Siga-nos

Perfil

Expresso

Sociedade

Falhas de segurança: um negócio de milhões

  • 333

reuters

A venda de falhas de segurança em aplicações de software é um negócio de milhões. Basta ver o que escrevi AQUI na sexta-feira . Uma empresa terá pago, o ano passado, um milhão de dólares (890 mil euros) por uma ferramenta para explorar uma falha de segurança no sistema operativo usado no iPhone e, alegadamente, outra empresa cobraria até 16 milhões de euros pelo kit que incluía a falha e o tal software para poder escutar, sem ser detetado, o que se passa no smartphone da Apple.

A falha detetada a semana passada pela Lookout e pela Citizen Lab (uma das mais graves alguma vez encontradas para o sistema do iPhone) terá valido à NSO Group, a empresa que alegadamente a vendeu aos Emiratos Árabes Unidos, 8 milhões de dólares 7,1 milhões de euros (ler AQUI). O valor que, reforço, terá sido alegadamente pago por 300 licenças do Trident – o tal software que explora três falhas de segurança no sistema operativo da Apple para dispositivos móveis.

É muito dinheiro por uma atividade politicamente incorreta. Ou quase. Vejamos. Há empresas que se especializam em encontrar falhas de segurança em aplicações de software. Quanto maior a falha e mais relevante a aplicação… maior será o valor do achado. Ou seja, falhas que permitam explorar os sistemas operativos Windows, o iOS (o da Apple para o iPhone) e o Android têm um elevado valor de mercado. Principalmente se foram falhas que permitam acesso ao núcleo (kernell, como se designa tecnicamente) desses sistemas e que possam ser exploradas sub-repticiamente.

As que agitaram agora a Apple, obrigando-a a lançar uma atualização de segurança em tempo recorde, serão conhecidas da empresa que as descobriu desde 2013. Sim, há três anos que o NSO Group andará a vender essas falhas e o software para as explorar.

E pode fazê-lo? Eticamente, não. Num mundo perfeito, quando uma falha de segurança é encontrada, devia, de imediato, ser reportada à empresa responsável pela aplicação em questão. Uma forma de garantir que os utilizadores ficariam mais seguros.

Há sempre uma falha à espera de ser encontrada

Mas uma análise desapaixonada vê, claramente, que se há falhas nos softwares que usamos a responsabilidade é, claro, de quem os produz. Ou seja, deve ser a Microsoft, a Apple e a Google – só para referir os responsáveis de alguns dos sistemas mais utilizados no planeta – a garantir que os programas que criam são “à prova de bala”. E essa é uma missão que não tem fim, porque, à semelhança de tudo o que nos rodeia, não há software perfeito. Existe sempre uma falha, por mais ínfima que seja, à espera de ser encontrada. Por isso, estas empresas devem investir, e investem, muito no permanente desenvolvimento dos programas. Seja a criar novas funcionalidades, seja a farejar os milhões de linhas de código em busca de erros.

E não há pruridos em pedir ajudar externa. Há recompensas monetárias para quem encontra bugs. A Apple era a única (das empresas de maior relevo) que não tinha um programa de recompensas deste tipo a funcionar. Era, porque no início deste mês anunciou que vai pagar até 200 mil dólares (178 mil euros) pelos bugs descobertos nos seus sistemas (ler AQUI).

Regras? Quais regras? É tudo muito bonito, mas...

Do outro lado da barricada estão dezenas (centenas?) de empresas que fazem negócio a procurar estas falhas para as poderem vender a terceiros. No caso da NSO Group, o software Pegasus (o tal que explorava as falhas da Apple) só é vendido a instituições governamentais, que o devem utilizar respeitando dois fatores: o do software só ser usado via mandato judicial e a pedido de forças de segurança.

Premissas muito nobres e bonitas no papel. No entanto, o Pegasus terá sido, alegadamente, utilizado pelo governo mexicano para vigiar um jornalista que estava a investigar atividades ilícitas daquela entidade e, agora, um ativista dos direitos humanos escapou a uma alegada tentativa de vigilância por parte do governo dos Emiratos Árabes Unidos.

E em quantos mais casos terá o Pegasus servido para vigiar pessoas e empresas? Sim, também pode ser usado para espionagem industrial. E estamos a falar do Pegasus porque chegou agora à opinião pública. Quantas falhas de segurança estarão nas mãos de instituições privadas? E na posse de organismos de segurança de países?

Edward Snowden mostrou, como pode ver AQUI, como a NSA vigiava indiscriminadamente cidadãos, empresas e pessoas. A Wikileaks diz que o telefone de Angela Merkel esteve décadas sob escuta (leia AQUI); a Airbus acusa a Alemanha de espionagem industrial (pormenores AQUI)... parece que estamos a ler um guião de Ian Fleming no qual o 007 é um nerd anafado que está atrás de um monitor a fazer ataques de malware (software malicioso).

Uma das frentes mais ativas da guerra que não se vê

A exploração de falhas de segurança assume-se, assim, como uma das frentes mais ativas na ciberguerra que lavra ativamente desde o início deste século. Países e empresas usam ferramentas digitais complexas para fins muito pouco conhecidos da opinião pública. Tudo isto num espaço digital e ainda sem vítimas mortais (que se conheçam), mas com muitos danos colaterais. E as “armas digitais” são cada vez mais complexas. Capazes, até, de parar uma central nuclear, como pode ver AQUI ou uma central elétrica.

Há quem diga que o fim da Humanidade chegará na multiplicação de um “bicho” bacteriológico qualquer. Sim, pode ser. Mas hoje começo a estar mais inclinado para outro bicho. Um bug que, por exemplo, se aproveite da fragilidade do sistema imunitário de uma qualquer central nuclear decadente. Dizem que há muitas assim para lá da antiga Cortina de Ferro. Aliás, quanto valerá uma falha de segurança numa central nuclear? O ISIS terá dinheiro para a pagar? Espero que não. Aliás, esperamos todos.