Padrões abertos
Princípios como "quanto mais propriedade, mais inovação" ou
"patentes mais fortes ajudam a inovação" são absolutamente falsos
no caso do software. Patente é estéril, é um freio à inovação
Um livro que recomendo para a comunidade do
software livre é o último trabalho de Bruce Schneier, notável especialista em Segurança digital,
criador dos algoritmos Blowfish e Twofish, co-fundador da Counterpane Internet Security Inc. Infelizmente Secrets & Lies. Digital Security in a Networked World (Segredos & Mentiras. A Segurança Digital num Mundo em Rede) somente está disponível
em inglês, e aguarda urgente uma
tradução.
O interessante no estilo de Schneier é sua capacidade crítica, que consegue destruir vários mitos e opiniões supostamente evidentes. Uma das teses mais fortes do livro é sobre a importância de padrões abertos e públicos nas redes digitais, sobretudo no que concerne à segurança de redes digitais. Resume Schneier:
"Escolher um sistema proprietário
é como ir a um médico sem graduação em Medicina, e cujo tratamento (que ele se recusa a explicar) não é reconhecido pela American Medical
Association."
Seguindo esse raciocínio, acredito que somente a comunidade científica pode alavancar os métodos e padrões de segurança: seja um software, um sistema num sentido geral, seja um algoritmo criptográfico, etc. Sobre isso, concordo com o comentário do engenheiro Amilcar Brunazo — moderador do Fórum do Voto Eletrônico: padrões estabelecidos em normas
técnicas são necessariamente públicos, se for proprietário (secreto) não é
um padrão.
Padrão proprietário?
"Padrão proprietário" é um contra-senso. Do ponto de vista lógico, trata-se de uma contradição de termos!
(Poderíamos dizer então que não há "padrão proprietário", mas sim controle proprietário). No Fórum do Voto Eletrônico, especificamente em sua lista de discussão, ele já levantou a questão da adoção do software livre
no processo eleitoral brasileiro, e em nossa urna eletrônica, fazendo frente às autoridades que optam pela "segurança pela obscuridade".
Schneier também aponta que
"um bom design de segurança não tem segredos em seus detalhes" e, ao contrário, um "bom design de sistema é seguro mesmo se seus detalhes são públicos". No caso da urna eletrônica, ela é segura tanto mais quanto resistir a uma total auditoria, for
pública e com seus padrões abertos. Argumentar que ela está numa solução secreta ou proprietária e, por isso mesmo, mais forte, é uma ilusão de segurança.
Um exemplo típico disso é um
protocolo desenvolvido pela Microsoft, o PPTP (Point-to-Point Tunneling Protocol), para fazer um trabalho
semelhante ao IPsec. O PPTP é composto de um protocolo de autenticação inventado pela Microsoft, uma função hash, um algoritmo de geração de chaves, todos na mesma situação. O resultado disso? O PPTP fracassou em seu objetivo final, produziu falhas e buracos enormes de segurança. Quem se acostumou a trabalhar em soluções em sistemas operacionais
de código aberto talvez ache isso de fato cômico. Pois o sucesso e a estabilidade, e ao mesmo tempo a segurança, de sistemas como o Linux e a família BSD (FreeBSD, OpenBSD, etc.) tornaram-se notórios. "Rock-stable performance" diz a caixinha do
FreeBSD! Não que sejam sistemas infalíveis e, por conseguinte, acima
de erros. Tal coisa não existe em se tratando de tecnologia.
Segurança é um processo
Outra afirmação de Schneier que deveria ser o lema de todo aquele que trabalha em segurança: "segurança
é um processo e não um produto". Assim, não se pode vender segurança num único produto, isso não é exeqüível. Por exemplo: numa política de segurança não podemos nunca negligenciar o fator humano, que às vezes pode ser algo independente das tecnologias adotadas. Em geral empresas que anunciam uma solução que se quer única e definitiva para "se ter segurança" em redes têm em mãos o controle proprietário de um software qualquer, que inevitavelmente está patenteado.
Patentes
E com isso trazemos à tona uma outra discussão vital: as patentes de software e seus conhecidos malefícios. Em 2000 os europeus se esforçaram muito em abrir espaço a esse tema. Principalmente o Fórum EuroLinux. Esse tipo de patente é estéril, é um freio à inovação. E é, acima de tudo, uma forma sub-reptícia de atacar o crescimento do software livre.
O EuroLinux elaborou um excelente dossiê sobre patentes de software. Estudos teóricos e baseados em estatísticas recentes demonstram com segurança que um campo de aplicação muito largo de patentes pode reduzir drasticamente não somente a concorrência, mas também a capacidade de inovação da indústria do software, ou de toda indústria que produz sistemas complexos fundados num "processo seqüencial de inovação" (documentos e métodos na Web, educação, etc.). Princípios como "quanto mais propriedade, mais inovação" ou "patentes mais fortes ajudam a inovação" são absolutamente falsos no caso do
software.
Impedir que a sociedade disponha das funcionalidades de um software
ou das tecnologias subjacentes a um programa qualquer, e que não possa assim copiar ou imitar tal funcionalidade num novo software é irracional
e injusto. Dessa forma, não é desejável economicamente estender o sistema
de patentes ao software. A sociedade deve se esforçar para restringir ao
máximo os direitos de propriedade conferidos ao titular da patente, a fim de impedir uma "situação bloqueadora" e evitar, principalmente, a criação — que é sempre catastrófica para a
sociedade — de monopólios de
mercados.
Assim sendo, escolher "padrões"
— e coloco entre aspas — proprietários e patenteados é a pior escolha a ser feita: Schneier lembra que "freqüentemente me divirto com o fato de que as pessoas não fazem a escolha óbvia". Empresas de telefonia celular, e o mesmo aconteceu com o DVD, decidiram não usar algoritmos públicos, mas inventar seus próprios padrões "fechados",
que poucos anos depois se tornaram públicos, e quando isso ocorreu eles
já tinham sido quebrados...
O nosso Nelson Rodrigues já dizia: só os profetas enxergam o óbvio.
Para saber mais
Counterpane Internet Security: www.counterpane.com
Eurolinux: www.eurolinux.org,petition.eurolinux.org
Fórum do Voto Seguro: www.votoseguro.org
Dossiê Eurolinux sobre as Patentes de Software — Seção "Tradução": www.cipsga.org.br
