A mágica dos números

Números explicam qualquer coisa. Exemplo: alguém com a cabeça no freezer e os pés em água fervente estaria sem febre, com temperatura média de 36 graus. Há três semanas a publicação eletrônica INFO Online deu eco a um curioso e semelhante diagnóstico sobre a saúde de sistemas operacionais, ao sintetizar o último relatório do portal SecurityFocus sobre o tema.

Soma as 42 vulnerabilidades "apresentadas" ano passado por dois modelos do Windows (2000 e NT), e as compara com as de quatro distribuições Linux ? 96. Pela primeira vez estes números anuais são menores para os primeiros. Titula-se então a matéria com a provocante pergunta: "Linux é mais vulnerável que Windows?" (Plantão Info Online, 6/2/02). E como comparações entre ambos "sempre resultam em polêmica", convida-se o leitor linuxista ao debate, redimindo-se do resvalo no sofisma em direção a uma bombástica e subliminar mensagem. Seria mais charmoso nos chamarem de pingüinistas.

Em 28/2/02 enviei email à redação da INFO Online, solicitando que honrassem a promessa e publicassem meu comentário abaixo, mas não houve resposta. Nem pessoal, nem pública no espaço virtual para o prometido debate, supondo-o o mesmo da matéria ? o plantão INFO Online, que, até 3/3/02, se limitava a apenas uma entrevista com um consultor técnico da Conectiva, publicada no mesmo dia e pela mesma jornalista, e que não aborda uma fração sequer das falácias embrulhadas na sua síntese do relatório em questão. Isto não é propriamente um debate, que o leitor terá então oportunidade de participar, no espaço que o Observatório da Imprensa não se furta a abrir para este tipo de caso.

 A polêmica resulta de confusões sobre o que se compara. Mais do que dois sistemas operacionais equivalentes, comparam-se dois modelos antagônicos de produção e negócio do software. Minha definição favorita de software diz tratar-se do mistério da virtualíssima trindade. Para seu produtor (pai) é propriedade intelectual. Para seu usuário (filho) é inteligência intermediadora. E no ciberespaço é a lei. Um modelo toma partido do pai (proprietário) e outro do filho (livre) para exercerem seu poder no mundo dos símbolos. A quem o papel do software na revolução digital não esteja nítido, tal confronto ideológico se parece com birra emotiva ou escolha de cerveja. Não é.

"Vulnerabilidade do software" é simplismo abusivo. Software não vulnera. Vulnera quem tem com ele algo a perder, quer no seu negócio, no seu uso ou nas conseqüências de ambos. Software é logica. A que protege o produtor pode vulnerar o usuário, ou vice-versa, e a que protege sua interoperabilidade pode vulnerar ambos, por vias distintas. Ricas respostas devem distinguir esses modelos e as formas como engendram e "apresentam" suas vulnerabilidades. E como neles tais falhas são reconhecidas, debatidas, explicadas e corrigidas. Já as respostas pobres ignoram distinções no ciclo de vida do software, nascidas de estratégias opostas em relação ao seu código-fonte, comparável a seu código genético e a seu canal de consciência, pelo qual é criado e pelo qual sua lógica se expõe à inteligência humana.

Entre o número 42, o 96 e aquele título cabe mensagem oculta: todas as falhas são iguais. Gatos pardos? Depois do Code Red provocar danos entre 8 e 15 bilhões de dólares explorando falha no seu servidor web, o IIS, Scott Culp, da Microsoft, lançou um manifesto: "Basta de "anarquismo digital!" Luz sobre esses gatos só beneficia hackers e vândalos. Só o produtor e um grupo seleto de empresas de segurança deveriam ser avisados.

Mais um monopólio? Entretanto, softwares livres como Linux, Apache e SendMail evoluem por meio de exaustivos e abertos debates entre colaboradores. A própria internet surgiu assim. Culp quer criminalizar o modelo que compete com o seu, mas é no seu que, via de regra, se ignoram, se negam, e depois se obscurecem falhas reportadas. Como aquela por trás do vírus ILoveYou, detectada com o Melissa e ignorada na ocasião, talvez por ter sido decisão de projeto em deliberada violação de RFCs do IETF. Resultado: leis orwellianas (DMCA, UCITA), censura antidifamatória em licenças de uso (Frontpage 2002), ameaças e prisões de pesquisadores acadêmicos em segurança computacional (Felten, Skliarov), e agora o OIS [veja artigo "Companhias formam grupo para criar padrões de segurança", do Jornal do Commercio, 26/2, reproduzido em <http://www.cic.unb.br/docentes/pedro/trabs/OIS.htm>

E os efeitos colaterais? Afinal, no mundo do Linux, quem já pegou vírus? No do Windows as cepas já passam de 7 mil. Ou quem se expôs a falhas que ficaram mais de uma semana em debate sem patch de correção disponível? No do Windows há as que ficam mais de ano e as que batem bola com séries de patches. Onde está mesmo o perigo do debate livre? Talvez na camuflagem do mais sujo segredo do modelo proprietário: a segurança do seu negócio se choca com a do usuário. Como exemplo, falhas no protocolo Passport lhe apresentam riscos mais nefastos que qualquer outro desses gatos pardos. Falhas no Passport são tão sérias que merecem uma abordagem em artigo exclusivo.

Mas não do tipo que lhe deu, em 3/3/02, a revista INFO Online, a mesma que prometeu o tal debate mas até agora não lhe abriu espaço. Em matéria assinada por Renata Mesquita, a mesma do título questionador, lemos outro título ambivalente "SP1 do XP atrasa, mas traz surpresas". Que surpresas? Na página de abertura do Plantão INFO Online, a sinopse da matéria nos informa "O Service Pack 1 da Microsoft para Windows XP só sairá, muito provavelmente, em meados do segundo semestre ? alguns meses atrasado em relação ao cronograma original da empresa. A boa notícia é que o SP1 não terá apenas correções para bugs e outros updates importantes para o sistema, mas também vai trazer para os usuários as novas tecnologias Mira e Freestyle".

Falhas no XP podem ser seriíssimas, como as que podem envolver o protocolo de autenticação único que a empresa vem forçando seus licenciados a usar, o Passport, já conhecidamente vulnerável. Para quem o adiamento na supressão desse tipo de falha pode ser "boa notícia?" Quem está a par do assunto fica na dúvida se se trata de uma reportagem ou de uma peça publicitária. Uma publicação séria não deveria induzir o leitor a confundir uma coisa com outra.