Código aberto vira assunto de segurança nacional, e Google quer ajudar

Governo dos EUA se reuniu com gigantes de TI para discutir segurança em código aberto; assunto ganhou destaque após falha no Log4j

Emerson Alecrim
Código-fonte (imagem ilustrativa: Chris Ried/Unsplash)
Código-fonte (imagem ilustrativa: Chris Ried/Unsplash)

Em um mundo ideal, todos os softwares de código-fonte aberto seriam permanentemente revisados para prevenir falhas de segurança. Mas a realidade é diferente, tanto que o assunto chamou a atenção do governo dos Estados Unidos: depois de uma grave vulnerabilidade no Apache Log4j, a Casa Branca se reuniu com empresas de tecnologia para tratar do assunto. O Google é uma das companhias mais engajadas na causa.

O assunto realmente merece atenção, afinal, softwares de código-fonte aberto são utilizados no mundo todo, tanto por indivíduos quanto por organizações de diferentes portes. As razões para isso você já conhece: a natureza aberta permite que esses projetos sejam melhorados ou adaptados por qualquer interessado; eles são gratuitos e é relativamente fácil encontrar suporte junto à comunidade.

Mas há uma parte negativa: alguns sistemas de código aberto são tão populares — principalmente no âmbito da internet — que qualquer falha de segurança identificada neles tem potencial para causar “pânico generalizado”. O caso do Log4j é um bom exemplo.

Log4Shell: a vulnerabilidade no Log4j

Log4j é o nome de uma ferramenta amplamente utilizada, principalmente em sistemas online. Ela permite o registro de eventos de diversos tipos no sistema. Um exemplo simples: quando você acessa um site e se de depara com uma mensagem de erro 404, essa informação pode ser registrada em um arquivo de log pelo Log4j e, junto com os demais eventos, analisada por um administrador.

O Log4j tem código-fonte aberto e faz parte do Apache Logging Services, um projeto da Apache Software Foundation. Trata-se de uma ferramenta tão popular que está presente até em sistemas de companhias como Google, Microsoft e Twitter.

Em dezembro, a imagem do Log4j foi afetada pela descoberta de uma grave falha de segurança. Identificado como CVE-2021-44228 e chamado de Log4Shell, o problema deixou tantos servidores vulneráveis, que causou aflição em equipes de TI no mundo todo e atraiu olhares de autoridades, principalmente nos Estados Unidos.

O Log4Shell se manifesta em um recurso que possibilita ao usuário definir mensagens personalizadas nos arquivos de log. Basicamente, essa brecha permite que códigos maliciosos sejam executados remotamente para, entre outras ações, capturar informações sigilosas e disseminar malwares.

É possível solucionar o problema. No entanto, não há uma correção única para o Log4Shell, pois isso depende de como o Log4j foi instalado e configurado. Isso significa que milhares de servidores ainda podem estar vulneráveis.

Código aberto virou questão de “segurança nacional”

Grave que é, a vulnerabilidade no Log4j acendeu uma luz de alerta. Na reunião realizada na Casa Branca, na quinta-feira (13), representantes de gigantes como Google, Facebook, Microsoft, Amazon e Apple reconheceram a necessidade de a segurança no código aberto ser tratada com mais prioridade, por assim dizer.

O posicionamento do Google chama a atenção. Em seu blog oficial, a companhia explica o motivo para o assunto merecer destaque:

Por muito tempo, a comunidade de software se confortou na noção de que software de código aberto é geralmente seguro devido à sua transparência e a suposição de que “muitos olhos” estão observando e resolvendo problemas. Mas o fato é que, enquanto alguns projetos têm muitos olhos sobre eles, outros têm poucos ou nenhum.

Aparentemente, o governo americano concorda com essa percepção. Na reunião, Jake Sullivan, conselheiro de segurança dos Estados Unidos, deu a entender que o assunto deve ter tratado como “questão-chave de segurança nacional”.

O que acontece a partir de agora, então? Não está claro. Maz o fato de big techs e o próprio governo dos Estados Unidos darem atenção ao assunto indica que mudanças realmente estão por vir.

A verdade é que muita coisa pode ser feita em prol da segurança do código aberto. Apoio financeiro seria um bom começo. O Google aparece, novamente, como um exemplo: a companhia afirma que, em 2021, direcionou US$ 100 milhões para apoiar organizações de software independentes, entre elas, a OpenSSF, que trata justamente de segurança em código aberto.

Com informações: Gizmodo, The Conversation.

Leia | O que é CVE? [Exposição e Vulnerabilidades]

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.