Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
03/10/2002

< Divulgar falhas de segurança >
<
pode ser crime
>


Artigo publicado no suplemento Informátic@ do Estado de Minas em 03/10/2002

Não existe programa ou sistema operacional sem falhas. As mais temidas são as "falhas de segurança", que pessoas mal intencionadas usam para alterar ou ter acesso a dados, arquivos ou configurações de computadores alheios. A maioria dessas falhas é detectada por "hackers", especialistas em computação que passam a vida (ou a maior parte dela) fuçando programas. Quando quem descobre a falha é um hacker "do bem" (nos EUA conhecidos por "white hat", ou "chapéu branco"), ele informa os responsáveis pelo software que, então, providenciam a correção. Quando quem se depara com a falha é um hacker "do mal" ("black hat", ou chapéu preto), ele a mantém em segredo ou a divulga apenas entre seus pares que, até que ela se torne pública, provocam estragos consideráveis desenvolvendo vírus que dela se aproveitam.

Muitas vezes, no entanto, essas falhas são descobertas por profissionais ou usuários avançados não ligados a empresas de segurança de software como a maioria dos "white hats", mas cujo caráter os impede de se aproveitar desse conhecimento para tirar proveito ou prejudicar os outros, como os "black hats". Eles são conhecidos como "gray hats" (chapéus cinzentos). Quando um deles descobre uma vulnerabilidade, participa a descoberta aos desenvolvedores do software, instando-os a corrigi-la. Mas se a correção demorar ou o aviso for ignorado, eles tornam a falha pública com o objetivo de forçar a empresa responsável a tomar providências. Um esquema que funciona razoavelmente mas que está ameaçado de desmoronar. Porque, devido à redação confusa da DMCA ("Digital Millenium Copyright Act"), uma lei aprovada pelo congresso americano em 1998 para proteger a propriedade intelectual (veja texto em
<http://thomas.loc.gov/cgi-bin/query/z?c105:H.R.2281.ENR:>),
combinada com a arrogância de algumas corporações, quem agir assim corre o risco de dar com os costados na cadeia por melhores que sejam suas intenções.

Acontece que um dos artigos da DMCA, mais especificamente o 1201, trata da violação de esquemas de proteção e dispõe que "ninguém deve fabricar, importar, oferecer ao público, prover ou, de qualquer outra forma, dar acesso a qualquer tecnologia, produto, serviço, dispositivo, componente ou peça concebida com o principal propósito de burlar uma medida tecnológica que efetivamente controle o acesso a uma obra protegida por esta lei". Até agora esse artigo tem sido usado por empresas de entretenimento para reprimir a distribuição de programas que "destravam" a proteção de DVDs ou livros eletrônicos criptografados. Mas, da forma como foi redigida, a lei permite interpretações que, como veremos, pode gerar resultados desastrosos para os usuários.

Há cerca de dois meses um membro da SNOSoft, (Secure Network Operations, uma pequena empresa americana de segurança de redes), usando o codinome "Phaser", enviou para o SecurityFocus (<www.securityfocus.com/>), uma lista especializada na discussão detalhada de falhas de segurança de software da Bugtraq, uma nota denunciando uma falha no Tru64 Unix, um sistema operacional da HP. Quem a conhecesse poderia invadir o sistema e conquistar privilégios de administrador. Para comprovar a falha, Phaser anexou um programeto que demonstrava como isso poderia ser feito. Segundo um dos responsáveis pela SNOSOft, quando o programa foi publicado a falha já havia sido comunicada à HP há meses e nada havia sido feito para eliminá-la. Portanto, o procedimento de Phaser era o procedimento padrão dos "gray hats".

O problema é que a HP - mais particularmente seu vice-presidente da unidade de sistemas Unix, Kent Ferson - não concordou com isso. E enviou uma carta ameaçando os membros da SNOSoft com uma multa de meio milhão de dólares e pena de prisão por até cinco anos caso não prestassem a devida cooperação para remover a denúncia da lista do SecurityFocus e impedir qualquer divulgação futura, acrescentando que a falta de cooperação seria encarada como prova de má fé. E baseava as ameaças justamente no artigo 1201 da DMCA.

Foi a primeira vez que o artigo era utilizado para impedir a divulgação do resultado de pesquisas sobre falhas de segurança em sistemas de software alegando que a publicação do programa que comprova a vulnerabilidade (indispensável para validar a pesquisa) viola a lei, já que "divulga algo desenvolvido com o principal propósito de burlar uma medida tecnológica que controla o acesso a uma obra protegida". Se a HP levar o caso adiante ou convencer o Governo Americano a processar a SNOSoft pelas razões alegadas, será aberto um precedente legal que sujeitará a multa e prisão quem divulgar qualquer falha de segurança em programas ou sistemas operacionais (veja artigo de Declan McCullagh em
<http://zdnet.com.com/2100-1104-947325.html>).

A repercussão da atitude da HP na comunidade informata foi péssima. Uma síntese dela pode ser encontrada no comentário de Geoff Greene em uma lista de discussão sobre o assunto. Diz ele: "Carros que explodem, cigarros que causam câncer, brinquedos com peças que podem ser engolidas, seja qual for a indústria, se você fabricar um produto com falhas, pode apostar que alguém vai lhe processar e sair do tribunal com uma pilha de seu dinheiro. E se você tentar alguma retaliação contra quem apontar uma falha em seu produto, pode ficar certo que será processado. A não ser que... você desenvolva software" (veja o comentário completo na seção "TalkBack" do artigo "When is hacking a crime?" de Robert Lemos em
<http://zdnet.com.com/2100-1105-958920.html>).

Se a moda pega, a coisa fica séria. Até agora, a maior ajuda com que os usuários leigos contavam para obrigar as corporações a corrigir falhas de segurança em seus sistemas eram as denúncias dos hackers "do bem". Se elas forem proibidas, estaremos nas mãos dos hackers "do mal", que certamente descobrirão as vulnerabilidades e se aproveitarão delas.

Os desdobramentos disso são imprevisíveis. Mas os indícios não apontam para um final feliz. Para ter uma idéia, tente uma visita ao sítio da SNOSoft, em <www.snosoft.com>. Há alguns dias, quando comecei a coletar material para este artigo, ele estava no ar firme e forte. Já hoje minha tentativa resultou na conhecida  mensagem de erro "A página não pode ser exibida".

Que fim ela levou, não sei. Mas os presságios não são dos melhores...

(Os atalhos ("links") incluídos neste artigo podem ser encontrados na seção Escritos desta semana do Sítio do B.Piropo, em <www.bpiropo.com.br>).

 

 

B. Piropo