Publicar problemas é a forma de garantir que sejam resolvidos

Análise: Pedro Markun

ATIVISTA DA WEB, CRIADOR DA COMUNIDADE , ONLINE TRANSPARÊNCIA HACKER, O Estado de S.Paulo

13 de fevereiro de 2012 | 03h05

Existem duas maneiras de garantir a segurança de um sistema: pela obscuridade dos processos ou transparência e abertura total. Garantir a segurança pela obscuridade é a prática de várias grandes empresas e boa parte dos órgãos públicos. Em vez de explicarem como determinada operação técnica é realizada, essas instituições simplesmente não publicam detalhes - e torcem para que ninguém encontre uma falha nos programas. Caso isso ocorra, o prejuízo cabe às empresas, aos clientes e aos usuários.

Garantir a segurança pela transparência é a prática das comunidades de software livre. Desenvolvedores dessas comunidades explicam exatamente como os sistemas são construídos e, ao contrário da tática anterior, torcem para que alguém encontre erros nos programas - pois assim é possível corrigi-los e melhorá-los, tornando-os mais eficazes e seguros. Quando os sistemas falham, é possível usar a inteligência coletiva para resolver os problemas.

Alguns governos também estão começando a adotar essa segunda prática - entendendo que abrir os códigos e explicar como as coisas são feitas é uma forma de se tornarem mais transparentes e eficazes. Isso já acontece nos EUA, que recentemente liberou os códigos de seu portal Data.Gov em um repositório, e também no Brasil, que está abrindo códigos do portal Dados.Gov.Br, ainda em desenvolvimento.

Quando o desenvolvedor de uma tecnologia (ou o contratante de uma empresa de desenvolvimento) é o poder público, essa questão não é simplesmente uma escolha técnica - porque a forma de lidar com código tem implicações diretas na cidadania.

Por exemplo: em 2002, softwares de urnas eletrônicas usadas nas eleições para o Senado americano estavam sob proteção de patentes e o sigilo desses códigos, após certificação de órgãos públicos, era exigido pelo governo para garantir acesso confidencial aos sistemas internos. Mesmo assim, por causa de um vazamento de informações, um site divulgou a codificação das urnas fabricadas pela empresa Diebold Procomp (a mesma que fabricou parte das urnas eletrônicas brasileiras). Uma ativista recebeu a denúncia do vazamento e deu espaço para que especialistas comentassem os códigos no seu blog - as falhas de segurança poderiam ter sido usadas para fraudar eleições para o Senado na Georgia. O processo todo resultou na "decertificação" de urnas e na mudança de regras para a verificação de eleições eletrônicas em diversos Estados .

Outro exemplo: em maio, um hacker da comunidade Debian encontrou várias falhas de segurança em sites do governo e empresas de comunicação. Ele publicou os erros em seu blog, após avisar por e-mail todos os afetados. Quase um ano depois, boa parte do poder público ainda não corrigiu o seu site, ao contrário das empresas de comunicação.

Publicar falhas de segurança é uma forma de alertar sobre a existência delas e, mais do que isso, comprometer publicamente os responsáveis pelos sistemas a resolvê-las prontamente.

Encontrou algum erro? Entre em contato

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.