Especialistas acreditam que empresas de tecnologia não dão devida atenção à segurança em seus serviços

NYT

Em termos da programação de computadores, foi o equivalente a errar a grafia de "Mississippi" – um erro que é ao mesmo tempo comum, inevitável e muito difícil de perceber.

O bug conhecido como Heartbleed – uma falha ocorrida na maioria dos sistemas mais usados para criptografar os dados de consumidores na rede – serve para nos lembrar de que a internet ainda é jovem e vulnerável a todo o tipo de perigo, incluindo os erros humanos mais corriqueiros. Os sistemas digitais de hoje são complexos e fazem parte de todos os setores da nossa vida. É impossível viver sem eles.

LEIA TAMBÉM:
Entenda o que é a falha de segurança Heartbleed

"O Heartbleed é mais uma evidência de que estamos longe de ter as coisas sob controle, quando se trata de segurança na Internet", afirmou Edward Felten, especialista em segurança digital da Universidade de Princeton.

Sob alguns aspectos, o mundo tecnológico de hoje lembra os dias de caos de outros setores essenciais, incluindo o frigorífico, conforme exibido em "The Jungle", de Upton Sinclair, ou a indústria automobilística mostrada por Ralph Nader em "Unsafe at Any Speed". Embora esses setores tenham se tornado seguros por meio de uma série de regulamentações e da cooperação coletiva, o progresso não foi rápido e foi resultado de tentativa e erro.

Veja fotos de data centers do Google pelo mundo

Entretanto, ainda não se sabe se as mesmas soluções funcionarão para o setor de tecnologia. Nossa sociedade decidiu mergulhar de cabeça em um mundo dominado por aparelhos eletrônicos, com cada vez mais conveniência, em detrimento da segurança. Estamos armazenando um volume crescente de informações importantes em novos aparelhos operados por softwares complexos. E todos eles são interdependentes, o que torna o ecossistema ainda mais vulnerável.

Muito embora a segurança seja uma área preocupante para as grandes empresas de tecnologia, ela é colocada em segundo plano, ao invés de ser uma parte essencial da criação de todos os produtos que utilizamos. Os especialistas afirmam que embora seja possível criar uma cultura tecnológica mais segura, é necessário um investimento de longo prazo para orientar engenheiros de software e melhorar as tecnologias de base do setor.

"Há um determinado nível de cuidado com o design de sistemas e os detalhes de seu funcionamento que ainda não existe na cultura do desenvolvimento de softwares", afirmou Felten. "Não temos o tipo de cultura de segurança que é tão comum em áreas como a aviação".

Isso se deve ao fato de que o aumento da segurança tornará os produtos menos rápidos, novos e convenientes para os consumidores.

"Temos padrões para a escrita de códigos de sistemas fundamentais como a indústria aeronáutica, mas não sei se gostaríamos de ver esses padrões aplicados em todos os setores", afirmou Matthew Green, professor de pesquisa e criptografia da Universidade Johns Hopkins.

Heartbleed foi "simples erro de programação", diz responsável pela falha

Padrões tão estritos exigem que os programadores passem significativamente mais tempo testando suas obras – e nem as empresas de tecnologia, nem os consumidores têm paciência para esperar tanto tempo.

"Não acredito que alguém esteja disposto a esperar mais 20 anos pelo próximo Google ou Facebook", afirmou Green.

Assim como outros bugs similares encontrados recentemente – incluindo um nos aparelhos móveis e desktop da Apple – a falha conhecida como Heartbleed passou despercebida por anos. Até onde os pesquisadores podem dizer, o problema foi criado por um programador que realizou uma mudança rotineira de código no Ano Novo de 2011. O OpenSSL, o sistema onde o erro foi encontrado, é um programa de código aberto, o que significa que o código está na rede e pode ser modificado por qualquer pessoa. Em teoria, ele é mais seguro contra bugs do que um sistema fechado; uma vez que existem inúmeros programados checando o código, a falha deveria ter sido detectada rapidamente.

Mas aparentemente não foi isso que aconteceu.

"Não havia gente o bastante fazendo a checagem – e isso é um péssimo sinal", afirmou Green.

Um dos problemas pode ser simplesmente econômico. Muitas empresas da internet dependem de tecnologias gratuitas como o OpenSSL para operar seus sistemas, mas elas nem sempre enviam recursos para as pequenas equipes desenvolvedoras.

"Se conseguíssemos 500.000 dólares em verbas para o OpenSSL e outras equipes do tipo, talvez esse problema não voltasse a acontecer", afirmou Green.

Diferentemente de outros rincões potencialmente perigosos da vida moderna, como a aviação e a saúde, a indústria tecnológica é estranhamento volúvel. As empresas que estão no comando do setor hoje, certamente perderão espaço para empresas mais novas que oferecem formas supostamente melhores de fazer as coisas. Essa transformação constante impede que o setor se coordene para aumentar a segurança.

"Não sei dizer se existe outro setor que lide com tantas mudanças e tanto uso em tão pouco tempo", afirmou Kurt Baumgartner, pesquisador do Kaspersky Lab, uma empresa de segurança online.

Ainda assim, Baumgartner crê que o setor esteja melhorando. Ao contrário da forma lenta através da qual as empresas costumavam reagir às ameaças de segurança, a reação do setor ao Heartbleed foi "responsavelmente coordenada", afirmou. Muitas grandes empresas consertaram o problema antes mesmo de divulgá-lo. "No geral, as coisas estão melhorando".

Mas será que isso é o bastante para resistir a um grupo cada vez mais determinado de agressores? De acordo com um estudo recente publicado pela Risk Based Security, uma empresa de pesquisa em risco, mais de 2.000 falhas de segurança de dados ocorreram em 2013. A boa notícia é que o número é menor que em 2012, quando mais de 3.000 episódios foram relatados. A má notícia é que os ataques de 2013 resultaram em maiores danos – cerca de 814 milhões de dados foram expostos ao longo do ano (incluindo cartões de crédito, caso tenha feito alguma compra no site da Target), cerca de duas vezes mais que qualquer outro ano registrado.

Heartbleed afeta também celulares com sistema Android

Os números apontam para outro fator que aumenta a dificuldade de lidar com as ameaças digitais: os invasores são inteligentes, de forma que os avanços na tecnologia de segurança costumam ser acompanhados de novos métodos para o ataque. Isso torna a segurança online um problema mais complicado do que a melhoria na segurança dos automóveis, por exemplo.

Se você consertar algum bug de segurança na internet, pode ter certeza de que os invasores encontrarão outro, possivelmente ainda mais perigoso.

"No geral, os invasores têm a vantagem competitiva", afirmou Jen Weedon, que trabalha na equipe de inteligência da empresa de segurança Mandiant. "A linha de defesa precisa cuidar de tudo, ao passo que os invasores precisam encontrar apenas uma vulnerabilidade".

Se você ainda não estiver preocupado o bastante, eis mais uma razão para esperar que a tecnologia digital continue vulnerável a erros.

"Existe um processo subjacente, que indica que à medida que os aparelhos passam a ter mais memória ou potência, os produtos se tornam mais complexos – até que ele se torna tão complicado que fica difícil demais de entender", afirmou Felten.

Aquele relógio "inteligente" que você está usando hoje pode não ser muito complexo, mas daqui alguns anos, os smartwatches podem funcionar com processadores tão poderosos quanto os dos laptops de hoje.

As empresas criarão milhares de aplicativos para utilizar toda essa potência e você provavelmente os instalará, já que deseja tornar sua vida mais conveniente e divertida. Você vai colocar todos os seus dados mais preciosos no relógio e, sem perceber, seu relógio se tornará o próximo alvo. Entre todos esses aplicativos haverá alguma ameaça que ninguém esperou.

"À medida que nossos métodos de engenharia se tornam melhores, nossos produtos vão ficando mais complicados, de forma que sempre utilizamos a complexidade máxima com a qual nossos processos de engenharia podem lidar", afirmou Felten.

Isso significa que estamos todos perdidos? Não necessariamente; os pesquisadores ficam felizes com o fato de que invasões e vulnerabilidades de grandes proporções estejam ganhando mais atenção, o que pode levar o setor e os consumidores a enxergarem a segurança com maior seriedade.

"Ao longo do último ano, é interessante ver como essas ameaças ganharam destaque", afirmou Weedon. "Pessoas comuns estão falando com frequência sobre como garantir a segurança de seus sistemas. E isso é o máximo que podemos esperar neste momento".

    Faça seus comentários sobre esta matéria mais abaixo.