Vírus, pirataria e software livre

Sou uma pessoa preocupada com segurança da informação, principalmente depois que frequentei um curso de pós-graduação na área e conheci algumas pessoas feras no assunto.

Hoje vi uma notícia que não foi nenhuma surpresa para mim, mas pode ser novidade para muitos, principalmente para aqueles que não são muito envolvidos no mundo da segurança e que acabou me dando vontade de escrever algumas linhas…

Segundo o McAfee Labs Blog (http://www.avertlabs.com/research/blog/index.php/2010/04/26/surrounded-by-malicious-pdfs/), um blog de segurança mantido pela McAfee, um importante produtor de softwares antivírus e de segurança da atualidade, o número de malwares (softwares maliciosos) contidos em arquivos no formato PDF cresceram asustadoramente nos últimos anos. Achou estranho o fato de arquivos PDF transportarem códigos maliciosos? Pois não é não: o formato PDF é riquíssimo em recursos e suporta até a execução de códigos Javascript.

O crescimento foi muito grande: entre 2007 e 2008 menos de 2% dos malwares existentes em arquivos PDF estavam diretamente relacionados a algum tipo de exploit. No primeiro trimestre de 2010 este número subiu para 28%.

Só para esclarecer, exploit é o nome dado a um código (software) capaz de explorar alguma fraqueza de um sistema ou software.

Agora imagine o número de computadores que possuem o Adobe Acrobat Reader instalado. Talvez seja mais fácil imaginar quantos não tem o Acrobat Reader não é?

É claro que a Adobe irá fazer as correções necessárias assim que possível e não estou criticando esta empresa e nenhuma outra. O fato é que esta notícia me fez lembrar de alguns pontos cruciais a serem considerados por todos os usuários e empresas atualmente:

Normalmente as empresas produtoras de software esperam as falhas surgirem para corrigi-las.

Muitas falhas de segurança não são enviadas para os fabricantes de software assim que descobertas, por vários motivos, dentre eles é que o cracker que a descobriu pode querer tirar vantagem desta falha (o que é um ato criminoso). Existem, no entanto, hackers que notificam as empresas sobre as falhas de segurança que encontram, mas muitas vezes o processo pode ser lento e complexo, pois depende da boa vontade da empresa em disponibilizar recursos para a análize e correção do problema.

Muitas empresas, mesmo sabendo dos problemas, ou simplesmente ignoram o fato deixando a solução para a próxima versão do produto, ou demoram demais para corrigir as falhas descobertas, inventando algumas receitas mágicas como, por exemplo, liberar correções de segurança apenas em determinados dias da semana ou mês. É como se sua casa estivesse sendo assaltada e, ao ligar para a polícia você recebesse a informação de que a patrulha somente pudesse atender o seu caso na próxima terça-feira. Estamos falando de roubo de informações, gente! Mas cada empresa é livre para definir suas estratégias, e temos que respeitá-las, mesmo por que não sabemos das reais dificuldades que elas enfrentam internamente.

Mesmo que o fabricante tenha corrigido a falha, ainda há o problema da atualização do software junto ao usuário: isso pode demorar anos! Muitos usuários utilizam softwares piratas, muitas vezes já instalados com algum malware ou que não permitam a atualização automática (por serem piratas). Ou pior ainda, muitas vezes o usuário não tem conhecimento suficiente para atualizar os softwares que tem instalado em seu computador. Afinal de contas, assim como você não precisa ser engenheiro mecânico e em eletrônica para dirigir um carro, também não podemos supor que para usar um computador o usuário tenha que ser um cientista da computação.

Como se não bastasse, ainda há o problema dos privilégios do usuário: infelizmente a facilidade de uso tanto pregada pelos fabricantes de software, notoriamente de sistemas operacionais, acabaram por enfraquecer a segurança do sistema: o usuário instala seu sistema e é dono dele, isto é administrador, com poderes de alterar qualquer arquivo ou configuração do sistema. Isto é um prato cheio para os malwares: imagine só poder fazer o que quiser no sistema… Segurança normalmente implica em algum tipo de restrição, o que invariavelmente é tido como oposto à usabilidade. Para mim há controvérsias neste conceito. O fato é que muitas restrições necessárias à segurança foram simplesmente ignoradas em favor da facilidade de uso. É como se a sociedade evoluísse e ficasse cada vez mais burra e escrava dos sistemas de software.

Depois vieram com uma janelinha que avisa o usuário que o comando a ser executado precisa de privilégios administrativos, contendo um botão “prosseguir” e outro “cancelar”. O que o usuário vai fazer? Clicar no botão “prosseguir”, sem pensar nas consequências, muitas vezes pelo simples fato de não saber o que significa aquela mensagem. Mas a falta de conhecimento de cumputação e segurança não é culpa do fabricante, mas sim um problema do usuário.

Isto é agravado pela onda de uso de softwares piratas em nossa sociedade: a Lei de Gerson (“Levar vantagem em tudo, certo?”) parece que se aplica como uma luva para a sociedade atual e, o que é pior, também nas empresas. Afinal, por que pagar quinhentos reais por um sofware se na “banquinha” na frente da praça posso comprar por cinco reais (e na “promoção”, três por dez reais)?

Mas então, o que podemos fazer? Podemos fazer algumas coisas básicas que podem ajudar muito. É preciso educar as pessoas, começando pelas crianças, a não usarem softwares piratas. Quem sabe se começarmos a usar apenas softwares originais os preços não caiam em virtude do aumento de vendas. Ou, melhor ainda, vamos incentivar o uso de softwares de código aberto, que não custam nada, onde as correções são feitas por uma comunidade de desenvolvedores e que liberam as correções imediatamente.

E nas empresas? Afinal, porque é que eu (usuário) tenho que pagar caro por softwares, se no meu trabalho só são usados softwares piratas? Nestes casos acho que elas (as empresas) poderiam começar por definir critérios para o uso de software, eliminando os softwares piratas e reduzindo os privilégios dos usuários. A questão é que, além do risco de ser envolvida num processo criminal por pirataria de software, há o risco de roubo de informações. Ou será que até os dirigentes das empresas, que deveriam ser pessoas esclarecidas, ainda acreditam que os vírus só travam os softwares dos computadores e fazem com tudo tenha que ser instalado novamente? Se alguém ainda pensa assim, vai aqui uma bomba: não é isso não, o objetivo da grande maioria destes códigos maliciosos é roubar informações dos usuários dos computadores e, como nas empresas estes mesmos usuários têm acesso às informações do negócio, pode ser muito mais fácil obter todos os desenhos de um projeto da empresa do que obter o número do cartão de crédito do usuário do computador. Senhores administradores de empresa, por favor, pensem um pouco: qual é o mais precioso bem de sua empresa? Os mais puritanos com certeza dirão que são as pessoas. Balela! A razão da existência das empresas é gerar lucros, ganhar dinheiro! O que acontece é que, por enquanto, elas (as empresas) precisam das pessoas para que isso ocorra. Então é melhor que estas pessoas se sintam importantes. Agora, pense mais um pouco, onde as pessoas (tão importantes) guardam suas informações? Nos computadores, certo? Mas então porque é que os softwares destes computadores são comprados de fontes não confiáveis? Alguém poderia dizer: “Mas as informações da minha empresa ficam em servidores, e eles são seguros, com softwares originais ou de código aberto, atualizados diariamente e que ficam trancados numa sala-cofre inviolável instalada a sete andares abaixo da terra, protegida por paredes de concreto de 6 metros de espessura. Ufa, parece difícil mesmo chegar lá.

Mas, como são acessados estes servidores? Através de estações de trabalho contendo softwares comprados na banquinha da esquina? Todos os usuários são administradores, para reduzir os custos de TI, porque não há pessoas suficientes para instalar os softwares necessários cada vez que um usuário grita? É, assim economiza-se até mesmo o dinheiro gasto com a compra do CD da banquinha: baixe tudo via Torrents, afinal de contas, quem iria querer instalar um vírus num simples software de editor de textos?

Para estes empresários, vou deixar uma frase que ouvi recentemente, também de um empresário (mas o asunto era outro): “Isso é coisa de quem pensa pequeno!”

Hoje não podemos confiar nem em arquivos PDF, que sempre foram envoltos no mito de que eram inalteráveis e seguros. Pois não são: há editores de arquivos PDF que editam diretamente o documento. O formato PDF é rico: permite até o uso de Javascript que, para quem não sabe, é uma linguagem de programação que permite, entre outras coisas, que certas ações sejam executadas quando o arquivo PDF é aberto ou alguma funcionalidade é acessada.

E aí, vai ficar parado ou vai começar a pensar em atualizar seu parque de softwares?

Acho que poderíamos começar por trocar os softwares proprietários por softwares livres. Analise as opções com o coração aberto: muitas vezes as mesmas coisas podem feitas de outra maneira por softwares diferentes. Isto não significa que um seja pior só porque cria uma tabela com dois cliques de mouse ao invés de um do seu software atual.

Fique apenas com os softwares proprietários para os quais não hajam equivalentes de código aberto. Mas sempre teste as alternativas. Se não tiver outra opção, fique com o proprietário, mas jamais use cópias piratas: compre-os, pois é com ele que sua empresa (ou você) irá ganhar algum dinheiro ou status.

Atualize sempre seus sistemas. Isso é imprescindível. Bugs ocorrem em todos os softwares, sejam eles proprietários ou livres. As grandes vantagens do software livre é que não custam nada, normalmente são corrigidos mais rapidamente e qualquer pode auditar o código quando quiser, basta ter conhecimento técnico suficiente. Não há nada obscuro no programa.

Aí, depois que você estiver usando softwares livres, porque não contribuir com a comunidade de desenvolvedores que fizeram aquele software que você usa e que lhe trás algum tipo de ganho, seja ele financeiro ou não? Isso contribuiria em muito para a melhora do software.

Fim…