Meio Bit » Indústria » Microsoft, um elo fraco na segurança nacional

Microsoft, um elo fraco na segurança nacional

A afirmação é do ex-conselheiro da Casa Branca americana Richard A. Clarke em seu novo livro Cyber War: The Next Threat to National Security and What to Do About It (ainda sem título em português).

11 anos atrás

Cyber Wars

"A Microsoft detem vastos recursos, literalmente bilhões de dólares em reservas e ativos líquidos. A Microsoft é um império incrivelmente bem-sucedido que fora construído sob a premissa de dominação do mercado com produtos de baixa qualidade"

Não foi Steve Jobs, Linus Torvalds ou Ralph Nader que escreveram as linhas acima. Não senhor... A afirmação é do ex-conselheiro da Casa Branca americana Richard A. Clarke em seu novo livro Cyber War: The Next Threat to National Security and What to Do About It (ainda sem título em português).

Clarke, que já foi chamado de "O Czar americano do anti-terrorismo", não era do tipo lá muito ouvido. Quer dizer, 'antes' ele não era. Especialmente porque fora ele um dos que mais aporrinhou o então presidente Bush a respeito de possíveis ataques do Al-Qaeda antes de 11 de setembro de 2001. E se teve uma coisa boa (para ele) que nasceu depois daquela desgraça foi a exposição que ele imediatamente alcançou após o ataque. Desde então, Clarke + "eu avisei" + 11 de setembro são praticamente sinônimos.

Meio que numa de não querer encarnar o papel de Jack Bauer aposentado, porém de plantão (mas encarnando pior), Clarke aponta com todos os dedos aquilo que acha realmente um problema de segurança nacional: a vulnerabilidade e a "enorme dependência do software sem lei" de toda a matriz energética e financeira de seu país — embora aborde indiretamente o mesmo modelo para o resto do mundo.

"As redes abrem uma possibilidade terrível para ataques online devastadores" diz Clarke, afirmando com veemência que "a população civil, suas organizações servidoras e empresas estatais que estão literalmente a gerir todo o país são as mais diretamente afetadas no caso de uma guerra virtual".

Como se numa viagem pela linha do tempo de e-encrencas de médio e grande porte, Clarke leva o leitor a momentos como o ataque de DDoS ocorrido na Estonia em 2007. Partindo daí, ele mesmo pergunta "O quão sérias as coisas podem ficar?" e parte para a sua própria versão da resposta já na página 64 da edição em inglês.

Lá, Clarke contrata hipoteticamente você como Assistente da Presidência para assuntos de Segurança Nacional e conduz o seu olhar para o cenário de uma tragédia. O operador de comunicações do NSA lhe manda uma mensagem em seu Blackberry que diz: "Movimentações em grande escala de diversos tipos de malware, circulando na internet em servidores dos EUA, afetando criticamente infra-estruturas diversas'.

Ao chegar em seu escritório, a maioria das redes locais já entraram em colapso, diversas refinarias em todo o país foram incendiadas por conta de falhas no sistemas computadorizados de controle, a Federação de Tráfego Aéreo em Virgínia desmorona em meio ao caos e os primeiros relatórios indicam que os ataques apenas começaram...

"O presidente do Banco Central (FED) acabou de ligar", lhe diz o Secretário do Tesouro. "Os bancos de dados foram perdidos". Enquanto isso, quedas de energia generalizadas vão se amontoando em todos os estados e o caos se instala. As pessoas que deveriam informar você sobre cada uma delas não o fazem, "...porque não conseguem mais se comunicar com nada nem ninguém".

Com uma pegada real-e-cinematográfica, Clarke conseguiu atrair um bocado de barulho ao redor da sua abordagem alarmista. Dê uma ouvida na entrevista "assustadora" dele para o podcast de Terry Gross, no programa Fresh Air, da NPR.

"Algumas pessoas têm interesses em manter as coisas como estão: desregulamentadas" diz Clarke no livro. "Algumas dessas pessoas literalmente 'compraram' seu acesso na máquina administrativa" e segue, apontado a Microsoft como uma das sete companhias que aparecem como proeminentes membros da lista de doadores políticos conhecida como "Heavy Hitters" no website OpenSecrets.Org.

Frases escancaradas dirigidas diretamente à Microsoft, como "Não deixe que se criem leis para a indústria de software; não permita que o Pentágono pare de usar nossos programas, não importa quantas falhas eles eventualmente tenham; e não mencione absolutamente nada sobre a produção de software no exterior ou sobre acordos com a China" populam várias páginas do volume.

Trocando uma longa, interessante e agressiva explanação em miúdos, Clarke levanta que muito da insegurança, vírus, vulnerabilidades, etc etc etc, existentes hoje têm um porquê. Não uma razão cronológica ou evolutiva das coisas, mas sim de interesses em toda essa dependência da própria Microsoft. Segundo ele, com as leis corretas e maior rigor, a segurança online seria uma "outra coisa" bem diferente.

"Produtos baratos, bem mais baratos que aqueles que você pagaria para construir de maneira customizada". É assim que ele define praticamente toda a cadeia de valor da gigante americana. "O pior de tudo é que, mesmo com o COTS (programa de incentivo e descontos), a Microsoft levou aos computadores do Pentágono e às nossas redes militares os mesmos bugs e vulnerabilidades que existem no computador da sua casa", escreve.

"Quando o sistema Windows NT caiu (como sempre acontece), o navio se tornou imediatamente em um gigantesco tijolo boiando no oceano, perdido, morto em alto-mar", citando o caso do porta-aviões USS Yorktown, abafado de 1997. "Em resposta imediata à 'legião iminente de falhas e fracassos' do sistema, o governo norte-americano passou a utilizar o Linux OS em diversas frentes. Dessa forma, o Pentágono e outras agências podiam "desossar" o código-fonte, pegar o que precisassem dele e eliminar eventuais bugs".

Clarke diz em resposta que "A Microsoft trilhou um caminho de guerra contra o Linux e fez de tudo para atrasar a adoção do OS por comitês governamentais. Todavia, por conta de já exisitirem agências do governo a utilizar o Linux, foi pedido à NSA (Agência Nacional de Segurança) que emitisse um relatório do cenário atual. Em uma ação que mesmerizou toda a comunidade open source, a própria NSA se juntou aos desenvolvedores oferecendo publicamente ajustes e patches para aumentar a segurança da plataforma. A Microsoft então me deu a nítida impressão (na época) que se o governo continuasse a promover o Linux ela então pararia de cooperar com os Estados Unidos da América. O que certamente não teve forte apelo para mim, entretanto, teve para outros no governo. O software da Microsoft ainda continua sendo comprado por muitas agências federais, muito embora o Linux seja gratuito e muito mais suscetível à ajustes de segurança, menos falho e mais estável."

Em uma outra declaração, não menos polêmica, Clarke deixa claro o conteúdo de supostas conversas com a Microsoft durante a época que atuou como conselheiro da Casa Branca, e compartilha: "Muitos internos da Microsoft já me confidenciaram que a empresa não leva realmente a sério a questão de segurança, mesmo diante do fato de serem frequentemente envergonhados com falhas e invasões amplamente publicadas na mídia". Diz ele que, quando a Apple e a comunidade de desenvolvedores do Linux começaram realmente a oferecer uma alternativa competitiva ao mercado já monopolizado da Microsoft, a empresa passou a atentar para alguns upgrades, mas nunca levando a questão de segurança realmente a sério.

"Não é estranho? Ver que ao invés de apenas maquiar mudanças que não são mudanças reais, a primeira coisa que a empresa faz quando começa a encontrar competição à altura é investir em fortes lobbies contra novos padrões regulatórios de segurança de software".

De acordo com os indicadores analisados e oferecidos por Clarke, sai muito mais barato para a Microsoft comprar lobistas e porta-vozes de diferentes secretarias do governo, do que parar para investigar o tamanho do buraco em que sua cadeia de produtos se encontra "desde sempre". Pior ainda, Clarke diz que "a Microsoft é apenas uma das empresas da cyber-indústria atual que desfruta de boa vida com essa situação, sendo qualquer mudança algo bastante ruim" para os seus negócios.

De qualquer maneira, dado o maciço amontoado de crítica contra e a favor dos conteúdos do "Cyber Wars", após terminar de ler o livro, concordo com a impressão (da fonte) de que não devemos mergulhar direto na parte mais catastrófica da sua visão. Antes, por exemplo, devemos considerar seriamente o impacto das mudanças legais que ele sugere. Imagine o governo a controlar ISPs gigantescos para que rodem uma "inspeção compartilhada de pacotes" na busca de malware? Calma lá também...

Em contra-ponto, achei mesmo bem interessante quando ele diz que "a privatização do governo nas últimas duas décadas pode até ter juntado montes de dinheiro, mas seguramente comprometeu a habilidade do país de defender partes vitais da nação contra ataques, desde os menores até os mais impactantes". É fato que existem mesmo inúmeras vulnerabilidades, não só nos EUA como em qualquer outro país. A questão é "por quê?", "quais?" (na real) e "quem ganha com elas?".

Agora, uma coisa que todos concordam é:

Como duvidar daquele cara que, de verdade, te avisou daquela merda toda uma vez no passado? (e estava certo).

Fonte: ArsTechnica

Leia mais sobre: , , , , .

relacionados


Comentários