Sciam
Clique e assine Sciam
Notícias

Heartbleed e segurança coletiva da internet

Pesquisadores defendem centralização da responsabilidade por segurança na internet

Shutterstock
Quando a Casa Branca declarou desconhecer a pior falha de segurança da Internet, muitos sentiram alívio do que a raiva e isso é um sinal terrível

16 de abril de 2014 | Por Edward W. Felten e Joshua A. Kroll

SA Forum traz ensaios de convidado especialistas sobre atualidades em ciência e tecnologia .

Heartbleed é a mais grave falha de segurança conhecida da Internet. Por cerca de dois anos, dois terços dos sites permaneceram suscetíveis, poderiam ter sua memória extraída por ataques remotos — memória que contém informações pessoais, senhas e chaves de criptografia. Ataque heartbleed não foi detectado na maioria dos sites, por isso não podemos ter certeza da amplitude com que ele foi explorado ou o que poderia ter vazado.

Algumas evidências sugerem exploração ativa de heartbleed, já em Novembro de 2013, mas os pesquisadores ainda estão trabalhando para verificar os fatos.

Heartbleed foi causado por um erro de programação no código apresentado ao pacote de criptografia OpenSSL por um estudante de doutorado alemão em 2011. Era um tipo comum de erro, mas ninguém notou. A falha passou despercebida não apenas no processo de habilitação OpenSSL, mas também depois que foi adotado na versão oficial OpenSSL.

É de se supor que um software open-source como OpenSSL seja seguro porque todo mundo tem acesso para ler e analisar o código. O código aberto maximiza as chances de alguém, em algum lugar encontrar um bug antes que atinjam os usuários finais. Eric S. Raymond, defensor do open-source cita a famosa chamada Lei de Linus : "Com olhos suficientes , todos os erros são triviais. " Essa é uma boa notícia, se você tem olhos suficientes .

Mas OpenSSL sofre de escassez de olhares. O projeto é mantido por quatro pessoas, com um orçamento de menos de US $ 1 milhão por ano. Investimento de outro milhão, ou dois, em uma auditoria de segurança poderia ter evitado o heartbleed.

 Segurança OpenSSL, no entanto, é um bem público com problemas de financiamento: uma vez que existe, ninguém pode ser impedido de se beneficiar, muitos esperam carona depois que alguém pagar a conta .

O governo americano financia bens públicos, tais como a pesquisa científica básica, mas não investe na segurança de OpenSSL. Apesar de gastar bilhões por ano em segurança cibernética e declarar "cibernética" uma prioridade nacional, o governo ainda não oferece alguns milhões de dólares para reforçar esta infraestrutura de segurança.

O governo americano também não ofereceu ajuda concreta depois que heartbleed se tornou público, quando os usuários e operadores de pequenos sites se perguntavam o que fazer. Apesar de o governo auxiliar pessoas que enfrentam catástrofes naturais ou de riscos de segurança física, deixou os usuários desamparados quando heartbleed apareceu.

Em vez disso, a melhor notícia do governo americano sobre heartbleed foi a declaração clara e direta da Casa Branca de que nenhuma parte do governo dos EUA sabia sobre heartbleed antes de ser divulgado. Esta declaração evitou o clamor que se seguiria se a Agência de Segurança Nacional tivesse conhecimento de uma vulnerabilidade grave que afeta dois terços da Web.

Os defensores da administração suspiraram de alívio. Isso significa que muitas pessoas, incluindo os autores desse texto, temiam que o governo estivesse escondendo o conhecimento da Heartbleed por meses, preferiando deixar as pessoas vulneráveis . Esse medo acabou por ser deslocado, desta vez. A política recém-anunciada é divulgar as vulnerabilidades de forma responsável, a menos que envolva claras necessidades de segurança nacional ou questões legais. Um comentarista comparou isso a uma política estrita de não comer o chocolate, a menos que seja delicioso.

Para a maioria, as empresas são menos propensas a fornecer bens públicos do que o governo, tais como financiamento da segurança OpenSSL e orientações gerais para os usuários. No caso de algumas empresas, o heartbleed alertou os usuários para alterar suas senhas dentro do próprio local de trabalho, e isso é uma boa idéia, mas poucas ofereceram orientações.

 O simples fato é que não temos as instituições que precisam de suporte de segurança para usuários comuns da internet. As empresas não estão fazendo o trabalho. O governo não está preenchendo a lacuna e não pode fazê-lo de forma eficaz até que restaurar a confiança de que não está a tomar medidas ativas para minar a segurança. Alguém precisa assumir a liderança no financiamento e coordenação de auditorias de infra-estrutura, organização, divulgação de vulnerabilidades úteis ao público e proporcionar aconselhamento e orientação acessíveis para os usuários, bem como operadores de pequenos sites.

Existem entidades que fornecem cumprem algumas dessas funções. O projeto de Auditoria Abrir Crypto, por exemplo, visa financiar e coordenar auditorias de software open-source de segurança crítica. Mas uma organização central deve unificar esses esforços, identificar as questões não abordadas e apresentar informações claras para o público. Se nem o governo nem as empresas privadas vão fazer isso, então precisamos de uma instituição independente dedicada a servir as necessidades dos usuários finais de segurança.

Estaremos na batalha por segurança por um longo tempo, e nada pode nos fazer totalmente seguro. Heartbleed não será a última grave falha de segurança que vamos sofrer. Mas melhores instituições podem deixar essas falhas menos freqüentes, menos graves e menos confusas para os usuários. Com um pouco de liderança, e um investimento modesto, poderíamos ser campeões em segurança do usuário.

SOBRE O AUTORES

Edward W. Felten é Professor Robert E. Kahn de Ciência da Computação e Negócios Públicos e diretor do Centro para a Política de Tecnologia da Informação na Princeton University. 

Joshua A. Kroll é doutorando em ciência da computação na Universidade de Princeton .