande segurança de nossos sistemas de informação, o bug Heartbleed descobriu uma verdade muito desconfortável, principalmente para o Governo Americano. Assim sendo, duas informações importantes, divulgadas na semana de aprovação do relatório da CPI, nos levam a concluir que a vulnerabilidade de segurança das tecnologias de informação no Brasil é pior do que se imagina e vai além do que é apontando no relatório da CPI da Espionagem. A vulnerabilidade Heartbleed pode ter afetado o país em cheio e o relatório da Bloomberg nos leva a esta suposição, considerando que a Agência de Segurança dos Estados Unidos, a chamada NSA, tinha conhecimento do blug Heartbleed e o utilizou regularmente para espionar o mundo. Assim sendo, no software de código aberto OpenSSL constava um erro, criado pelo programador alemão Robin Seggelman em 2011, o qual não foi corrigido, mas, pelo que se comenta, foi explorado por cerca de 3.000 (tres mil) hackers bem pagos da NSA para acessar informações privilegiadas no mundo inteiro por mais de dois anos, através das chamadas portas de fundos (backdoors), criadas em cima do erro acima citado. Neste tipo de espionagem não se deixa rastros.

Por sua vez, a NSA nega que sabia da vulnerabilidade recentemente descoberta no software de criptografia OpenSSL, depois que a agência financeira Bloomberg relatou que a inteligência dos Estados Unidos explorou esta vulnerabilidade para roubar senhas e outros dados importantes. Ao colocar o Heartbleed em seu arsenal, a NSA deixou milhões de usuários vulneráveis ao ataque não só de seus hackers, mas de hackers criminosos dos serviços de inteligência de outros países. O pior de tudo foi a manutenção do segredo. Não só a NSA, mas outras agências de inteligência do mundo inteiro gastam milhões de dolares buscando falhas dos software que podem facilitar o roubo de dados de computadores supostamente seguros. Para a Bloomberg, o Heartbleed foi encontrado pela NSA logo após a sua introdução e estas revelações mostram o seu papel até certo ponto contraditório. De um lado a NSA protege os computadores e a indústria dos Estados Unidos de ataques cibernéticos, enquanto acumula os tesouros de ataques da inteligência aos computadores dos outros, incluindo outros governos.

Não se poderia esperar que a CPI da espionagem fosse encontrar algum bug do tipo Heartbleed ou culpados pela espionagem no Brasil, até porque eles estão, em geral, fora do país. Se a espionagem não deixa rastros, como encontrar culpados? Mas quem são os culpados pelas vulnerabilidades encontradas pela CPI? São os gestores públicos, reconhecidos pela CPI como despreparados, principalmente os resposáveis pela aquisição de tecnologias inseguras e repletas de portas de fundos (backdoors). Todos estão aqui, mas a CPI não quis identificá-los. São co-autores da espionagem. Ao longo dos anos, o Brasil vem investindo bilhões de dolares em tecnologias de informação, com uma enorme utilidade para facilitar a espionagem. Estes investimentos poderiam ter sido feitos em saúde e educação do nosso povo. Até certo ponto, o Brasil financia a espionagem dos Estados Unidos, ora adquirindo tecnologias proprietárias (códigos fechados), ora de códigos abertos. De uma forma ou de outra, cada vez mais se comprova que nestas tecnologias estão imbutidas as chamadas portas de fundos, criadas pela NSA, para facilitar a espionagem. Aliás o Brasil já é tão espionado pelos países desenvolvidos, que as tecnologias de informação são apenas um diferencial para que isto seja feito à distancia, talvez a um custo mais baixo e, até certo ponto, financiado pelos espionados.

Se tivesse que delongar para concluir seu relatório final, a CPI iria comprometer cada vez mais as vulnerabilidades do governo. É pena que tenha concluído seu trabalho muito cedo. A CPI poderia ter sido mais educativa, mostrando para a sociedade quais as organizações e sistemas mais vulnerávies no país. Com a vulnerabilidade Heartbleed já é possivel identificar algumas das tecnologias que estão sob riscos no Brasil, embora seja comentado que os sites governamentais nao tenham apresentado nenhum problema. O governo brasileiro, por exemplo, é um grande consumidor do sistema Linux da Red Hat e, pelo que se comenta, distribuições do Linux foram afetadas pela vulnerabilidade Heartbleed. O governo deve apresentar para a sociedade, imediatamente, um inventário de seus sites e as versões do OpenSSL que estão sendo utilizadas. Como acreditar que os sistemas da Petrobrás, Justiça Eleitoral (Voto Eletrônico), da área de saúde e muitos outros não estão comprometidos? É inadmissível a segurança por obscuridade.

Contrário ao que está acontecendo no Brasil, nos países desenvolvidos a maioria das organizações, tanto públicas quanto privadas, detém meios de proteção contra ataques cibernéticos. Isto é constatado em relatório divulgado há poucos dias sobre defesa cibernética, mostrando que a maioria de organizações dos Estados Unidos e Europa apresentaram seus sistemas de proteção, com 74% delas satisfeitas com o investimento feito nesta área.

Contudo, a CPI da Espionagem apresentou seu lado positivo, que trata de ações políticas que devem ser implementadas para que tenhamos uma sociedade mais segura de ataques cibernéticos. Se algumas organizações se sentem protegidas, pelos menos nos países desenvolvidos, o usuário comum está, em geral, totalmente desprotegido. Só através de uma ação política enérgica é possivel se educar e criar um nível de proteção e segurança cibernética da nossa sociedade. Outros Heartbleeds, com certeza, vão aparecer, mas que possam servir de lição para os erros cometidos. Não podemos continuar ampliando a nossa dependência dos países desenvolvidos, adquirindo tecnologias inseguras e, até certo ponto, de pouca utilidade.

Nenhum comentário: