Michael Stanton
WirelessBrasil
Ano 2003 Página Inicial (Índice)
01/09/2003
•
Teste de sobrevivência
Depois de publicar a coluna do dia 25 de agosto, O Desastre Anunciado, recebi apenas duas correspondências comentando o mesmo. Não poderiam ter sido mais diferentes. Numa, foi chamado de infeliz minha chamada de atenção à série de falhas sérias, envolvendo sistemas informatizados, que acometeram a infra-estrutura real dos EUA nas últimas semanas, além de eu ser chamado de totalmente parcial por defender a utilização de software aberto, no lugar dos produtos proprietários da Microsoft. Por outro lado, recebi mensagem de apoio de um administrador de rede, que sentiu na própria pele o castigo de ter que manter em funcionamento os sistemas de comunicação Internet, apesar das sua vulnerabilidade às falcatruas de um colegial brincalhão. Agradeço ambas as manifestações, mesma a primeira, apesar de eu considerá-la completamente equivocada.
Felizmente, não mais tenho o encargo de administrar uma rede, além da doméstica, embora já tenha exercido esta atividade há alguns anos, e sei como é duro ter que consertar os problemas causados pelos outros. Nos sete dias desde que escrevi a coluna anterior, a deterioração da Internet tem sido tamanha, que chega a incomodar o usuário final. Vou explicar. Se antes eu vinha sendo bombardeado com mensagens spam, me incitando a comprar Viagra ou gastar meu dinheiro em visitar sítios pornográficos, hoje estou sendo inundado com mensagens provocadas pelo verme SoBig.f. Nos últimas 24 horas, recebi 50 mensagens deste tipo, avisando-me da não entrega de mensagens, supostamente enviadas por mim, a pessoas que desconheço. Estou supondo que meu endereço eletrônico está sendo inserido como remetente das mensagens de difusão deste verme, quando ele infecta o computador de um inocente infeliz, e começa a espalhar seu contágio para as pessoas cujos endereços estão contidos no caderno de endereços deste.
Observem que estes 50 mensagens que recebi são de servidores de correio que detectaram, ou um erro em endereçamento, ou a presença do verme num attachment na mensagem recebida, e tomaram a decisão de recusá-la, mandando de volta ao suposto remetente, no caso eu. Estou imaginando que se foram recusadas 50 mensagens, o número de mensagens que acabaram tendo sido entregues a seus destinatários teria sido muito maior, e há uma probabilidade razoável que algumas das pessoas que as receberam teriam tido seus sistemas contaminados por mensagens supostamente enviadas por mim. Ai que felicidade a minha, vir a ser culpado pela desgraça alheia. Como convencer a pessoa prejudicada que sou tão inocente quanto ela?
Por quê eu fui escolhido para este papel de carrasco? No caso, deve ser porque meu endereço de correio eletrônico está amplamente difundido pela Internet. Afinal, ele aparece em cada coluna que escrevo neste espaço, e estas colunas são indexados por sistemas de pesquisa como Google (www.google.com.br) ou Cadê (www.cade.com.br), entre outros. Os criadores destes programas malévolos costumam utilizar longas listas de endereços eletrônicos para suas propostas nefastas. Como evitar isto? Somente desaparecendo de vista na Internet, deixando de incluir qualquer informação pessoal em sítios WWW publicamente acessíveis. É um preço a pagar, semelhante ao custo de manter meu nome no catálogo telefônico, que me expõe à possibilidade de receber telefonemas inconvenientes ou indesejados. A diferença entre os dois casos é de custo e comodidade: para telefonar para mim custa dinheiro e leva tempo - alguém precisa estar pronto para falar (embora que já tenham inventado tele-marketing automatizado) - enquanto enviar uma mensagem de correio eletrônico tem custo desprezível.
(Para colocar meu drama pessoal de apenas 50 mensagens em 24 horas em perspectiva, soube que outras pessoas com forte atuação pessoal na Internet estão recebendo muito mais cópias do verme SoBig.f do que eu: uma pessoa numa lista que assino recebia entre 80 e 100 cópias por hora, e o dono da lista recebeu 1734 cópias em 5 horas - v. www.interesting-people.org/archives/interesting-people/200308/msg00245.html.)
O problema de hoje é que não existe real desincentivo para este tipo de brincadeira. O custo é muito baixo (quase gratuito), e as conseqüências potencialmente imensas. Li uma mensagem hoje dizendo que os prejuízos causados pelo contágio SoBig.f já foram estimados no dia 29 de agosto em mais de US$14 bilhões, colocando-o como o pior até o momento (www.net-security.org/press.php?id=1635). Este custo é baseado no trabalho necessário para "desinfetar" os sistemas danificados, além da perda de produtividade ocasionada. Não há nenhum sinal que, passada esta crise, não vem outra pior em seguida. E a evidência ao contrário é muito forte. Há duas semanas tivemos a moléstia do Blaster. Semana passada, prenderam Jeffrey Lee Parson, colegial de 18 anos, que havia criado seu programa malévolo próprio, modificando outro existente (www.estadao.com.br/tecnologia/internet/2003/ago/29/97.htm). Segundo um comentário que li, este Jeffrey não teria tido consciência do trabalho que causava aos outros (www.interesting-people.org/archives/interesting-people/200308/msg00256.html).
O que fazer, então? Um dos remédios eu já indiquei em colunas anteriores - evitar o uso de software vulnerável nos nossos sistemas. Entretanto, é válido argumentar que isto não vai acontecer tão cedo, pois as pessoas gostam da conveniência deste software, mesmo ao custo das suas óbvias deficiências de falta de segurança. Também se comenta que estamos acostumados a situações em outras áreas da vida onde a segurança é relativa. Por exemplo, não é muito difícil arrombar um automóvel, mesmo sem a chave. O ponto é que o mínimo de segurança obtida é suficiente para deter a enorme maioria da população, que é dissuadida de arrombar seu carro, pela necessidade de empregar força combinada com o risco de ser detectada depois. Como vimos acima, na Internet, é altamente ambíguo o desincentivo de lançar um vírus ou verme, e como veremos agora, as chances de ser descoberto são ínfimas.
No seu ensaio sobre software malévolo, Ronald Standler, engenheiro tornado advogado nos EUA, apresenta uma visão legalista, em que examina como são espalhadas as infeções, e quais as suas conseqüências (www.rbs2.com/cvirus.htm). Ele depois apresenta a cifra interessantíssima que, em maio de 2002, foram detectados em torno de 61.000 vírus ou vermes na Internet pelo software anti-vírus da Norton. Entretanto, desde a primeira incidência deste tipo de problema em 1988 até maio de 2002, haviam sido processados e julgados criminalmente apenas cinco pessoas. Stendler explica isto da seguinte maneira. Primeiro, em muitos países ainda não existem leis proscrevendo a criação e distribuição de programas malévolos. Segundo, a polícia está inadequadamente aparelhada para combater este tipo de crime, que, por ser não violento (de colarinho branco), não merece a mesma atenção ou prioridade quanto crimes violentos. Terceiro, a Internet é de alcance internacional, e tem problemas de jurisdição: onde seria realizado o julgamento de um acusado: onde ele mora e atuas, ou onde mora sua vítima, ou onde estão localizados os computadores que intermediam a comunicação entre os dois. Finalmente, mesmo quando achado culpado, o responsável pelo software malévolo freqüentemente é tratado com indulgência pela comunidade. Seu ensaio termina com um apelo aos leitores a cobrar dos seus legisladores medidas corretivas, ajustando as penas aos danos materiais causados, e a alocar mais recursos à polícia para aumentar a eficácia da identificação e prisão dos responsáveis por estes problemas.
Por outro lado, como aponta Lauren Weinstein da People For Internet Responsibility (PFIR) em sua declaração sobre hacking de 2000 (www.pfir.org/statements/hacking), há um sério risco de adotar apressadamente medidas extremas para combater os problemas que encontramos nesta área, apenas para demonstrar alguma preocupação com suas conseqüências. Weinstein nos alerta para a necessidade que as penas para transgressões na Internet sejam justas, equilibradas e proporcionais à real seriedade do crime. Em particular ele defende fazer distinção real de pena entre aqueles cuja transgressão se limita à invasão de sítios WWW para modificar seu conteúdo, e outros cujo objetivo é enriquecimento financeiro e material através de fraude e roubo de números de cartões de crédito, com os responsáveis por ataques de "negação de serviço" - denial of service (DoS) - que estamos sofrendo nestes dias, em algum ponto intermediário da escala. Ele adverte ainda para não aceitarmos cegamente como medida da seriedade da transgressão o custo alegado de consertar os estragos, como citei acima no caso de SoBig.f, pois freqüentemente boa parte destes custos seria para instalar medidas de segurança antes omitidas, e para não considerarmos as alegadas perdas sofridas como o equivalente do resultado de roubo a mão armada.
Neste debate, a impaciência das pessoas está tendendo a
apoiar a visão do Standler, e é bem provável que futura legislação seja mais
repressiva do que Weinstein gostaria de ver. Mas isto, de certa forma, é uma
briga entre gerações, e ainda vamos aguardar que os políticos eleitos procurem
sentir onde tem mais apoio no eleitorado. Em última análise, qualquer solução
ampla de cunho legal virá por iniciativa política.