Revista Do Linux
EDIÇÃO DO MÊS
 CD do Mês

 Capa
 Entrevista
 Corporativo
 Distro
 Segurança
 Hardware
 Produto
 Primeiros Passos
 Sistema
 

Padrões abertos

Princípios como "quanto mais propriedade, mais inovação" ou "patentes mais fortes ajudam a inovação" são absolutamente falsos no caso do software. Patente é estéril, é um freio à inovação

Um livro que recomendo para a comunidade do software livre é o último trabalho de Bruce Schneier, notável especialista em Segurança digital, criador dos algoritmos Blowfish e Twofish, co-fundador da Counterpane Internet Security Inc. Infelizmente Secrets & Lies. Digital Security in a Networked World (Segredos & Mentiras. A Segurança Digital num Mundo em Rede) somente está disponível em inglês, e aguarda urgente uma tradução.

O interessante no estilo de Schneier é sua capacidade crítica, que consegue destruir vários mitos e opiniões supostamente evidentes. Uma das teses mais fortes do livro é sobre a importância de padrões abertos e públicos nas redes digitais, sobretudo no que concerne à segurança de redes digitais. Resume Schneier: "Escolher um sistema proprietário é como ir a um médico sem graduação em Medicina, e cujo tratamento (que ele se recusa a explicar) não é reconhecido pela American Medical Association."

Seguindo esse raciocínio, acredito que somente a comunidade científica pode alavancar os métodos e padrões de segurança: seja um software, um sistema num sentido geral, seja um algoritmo criptográfico, etc. Sobre isso, concordo com o comentário do engenheiro Amilcar Brunazo — moderador do Fórum do Voto Eletrônico: padrões estabelecidos em normas técnicas são necessariamente públicos, se for proprietário (secreto) não é um padrão.

Padrão proprietário?

"Padrão proprietário" é um contra-senso. Do ponto de vista lógico, trata-se de uma contradição de termos! (Poderíamos dizer então que não há "padrão proprietário", mas sim controle proprietário). No Fórum do Voto Eletrônico, especificamente em sua lista de discussão, ele já levantou a questão da adoção do software livre no processo eleitoral brasileiro, e em nossa urna eletrônica, fazendo frente às autoridades que optam pela "segurança pela obscuridade". Schneier também aponta que "um bom design de segurança não tem segredos em seus detalhes" e, ao contrário, um "bom design de sistema é seguro mesmo se seus detalhes são públicos". No caso da urna eletrônica, ela é segura tanto mais quanto resistir a uma total auditoria, for pública e com seus padrões abertos. Argumentar que ela está numa solução secreta ou proprietária e, por isso mesmo, mais forte, é uma ilusão de segurança.

 

Um exemplo típico disso é um protocolo desenvolvido pela Microsoft, o PPTP (Point-to-Point Tunneling Protocol), para fazer um trabalho semelhante ao IPsec. O PPTP é composto de um protocolo de autenticação inventado pela Microsoft, uma função hash, um algoritmo de geração de chaves, todos na mesma situação. O resultado disso? O PPTP fracassou em seu objetivo final, produziu falhas e buracos enormes de segurança. Quem se acostumou a trabalhar em soluções em sistemas operacionais de código aberto talvez ache isso de fato cômico. Pois o sucesso e a estabilidade, e ao mesmo tempo a segurança, de sistemas como o Linux e a família BSD (FreeBSD, OpenBSD, etc.) tornaram-se notórios. "Rock-stable performance" diz a caixinha do FreeBSD! Não que sejam sistemas infalíveis e, por conseguinte, acima de erros. Tal coisa não existe em se tratando de tecnologia.

Segurança é um processo

Outra afirmação de Schneier que deveria ser o lema de todo aquele que trabalha em segurança: "segurança é um processo e não um produto". Assim, não se pode vender segurança num único produto, isso não é exeqüível. Por exemplo: numa política de segurança não podemos nunca negligenciar o fator humano, que às vezes pode ser algo independente das tecnologias adotadas. Em geral empresas que anunciam uma solução que se quer única e definitiva para "se ter segurança" em redes têm em mãos o controle proprietário de um software qualquer, que inevitavelmente está patenteado.

Patentes

E com isso trazemos à tona uma outra discussão vital: as patentes de software e seus conhecidos malefícios. Em 2000 os europeus se esforçaram muito em abrir espaço a esse tema. Principalmente o Fórum EuroLinux. Esse tipo de patente é estéril, é um freio à inovação. E é, acima de tudo, uma forma sub-reptícia de atacar o crescimento do software livre.

O EuroLinux elaborou um excelente dossiê sobre patentes de software. Estudos teóricos e baseados em estatísticas recentes demonstram com segurança que um campo de aplicação muito largo de patentes pode reduzir drasticamente não somente a concorrência, mas também a capacidade de inovação da indústria do software, ou de toda indústria que produz sistemas complexos fundados num "processo seqüencial de inovação" (documentos e métodos na Web, educação, etc.). Princípios como "quanto mais propriedade, mais inovação" ou "patentes mais fortes ajudam a inovação" são absolutamente falsos no caso do software.

Impedir que a sociedade disponha das funcionalidades de um software ou das tecnologias subjacentes a um programa qualquer, e que não possa assim copiar ou imitar tal funcionalidade num novo software é irracional e injusto. Dessa forma, não é desejável economicamente estender o sistema de patentes ao software. A sociedade deve se esforçar para restringir ao máximo os direitos de propriedade conferidos ao titular da patente, a fim de impedir uma "situação bloqueadora" e evitar, principalmente, a criação — que é sempre catastrófica para a sociedade — de monopólios de mercados.

Assim sendo, escolher "padrões" — e coloco entre aspas — proprietários e patenteados é a pior escolha a ser feita: Schneier lembra que "freqüentemente me divirto com o fato de que as pessoas não fazem a escolha óbvia". Empresas de telefonia celular, e o mesmo aconteceu com o DVD, decidiram não usar algoritmos públicos, mas inventar seus próprios padrões "fechados", que poucos anos depois se tornaram públicos, e quando isso ocorreu eles já tinham sido quebrados... O nosso Nelson Rodrigues já dizia: só os profetas enxergam o óbvio.

Para saber mais

Counterpane Internet Security: www.counterpane.com

Eurolinux: www.eurolinux.org,petition.eurolinux.org

Fórum do Voto Seguro: www.votoseguro.org

Dossiê Eurolinux sobre as Patentes de Software — Seção "Tradução": www.cipsga.org.br


A Revista do Linux é editada pela Conectiva S/A
Todos os Direitos Reservados.

Política de Privacidade
Anuncie na Revista do Linux