Jansen Sena

"“Give us directions; the best of goodwill. Put us in touch with your fair winds” - (Weathercock, JT)"

• Home
• About me
• Contatos
• Cursos
• Palestras recentes
• Projetos livres
• Resenhas

Artigos Recentes

• Publicados os slides da palestra de backdoors em sistemas GNU/Linux.
• Linux cresce 17% na China em 2008.
• Reiniciando um servidor Linux a partir do diretório /proc.
• Problema com screen lock no Ubuntu-eee 8.04.1.
• Ubuntu-eee 8.04.1: um rápido overview
• Preso pelo YouTube!
• Eleições, emails e segurança nos tempos da Internet.
• ubuntu-eee instalado (mesmo com a Lei de Murphy)!
• Software livre em Santarém/PA!
• EeePC + Ubuntu = ubuntu-eee.

Search

Páginas

• About me
• Contatos
• Cursos
• Palestras recentes
• Projetos livres
• Resenhas

Categorias

Geral Dicas e truques Segurança Software Livre Notícias

Blogroll

• Alexandre Oliva
• Anahuac de Paula
• Comunidade SOL
• Gustavo Pacheco
• Odenildo Sena
• Paulino Michelazzo
• Rodrigo Belém
• Sérgio Amadeu
• Tiago de Melo

Calendário

« Internet mais segura | Main | O conto do atacante que virou herói »

Segurança sem software livre? Esqueça.

By admin | Novembro 20, 2007

Há ainda quem pense ser possível tratar de segurança da informação sem associá-la, necessariamente, à software livre e vice-e-versa. Discussão sempre presente em minhas palestras, cursos e conversas junto a alunos, a ouvintes e à colegas, os dois temas, em minha perspectiva, são completamente indissociáveis. E as razões para tal fundamentam-se nas próprias definições e conceitos básicos inerentes a software livre e a segurança. E sim, é natural que, uma vez válida a premissa de que segurança e software livre são complementares, a implementação de soluções de segurança com software proprietário é utópica e recheada de riscos demasiadamente silenciosos.

Um dos princípios básicos da segurança da informação afirma que não se deve implementar soluções por meio de obscuridade. Para efeito prático e ilustrativo, esse princípio aplica-se, por exemplo, à criptografia, um dos artifícios mais populares da área de segurança da informação e presentes em uma infinidade de softwares e protocolos. Nesse caso, submeter-se a esse princípio significa utilizar ou projetar soluções onde a segurança encontra-se baseada nas chaves criptográficas utilizadas e não nos mecanismos de funcionamento interno dos algoritmos criptográficos.

A propósito, os algoritmos criptográficos mais seguros e utilizados, hoje em dia, são de conhecimento público, tais como o AES (Rijndael), o 3DES, o Blowfish, dentre outros. Por outro lado, utilizar algoritmos criados de maneira isolada em corporações que desenvolvem soluções de software, significa abdicar da análise em massa por meio da comunidade científica e acadêmica da área de criptografia. E o que isso pode indicar? Num primeiro momento, nenhuma corporação está apta a fazer uma análise tão completa em soluções criptográficas quando comparada à análise franca e aberta de pesquisadores e estudiosos da área de criptografia ao redor do mundo. Isso aumenta a possibilidade de existirem falhas nos próprios algoritmos que não foram encontradas antes da solução ser amplamente incorporada em produtos comerciais, por exemplo. Em um segundo momento, o mais crítico ao considerar a utilização de algoritmos criptográficos "particulares" está no fato de não se ter, na maioria dos casos, condições de detectar backdoors que viabilizem driblar o uso de chaves criptográficas seguras.

Convencido de que a obscuridade pode ser um problema grave do ponto de vista de segurança,  o que é, então, software com licenciamento proprietário senão um produto cujos mecanismos de funcionamento mais internos são reservados somente a quem detém o direito de consultar e utilizar o código-fonte do produto? Em poucas palavras, software proprietário é, intrinsecamente, obscuro. Mesmo que se pudesse ver o código-fonte de um produto proprietário (estranho, não?), como pode-se ter certeza de que o executável foi gerado a partir dos fontes consultados? Ao continuar essa análise, não vai ser difícil perceber que moldar o software proprietário a uma alternativa mais segura e menos obscura significa distanciá-lo, cada vez mais de sua concepção como proprietário e aproximá-lo do conceito de software livre.

Mas o que dizer das inúmeras soluções de segurança disponíveis e "consagradas" no mercado e que estão licenciadas como software proprietário? Tais soluções podem até fazer o que se propõem a fazer. Entretanto, a falta de auditabilidade dificulta, em muito, saber o que pode estar sendo feito além das funções publicamente previstas para um determinado software. Utilizar soluções de software proprietário significa depositar confiança plena e irrestrita no fabricante do software quanto a sua idoneidade em não valer-se do privilégio de ser a único a ter acesso ao código-fonte de um produto em funcionamento no ambiente de clientes.

Sob uma última análise, quando não possuem interesses meramente comerciais, as opiniões contrárias à premissa discutida de associação irrestrita entre software livre e segurança apoiam-se no volume de esforço necessário para remover toda a parafernalha proprietária já implantada em muitas corporações. As vezes, é melhor não mexer em casa de marimbondo.

Topics: Segurança, Software Livre |

2 Responses to “Segurança sem software livre? Esqueça.”

1. Tiago Eugenio de Melo Says:
   Novembro 21st, 2007 at 12:01 pm

   Amigo, parabéns pelo site! Está bem organizado, limpo e de fácil acesso.

   Abraços,
   Tiago.

2. Éverton "Notrev" M. Arruda Jr Says:
   Novembro 21st, 2007 at 4:13 pm

   É verdade, as falhas descobertas em um software de código aberto são muito mais facilmente encontradas, devido à quantidade de cabeças de diferentes opiniões e visões que o estudam, e assim também funciona para as correções para essas falhas.

Comments

Name (required)

Mail (will not be published) (required)

Website

Jansen Sena is proudly powered by WordPress - Designed by RFDN
Entries (RSS) and Comments (RSS)