PostHeaderIcon Segurança sem software livre? Esqueça.

Há ainda quem pense ser possível tratar de segurança da informação sem associá-la, necessariamente, à software livre e vice-e-versa. Discussão sempre presente em minhas palestras, cursos e conversas junto a alunos, a ouvintes e à colegas, os dois temas, em minha perspectiva, são completamente indissociáveis. E as razões para tal fundamentam-se nas próprias definições e conceitos básicos inerentes a software livre e a segurança. E sim, é natural que, uma vez válida a premissa de que segurança e software livre são complementares, a implementação de soluções de segurança com software proprietário é utópica e recheada de riscos demasiadamente silenciosos.

Um dos princípios básicos da segurança da informação afirma que não se deve implementar soluções por meio de obscuridade. Para efeito prático e ilustrativo, esse princípio aplica-se, por exemplo, à criptografia, um dos artifícios mais populares da área de segurança da informação e presentes em uma infinidade de softwares e protocolos. Nesse caso, submeter-se a esse princípio significa utilizar ou projetar soluções onde a segurança encontra-se baseada nas chaves criptográficas utilizadas e não nos mecanismos de funcionamento interno dos algoritmos criptográficos.

A propósito, os algoritmos criptográficos mais seguros e utilizados, hoje em dia, são de conhecimento público, tais como o AES (Rijndael), o 3DES, o Blowfish, dentre outros. Por outro lado, utilizar algoritmos criados de maneira isolada em corporações que desenvolvem soluções de software, significa abdicar da análise em massa por meio da comunidade científica e acadêmica da área de criptografia. E o que isso pode indicar? Num primeiro momento, nenhuma corporação está apta a fazer uma análise tão completa em soluções criptográficas quando comparada à análise franca e aberta de pesquisadores e estudiosos da área de criptografia ao redor do mundo. Isso aumenta a possibilidade de existirem falhas nos próprios algoritmos que não foram encontradas antes da solução ser amplamente incorporada em produtos comerciais, por exemplo. Em um segundo momento, o mais crítico ao considerar a utilização de algoritmos criptográficos "particulares" está no fato de não se ter, na maioria dos casos, condições de detectar backdoors que viabilizem driblar o uso de chaves criptográficas seguras.

Convencido de que a obscuridade pode ser um problema grave do ponto de vista de segurança,  o que é, então, software com licenciamento proprietário senão um produto cujos mecanismos de funcionamento mais internos são reservados somente a quem detém o direito de consultar e utilizar o código-fonte do produto? Em poucas palavras, software proprietário é, intrinsecamente, obscuro. Mesmo que se pudesse ver o código-fonte de um produto proprietário (estranho, não?), como pode-se ter certeza de que o executável foi gerado a partir dos fontes consultados? Ao continuar essa análise, não vai ser difícil perceber que moldar o software proprietário a uma alternativa mais segura e menos obscura significa distanciá-lo, cada vez mais de sua concepção como proprietário e aproximá-lo do conceito de software livre.

Mas o que dizer das inúmeras soluções de segurança disponíveis e "consagradas" no mercado e que estão licenciadas como software proprietário? Tais soluções podem até fazer o que se propõem a fazer. Entretanto, a falta de auditabilidade dificulta, em muito, saber o que pode estar sendo feito além das funções publicamente previstas para um determinado software. Utilizar soluções de software proprietário significa depositar confiança plena e irrestrita no fabricante do software quanto a sua idoneidade em não valer-se do privilégio de ser a único a ter acesso ao código-fonte de um produto em funcionamento no ambiente de clientes.

Sob uma última análise, quando não possuem interesses meramente comerciais, as opiniões contrárias à premissa discutida de associação irrestrita entre software livre e segurança apoiam-se no volume de esforço necessário para remover toda a parafernalha proprietária já implantada em muitas corporações. As vezes, é melhor não mexer em casa de marimbondo.

2 Responses to “Segurança sem software livre? Esqueça.”

Leave a Reply