A coisa não está fácil

A crise pegou todo mundo – até a bandidada está reclamando.

De Curitiba para o mundo, Sérgio Moro e sua trupe não dão moleza. No STF, a prisão em segunda instância deixou a malandragem descabelada. (Que país,hein?! – onde a polícia mete a mão, pula um monte de bandido. E por falar em STF, todos criticam o aparelhamento levado a cabo pelo PT mas ninguém recorda que os ministros foram aprovados pelo Senado. Aliás, a independência dos Poderes parece mais uma frase bonita da Constituição do que uma realidade – outro dia o Supremo não demitiu o Presidente da Câmara?) O MP também aperta o cerco e quer 10 (só?) medidas contra a corrupção. O governo, por sua vez, inventou uma PEC para tentar consertar as coisas e limitar os gastos públicos; são muito engraçadinhos esses políticos: limitam o gasto mas não a arrecadação – é a famosa sopa de pedra.

À primeira vista, parece que as coisas estão caminhando. O povo conseguiu o impeachment, o PT tomou uma surra, o governo está se movimentando… Ledo engano! Eu já vi este filme antes: Anistia, Diretas Já, Constituinte, Fora Collor, Reeleição… movimento após movimento, o resultado é um só: aumento do poder do Estado, que é exatamente o resumo de tudo o que está acontecendo hoje.

O aumento do poder do Estado é, segundo Olavo de Carvalho (OdC), um dos grandes problemas da atualidade, ao lado da concentração das empresas de mídia na mão de poucas pessoas e do brutal desenvolvimento das técnicas de manipulação psicológica. Na verdade, o segundo e o terceiro problemas trabalham para o primeiro. O objetivo é um só: a escravidão do cidadão mediante o pagamento de impostos e o controle mental.

Se é verdade que a estratégia de um governo despótico – passe o pleonasmo – é incentivar o vício para levar ao caos social e, na sequência, aparecer como salvador da pátria impondo controles tirânicos, também é verdade que o grande inimigo dos regimes totalitários é a pessoa virtuosa. A virtude contra o vício, em outras palavras.

A virtude nada mais é do que buscar a verdade e agir coerentemente; o contrário chama-se hipocrisia, hipocrisia que hoje lota templos e gabinetes, que permitiu o avanço do comunismo em nosso país pois enquanto os petistas mandavam todo mundo achava bonito porque estava ganhando dinheiro. Raríssimas vozes se levantaram contra: OdC, Padre Paulo Ricardo, Pastor Silas Malafaia, Dom Luiz Gonzaga Bergonzini, todos invariavelmente taxados de insanos desmancha-prazeres. Foi a virtude que levou as pessoas direitas às ruas, a princípio timidamente no fim de 2014, depois em multidões em 2015, até culminar, neste ano, com as maiores passeatas da história humana.

Agora, com a crise comunista grassando, o povo, em vez de tomar as rédeas do seu destino, deposita novamente as esperanças no governo. É querer construir a casa começando pelo telhado. Os políticos são nossos funcionários, empregados do povo cuja atuação demanda supervisão cerrada, caso contrário encostam o corpo ou fazem rodinha para tramar contra o chefe (no caso, nós).

Se você acha exagero, que o Estado não é nada disso do que diz OdC nem “o mais frio dos monstros” de Nietzsche, se você acha que “um mundo melhor é possível”, responda para você mesmo, do fundo do coração: você confia em político?

***

A Economia da Segurança da Internet das Coisas

Tradução do artigo Security Economics of the Internet of Things, de Bruce Schneier, publicado no blog Schneier on Security.

*

Brian Krebs é um popular repórter que escreve sobre segurança cibernética. Ele expõe regularmente a identidade de criminosos do mundo virtual e as táticas por eles empregadas, e, por isso, frequentemente é alvo da sua ira. No mês passado, ele escreveu sobre um serviço online de contratação de ataques que terminou com a prisão dos dois responsáveis pelo serviço. Como resultado, o site dele foi derrubado por um ataque massivo de DDoS (NT: Distributed Denial-of-Service, Negação de Serviço Distribuído).

Sob vários pontos de vista, não há nenhuma novidade no episódio. Ataque de negação de serviço distribuído é um tipo de ataque que derruba websites e outros sistemas conectados à internet sobrecarregando-os com tráfego. O termo “distribuído” significa que outros computadores inseguros na internet – às vezes milhões deles – são recrutados para fazerem parte de uma botnet (NT: robot + network – rede de computadores que atuam sob um comando) e involuntariamente participarem do ataque. Esta tática é usada há décadas; ataques DDoS são perpetrados por hackers isolados tentando prejudicar alguém, criminosos tentanto extorquir dinheiro e governos testando as suas táticas. Há como se defender e diversas empresas oferecem serviços de mitigação de DDoS.

Basicamente, é um jogo de força. Se os atacantes conseguirem juntar uma avalanche de dados estilo mangueira de incêndio mais forte do que a capacidade do defensor, os atacantes ganham. Se os defensores conseguirem aumentar a sua capacidade durante o ataque, os defensores ganham.

As novidades no ataque a Kreb foram a escala massiva e as particularidades dos dispositivos recrutados pelos atacantes. Em vez de usar computadores tradicionais para montar a botnet, eles usaram câmeras de segurança, gravadores de vídeo digitais, roteadores domésticos e outros computadores embarcados conectados à Internet das Coisas (IoT – Internet of Things).

Muito tem sido escrito sobre a enorme insegurança da IoT. Realmente, o software usado para atacar Krebs era simples e amadorístico. Esse ataque demonstra que a atual estrutura econômica da IoT fará com que ela continue insegura a menos que o governo interfira para resolver o problema. Trata-se de uma falha de mercado que não pode ser corrigida por si só.

Os nossos computadores e smartphones são seguros porque há equipes de engenheiros de segurança trabalhando nos problemas. Companhias como Microsoft, Apple e Google dedicam bastante tempo testando o código antes de liberá-lo e rapidamente corrigem as vulnerabilidades quando elas são descobertas. Essas companhias podem sustentar essas equipes porque ganham muito dinheiro, direta ou indiretamente, com o seu software – e, de certa forma, elas competem em segurança. Isso não se aplica a sistemas embarcados como gravadores de vídeo digitais ou roteadores domésticos. Esses sistemas são vendidos com uma margem de lucro muito menor e frequentemente são construídos por empresas offshore terceirizadas. Essas companhias simplesmente não têm capacidade para construir produtos seguros.

Pior ainda, o software da maior parte desses dispositivos não tem como ser atualizado. Mesmo que o código-fonte do botnet que atacou Krebs tivesse sido tornado público, não teríamos como atualizar os dispositivos afetados. A Microsoft disponibiliza atualizações de segurança uma vez por mês. A Apple faz isso com regularidade, embora sem frequência definida.  Mas a única forma de você atualizar o firmware (NT: software de controle, monitoramento e manipulação de dados de um equipamento) do seu roteador doméstico é jogando fora e comprando um novo.

A segurança dos nossos computadores e telefones também vem do fato de que os substituímos regularmente. Compramos novos laptops a cada poucos anos. Compramos novos telefones mais frequentemente ainda. Isso não é válido para todos os sistemas embarcados da IoT. Eles duram anos, às vezes décadas. Talvez compremos um novo gravador de vídeo digital a cada cinco ou dez anos. Trocamos o nosso refrigerador a cada 25 anos. Quase nunca substituímos o nosso termostado. A indústria bancária já está lidando com problemas de segurança com Windows 95 embarcado em caixas eletrônicos. O mesmo problema ocorrerá em toda a Internet das Coisas.

O mercado não pode corrigir isso porque nem o comprador nem o vendedor se importam. Pense em todas as câmeras de segurança e gravadores de vídeo digital usados no ataque a Brian Krebs. Os donos daqueles dispositivos não se importam. Os aparelhos custaram pouco, ainda estão funcionando e eles sequer conhecem Brian. Os vendedores daqueles dispositivos não se importam: neste momento eles estão vendendo modelos mais novos e melhores, e os outros compradores só se preocupavam com preço e características. Não há solução de mercado porque a insegurança é o que os economistas chamam de externalidade: um efeito da decisão de compra que afeta outras pessoas. Pense nela como um tipo de poluição invisível.

Tudo isso significa que a IoT continuará insegura a menos que o governo interfira e corrija o problema. Quando temos falhas de mercado, o governo é a única solução. O governo poderia impôr regras de segurança para os fabricantes de IoT, forçando-os a tornar os seus dispositivos seguros mesmo que os seus clientes não se importem. O governo poderia impôr obrigações legais para os fabricantes, permitindo que pessoas como Brian Krebs os processasse. Qualquer uma dessas medidas aumentaria o custo da insegurança e daria às companhias incentivo para gastar dinheiro tornando os seus dispositivos seguros.

Esta seria, é claro, uma solução doméstica para um problema mundial. A internet é global e os atacantes podem facilmente montar uma botnet com dispositivos IoT da Ásia ou dos EUA. A longo prazo, precisamos construir uma internet que seja resiliente em relação a ataques como este. Mas isso está longe de acontecer. Enquanto isso, você pode esperar mais ataques usando dispositivos IoT inseguros.

Artigo originalmente publicado no Vice Motherboard.

***