Na Internet, somos todos vizinhos. Quão vulnerável está hoje o cidadão da rede contra maus vizinhos? Difícil obter resposta animadora: estimativas conservadoras põem a despesa anual em segurança em tecnologia da informação nos EUA em US$50 bi, e as perdas com o crime eletrônico em US$100 bi. E esses números têm alcance global. Leis recentemente aprovadas, regulação da indústria, e cobertura da imprensa, tudo isso tem certamente elevado o grau de exposição do problema, mas a insegurança e a incerteza ainda prevalecem. Certo mesmo é que a riqueza que "flutua" na rede é fabulosa: somente o Fedwire Funds Service americano faz circular diariamente mais de 2 trilhões de dólares.
Recentes estatísticas americanas dão conta de que, na média, um assalto físico a um banco rende ao assaltante algo da ordem de cinco mil dólares, e que, em média, 57% dos meliantes são apanhados. Aos potenciais contraventores surge uma oportunidade altamente atraente: por que arriscar tanto por tão pouco, quando se pode se lançar à caça de riquezas fabulosas flutuando no ciberespaço e protegidas sob mecanismos ainda não tão eficazes? A gênese de tais mecanismos é bem lembrada na resenha de "Crypto: How the Code Rebels Beat the Government" (Penguin, 2001), de Steven Levy, colunista de Newsweek: "à medida que a era digital estava no seu alvorecer no final dos anos 1970, uma enorme pedra no caminho à troca de informações e à condução de transações via redes de alta-velocidade era a falta de segurança de participantes externos que poderiam querer interceptar os dados". Como mestre de cerimônia da comemoração dos 30 anos do advento da criptografia de chave pública (no Computer History Museum, Mountain View, Califórnia, em 2006), John Markoff, colunista de tecnologia do NY Times, diz que com a possível exceção de armas nucleares, não consegue pensar em nenhuma tecnologia que tenha tido um impacto político e econômico profundo sobre o mundo maior que a criptografia, a ponto de ter se tornado parte invisível do tecido tanto da comunicação quanto do comércio modernos. Fundamental para a garantia de confidencialidade, integridade e autenticidade da informação digital, a criptografia não é a solução para todos os problemas de segurança na rede, pois há quem explore os erros de implementação (vulnerabilidades): se no início eram apenas adolescentes curiosos e audaciosos, hoje são verdadeiras "gangues cibernéticas".
Em matéria recente, Jeff Moss, fundador dos tradicionais encontros anuais de hackers DEFCON e BlackHat, sempre organizados em Las Vegas, observa que a quantidade e a qualidade das submissões têm caído drasticamente, e atribui isso à chamada "economia da vulnerabilidade": ao invés de expor suas descobertas de vulnerabilidades em conferências, muitos pesquisadores estão optando por vendê-las num mercado que cresce a olhos vistos. Para se ter uma idéia, um programa que explora uma vulnerabilidade no Internet Explorer pode valer de US$100 mil a US$250 mil. Alguns desses "ciber-chefões" dispõem de laboratórios mais bem equipados que tradicionais empresas de segurança como Symantec e McAfee. O mercado de vulnerabilidades já conta inclusive com uma espécie de portal de leilão eletrônico (estilo eBay). A WSLabi, empresa sediada na Suíça, se diz atrás de um "importante objetivo": tornar o mundo mais próximo do "risco [cibernético] zero". Segundo seu portal, se é que o mundo deve se tornar mais seguro, deveremos permitir que pesquisadores vendam suas [descobertas de] vulnerabilidades às empresas de software e outras partes interessadas, através de um mercado aberto. WSLabi, que promete verificar a identidade de vendedores e compradores, ao mesmo tempo que garante a confidencialidade das transações, tem sido criticada por transformar vulnerabilidades em commodities, mas Roberto Preatoni, seu fundador, (sim, o mesmo do escândalo da Telecom Italia, preso em Nov 2007), argumenta que um criminoso não se arriscaria a se submeter ao processo de verificação de identidade que a empresa exige.
Por outro lado, Preatoni defende que a iniciativa do portal oferece ao pesquisador um retorno por suas descobertas (quase nunca retribuídas pelos fabricantes de software), livrando-o de ter que ir buscar recompensa no submundo do "cibercrime". Para se ter uma idéia do tamanho desse mercado, em 2007 estatísticas davam conta de que embora pesquisadores tivessem analisado pouco mais de 7000 vulnerabilidades publicamente reveladas no ano anterior, o número de novas vulnerabilidades encontradas em programas poderia ser maior que 140 mil por ano, disse o CEO da WSLabi, Herman Zampariolo. Por contraditório que pareça, a legislação em vigor nos EUA tem acrescentado insegurança ao pesquisador: o ato de revelar a vulnerabilidade pode provocar a própria incriminação de quem a revela. O fato é que os problemas de segurança ameaçam a estabilidade, a credibilidade, e a "generatividade" da Internet, conforme alerta Jonathan Zittrain em "The Future of the Internet - And How to Stop It" ( http://futureoftheinternet.org/). Urge que o assunto seja tratado com a devida prioridade.
O Globo Online, 28/07/2008, http://oglobo.globo.com/opiniao/mat/2008/07/28/a_economia_da_vulnerabilidade-547443731.asp
Nenhum comentário:
Postar um comentário