Uma Rede de redes e o verdadeiro bug do milênio
1 Como e por que funciona uma rede global de redes de computadores? Como nela evoluem riscos, e como ou para que avaliá-los? Como e em que(m) confiar para analisar e controlar nossa exposição a tais riscos? Que tipo de força social emerge da cibercultura, e que desafios traz à ordem pública? Qual o teor da mudança paradigmática que se insinua neste processo? O verdadeiro bug do milênio passa despercebido por quase todos que buscam entender o papel da informática no mundo presente e futuro. Na opinião de Edgardo Gerk, fundador e moderador do forum Meta Certificate Group , o verdadeiro bug do milênio consiste em se pensar, como nos é dito e repetido ad nauseum por jornalistas e repórteres em todos os cantos, que a internet é "a rede mundial de computadores". Não é bem assim. A internet é a primeira rede de comunicação global de hierarquia aberta (open ended) a interligar redes autônomas, o que não é exatamente a mesma coisa. Opiniões simplificadas do que seja a internet, por quem desconhece detalhes sobre o funcionamento de redes de computadores, armam um panorama interpretativo de conseqüências inusitadas, pois no funcionamento de redes de comunicação existem diferenças fundamentais entre as de hierarquia aberta e fechada que são cruciais em relação a discrepâncias que podem surgir nas tentativas de respostas às questões acima.
2 Até a década de 80, quando experimentos iniciados no projeto ARPANET conseguiram estabilizar um primeiro protocolo para roteamento de dados entre redes autônomas (BGP 4, que ainda faz parte do conjunto de padrões TCP/IP), a tecnologia para interligação de computadores permitia apenas redes com hierarquia fixa, que pressupõem o controle de algum meio ou infra-estrutura de comunicação, usado para interligar seus componentes(1). O projeto ARPANET foi motivado por um sentimento de insegurança e relativa paranóia em relação ao risco de ataque nuclear a que estava exposta a infra-estrutura de telecomunicações das forças armadas norte-americanas, dando início ao desenvolvimento de tecnologia para redes abertas, onde redes de computadores já operantes poderiam ser interligadas sem necessidade de restruturação do meio de comunicação de que fossem se utilizar e sem necessidade de controle centralizado no processo de roteamento adaptativo para o tráfego de pacotes de dados.
3 A tecnologia de redes com hierarquia aberta para transmissão de dados permitiu que interligações entre computadores pudessem atingir escala mundial, ao evitar o colapso decorrente da explosão exponencial das tabelas de roteamento, já que tal explosão seria inevitável em arquiteturas fechadas nesta escala, criando assim o potencial de interconexão via TCP/IP através da infra-estrutura mundial de telecomunicações então disponível. O serviço de tipo "melhor esforço" para roteamento de pacotes IP pôde utilizar-se da capacidade ociosa inerente às redes de transmissão e comutação telefônica, para fornecer conexões de dados em escala mundial às redes de computadores já existentes, pela adesão aos protocolos de transporte TCP e UDP(1). Este potencial de interconexão relativamente simples e barato induziu sua própria demanda, forçando mudanças em cascata no perfil da demanda tecnológica e de serviços nas telecomunicações, inaugurando uma nova etapa evolutiva da civilização, que hoje testemunhamos.
4 Estas explosões de demanda, e a transformação social que engendram, ocorrem num contexto cognitivo inédito para a humanidade. Até os anos 80 a forma de se conceber redes de computadores, a nossa tradição cultural que legitima a autoridade dos discursos, a nossa organização social que transmite e consolida valores, moldando assim nossa percepção e ação no mundo, sempre haviam se enquadrado em modelos hierárquicos fechados de redes de comunicação. A internet não se enquadra, e tentar enquadrá-la por força do hábito constitui o que estou chamando de verdadeiro bug do milênio. Referências à "internet comercial" não implicam, como o termo pode sugerir, em sua posse ou controle por alguma empresa, mas à etapa de sua evolução na qual empresas vendendo transporte e distribuição de tráfego eletrônico de dados, serviços ou produtos, passam a compor associações estratégicas para desempenhar com melhor confiabilidade e eficácia as suas funções. A internet não tem dono, gerente, comando central ou diretoria. Guia-se por um método de cooperação sui generis para propostas e validações de novos padrões operacionais e políticas de gestão cooperada.
5 Sua essência de certo modo está mais para uma cooperativa global de comunicação do que para uma rede mundial de computadores, e seria melhor se então a chamássemos simplesmente de "a grande rede". Nela, pela primeira vez, a comunicação de massa deixa de ser hierárquica para tornar-se transversal, onde emissor e receptor se híbridizam em um espaço virtual aberto, ocupável sem detrimento de outros ocupantes, e onde o conteúdo comunicado pode ser induzido pelo receptor. A grande rede se assemelha funcionalmente a um organismo biológico multicelular. De fato, os primeiros sinais de que algo fundamentalmente inusitado é basilar nas novas práticas comunicativas proporcionadas pela tecnologia da informação surgem no esforço de busca por meios para tornar tais práticas seguras. Afinal o que é segurança, se o segurado é a informação? Podemos nos aproximar desta questão sob vários ângulos, e sendo assim, escolho começar por distinguir segurança de proteção, com o desejo de podermos assim nos desviar de mais uma armadilha semântica, que o hábito reducionista de pensar coloca nas apreensões do inusitado.
6 Segurança não é como orégano de pizza, que a ela se acrescenta depois de pronta, como comenta Gerk em suas conferências. Segurança assemelha-se a qualidade, que deve permear toda a concepção e evolução de um projeto, sendo portanto sistêmica e não cosmética. Proteção se assemelha a trancas, catracas ou fechaduras, mecanismos instalados no final da implementação de um projeto arquitetônico que tenha previsto integradamente a função, utilidade e manutenção de cada um destes mecanismos. Segurança é processo, proteção é ação mensurável. Proteção se instala, segurança se planeja. Proteção é defesa, segurança é estratégia. Segurança na informática está relacionada à confiança que se pode ter em canais eletrônicos de comunicação de dados, operando num contexto onde outros canais, no mundo da vida (Lebenswelt), deles se valem para transmitir significados.
7 A Criptografia pode proteger o acesso ao valor sintático e a integridade das cadeias de bits nas comunicações de dados, o que é apenas um dos ângulos da questão que estamos abordando. Precisamos confiar não apenas nos controles de acesso a essas cadeias de bits e na sua integridade, mas principalmente no significado das mensagens que estas cadeias veiculam. Precisamos confiar no significado do que se desenha na tela do monitor e dos programas que executam na CPU de nossas máquinas, expressos através dessas cadeias de bits, sendo portanto sensato associar este outro lado da questão, de natureza semântica, à nossa percepção sobre origens e intenções nas comunicações dessas cadeias. É aí onde o alcance e os limites das técnicas criptográficas -- e as diferenças fundamentais entre redes de hierarquia fixa e aberta -- começam a se manifestar. A compreensão de significados se inicia pela identificação de referências a significantes. E as redes "fluidas" apresentam sérios problemas relacionados à confiança que se pode ter em processos de identificação que nela operam(15).
8 Estas dificuldades parecem decorrer do fato de que os processos sintáticos de identificação são, por várias razões, intrinsecamente inseguros em redes fluidas, como explica a teoria algébrica para modelos de confiança proposta por Gerk(16), apesar de poderem ser adequados e eficazes em redes fechadas bem arquitetadas e bem administradas. Uma rede digital de hierarquia aberta é uma fonte de simulacros, onde nada distingue objeto real de modelo, e a distinção entre objeto original e cópia é probabilística e precisa ser cuidadosamente contextualizada por meio do conceito de freshness. Vejamos alguns exemplos, em uma grande rede, da necessidade de se confiar em significados. O significado da possível proteção de sigilo e integridade em um canal de comunicação entre minha máquina e a do banco onde sou correntista, por exemplo, depende da dificuldade que um ladrão teria para, valendo-se da possibilidade desta proteção, se passar por mim diante do banco ou vice versa. O significado da corretude e integridade de um programa que possa executar em minha máquina, por sua vez, depende da plausibilidade de sua carga ser contaminada por um troiano ou por um exploit, ou de meu sistema operacional estar infectado ou vulnerável a embustes. A ocorrência frequente de flame wars em listas de discussão na internet é talvez o sinal mais visível do valor primordial da confiança em significados para a comunicação em larga escala.
9 Numa rede de comunicação fechada, supõe-se haver um consenso possível sobre atribuições, expectativas e motivações de seus agentes, consenso que reflete alguma hierarquia do mundo da vida ou alguma espécie de pacto social, e que se sustenta às custas de algum mecanismo regulador ou coibitivo. Tais mecanismos fundam processos sintáticos de identificação com o auxílio da criptografia, como a autenticação baseada em senha ou a autenticação baseada em dados biométricos. Já a internet não pressupõe consenso algum para fundar sua compreensão, pois o consenso que a anima é de natureza puramente operacional(22). Nela, onde participam redes autônomas nas quais o acesso pode ser comprado ou forjado sem nenhuma identificação positiva, heróis e bandidos cavalgam em igualdade, com a mesma máscara binária e sobre a mesma malha de fios, fibras ópticas, antenas e switches. Nela confiança não se delega, não se contrata nem se infere: deve-se confiar, em princípio, apenas na necessidade de cooperação das redes autônomas participantes para que o tráfego de dados flua, tecendo-se assim o ciberespaço. Para identificar o que significa isso, imagine-se plugado na internet e perguntando-se: "a quem estou confiando minha senha?" Uma resposta sensata inicia uma lista que começa pelo driver de teclado, ao qual a senha é digitada.
10 No ciberespaço, a percepção do que é ser herói ou bandido dissipa-se na névoa dos interesses pessoais, opções políticas, amarras ideológicas e vínculos com o poder de quem nele vagueie, e a ação puramente sintática da criptografia encontra enormes obstáculos para realizar o papel principal que pode exercer no processo da segurança de redes fechadas, como buscarei argumentar. Já emancipada do escopo acadêmico onde nasceu, a internet oferece agora outros tipos de recompensa pelo sucesso cooperativo aos que queiram nela participar, mas escapa ou transcende a égide de qualquer instituição social, enquanto nos desafia a avaliar e controlar riscos, diretos ou indiretos, inerentes à sua presença. Teremos pouca chance neste desafio enquanto não conseguirmos enxergar o que está em jogo, aquilo que não podemos perceber enquanto sustentamos opiniões preconcebidas e cômodas diante do inusitado. Certamente o vácuo de poder regulatório necessário à eficácia dos seus mecanismos de identificação e responsabilização tenderá a ser ocupado, e a grande questão é como e de que forma.
11 Seu papel remodelador das práticas comunicativas,
culturais, sociais e mercantis, nelas introduzindo mudanças que
irão se refletir também nas práticas jurídicas,
onde leva enormes desafios(2),(23), está trazendo profundas mudanças
em conceitos e complexidade para a segurança na informática
e para a filosofia do direito, pois o modelo de confiança em que
operam os canais semânticos entre seus agentes não é
transitivo nem associativo nem simétrico, diferentemente dos modelos
que podem descrever a utilidade de uma rede fechada ou de uma hierarquia
social, como mostra o estudo de modelos de confiança desenvolvido
no MCG(16). Entretanto, estas mudanças ainda são mal percebidas
e percebidas por poucos, sendo objetivo do MCG contribuir para uma melhor
compreensão do processo de segurança na internet, bem como
promover a exploração de novas aplicações da
criptografia neste contexto.
Como e porque avaliar riscos
12 Riscos se propagam, estão implícitos em comunicações, em contratos ou em conexões, e podem ser inferidos. Mas para falarmos concretamente de risco, precisamos restringir o conceito a alguma espécie de medida ponderada de probabilidade das possíveis discrepâncias entre modelagem e observação. Tais discrepâncias surgem em processos de identificação. Num belo verso, o poeta Fernando Pessoa diz: "Tudo vale a pena, Quando a alma não é pequena". Pessoa pode estar opinando sobre a subjetividade inerente à ponderação das discrepâncias entre expectativa (modelo) e experiência (observação), algo essencial à análise de riscos. Num planejamento objetivo de segurança, procuram-se calibres socialmente mediados dessas discrepâncias, juntamente com mecanismos de verificação ou de controle da probabilidade de suas ocorrências. Num planejamento subjetivo, contempla-se o valor pessoal e imediato dessas discrepâncias, e da percepção das chances de que possam ocorrer. Em qualquer dos casos, só pode haver risco onde houver confiança em algum processo de identificação. Quando estes processos de identificação são simplificados em certezas, riscos se metamorfoseiam em armadilhas cognitivas ou em erros eclipsados(15).
13 O verso de Pessoa aborda uma possível estratégia subjetiva para a segurança, onde as experiências têm valor intrínseco sempre maior do que possíveis expectativas sobre seus efeitos. O poeta escreveu este verso durante o auge do modernismo, quando ainda não podia contar com a internet para fertilizar sua imaginação. Hoje, nos dizem, vivemos no pós-modernismo, onde há menos nitidez na identificação do que seja realidade ou autoridade e onde as fronteiras da objetividade são mais tênues. Mas também se diz que vivemos no neo-liberalismo, onde tempo é dinheiro, fama é poder, lucro é lei suprema, e onde muitos buscam ganhá-los com a internet. No planejamento da segurança na informática, a objetividade deve prevalecer se a motivação principal for o lucro, ou o direito a ele, como quando se busca controlar a relação custo/benefício na oferta de serviços. Mas a subjetividade dos que buscam antes se promover às custas de outros dificulta a ponderação objetiva dos riscos que essas custas representam(19).
14 Neste novo cenário de redes fluidas, os riscos podem se propagar sem que a confiança no significado de comunicações seja transitiva(17). Se você confia na autenticidade do seu cartão de crédito e a livraria virtual também confia, após verificar a titularidade e validade do cartão cujo número foi a ela comunicado com o auxílio do estado-da-arte criptográfica, disso não decorre que a livraria deva necessariamente confiar em você, já que você poderia estar encomendando uma remessa para uma caixa postal alugada (com documentos falsos), para depois repudiar a cobrança da livraria no seu cartão alegando fraude. Riscos podem ser simétricos, sem que a confiança o seja(17). Quem faz venda eletrônica de varejo quer inspirar confiança, e para isso deve exercer competência administrativa, competência que deve incluir capacidade para detectar fraudes, que por sua vez pode ser interpretada como desconfiança sobre intenções dos potenciais clientes ou invasão de privacidade: para que a empresa possa confiar na sua identidade, voce precisa abrir mão de alguma privacidade.
15 Riscos também podem se associar, sem que a confiança seja associativa(17). Ouvi certa vez um brilhante cientista afirmar, com certo ar de orgulho pela sua cautelosa esperteza, que nunca iria "usar seu cartão de crédito na internet". Ele percebe riscos reais de prejuízo financeiro pessoal em transações virtuais que envolvam seu cartão de crédito, mas aparentemente não percebe a real conexão entre o custo crescente de sua manutenção e o fato da instituição financeira emitente do cartão necessitar cobrir perdas com fraudes. Usando ou não seu cartão na internet, ele estará pagando pelo risco que esta ação implica, já que estelionatários e falsários têm, com a internet e com o telefone celular, mais facilidade para gastar dinheiro alheio sem deixar rastros, e por isso mais motivação para clonar cartões "chupados" em postos de gasolina ou restaurantes ou maquinas de saque instaladas em shoppings, ataques bem mais fáceis do que a quebra criptográfica de protocolos usados no comércio eletrônico, como o SSL por exemplo. Ele talvez nem se lembre dos detalhes do contrato que assinou com a administradora de cartões de crédito, onde cede a ela o direito de debitar de sua conta corrente taxas pelo uso do cartão, mas onde os valores das taxas não são nominados. Um relatório encomendado pela União Européia à firma Deloitte & Touche conclui em 1997 que fraudes perpetradas através de tecnologias da informação, incluindo abusos na internet, podem estar custando à sociedade algo em torno de US$ 77 bilhões ao ano(23), obviamente rateados através dessas taxas entre os licenciados.
16 As redes fluidas de comunicação eletrônica oferecem flexibilidade, adaptabilidade e escalabilidade inatingíveis em redes fechadas, mas estas mesmas características são responsáveis por um aumento de escala nas dificuldades para comportarem processos confiáveis de identificação. Nelas a âncora física e espacial desvanece das interlocuções e dos discursos resumindo-se, no caso da internet, a endereços IP e nomes de domínio que podem ser dissimuladores, ininterpretáveis ou fraudados, dissolvendo-se assim um elo fundamental no nosso processo de semiose, isto é, no processo de se extrair significado da informação. Um exemplo de semiose é o processo que leva uma pessoa a crer que uma mensagem recebida por email é arrogante, grosseira, indiscreta, tola, engraçada ou importante. Uma rede de comunicação aberta dificulta a identificação até mesmo de seu próprio mapa, gerando incertezas sobre o limiar de sua influência. Mesmo se, por exemplo, nunca usarmos nem discarmos nem aceitarmos ligações de telefones celulares, estaremos mesmo assim sob a influência de sua malha, pela necessidade de nos adaptarmos a novos padrões sociais de expectativas de acessibilidade, de tolerância à interlocução múltipla interrompível, e de bons modos. No caso da internet, a dificuldade de percepção desse limiar de influência é mais sutil, e por isso, potencialmente mais perigosa que no caso da telefonia móvel.
17 Ouço alunos argumentarem que a internet não pode estar influenciando tanto assim o sociedade planetária, pois apenas 3 por cento dela está hoje plugada. Assim como nosso cauteloso cientista, esses alunos não percebem onde está a verdadeira importância da plugagem. Percebem atônitos o sentimento coletivo de insegurança que cresce diante das incertezas na trajetória político-econômica de seu mundo, mas têm grandes dificuldades para perceber certas conexões inusitadas neste sentimento difuso. Mais importante do que a porcentagem de pessoas plugadas na internet é a natureza da plugagem. Alguns programas plugados indicam valor e fluxos de etéreos instrumentos de troca material e meios de pagamento, retroalimentando entre si efeitos que impactam a todos, mesmo os que vivem onde a posse ou operação não autorizada de um modem é hoje crime federal. Tudo começa a flutuar num mercado livre e global. Não só moedas e preços, mas também expectativas coletivas, significados linguísticos, valores morais e estéticos, verdades religiosas e outras semioses, inaugurando uma nova ordem social que alguns dizem ser "da informação", outros "do conhecimento", mas que poderia também ser chamada de neo-capitalista.
18 Uma pequena porcentagem de pessoas plugadas, uma elite que domina as teorias econômicas em voga, além da astúcia e da dissimulação, é paga para projetar, plugar e controlar programas que geram e manipulam indicadores econômicos, operando assim um cassino virtual onde se aposta no valor futuro dos instrumentos de sobrevivência moderna, onde a percepção intersubjetiva das expectativas desta mesma elite torna-se matéria prima da qualidade de vida no mundo civilizado, onde a proteção ao capital (o lucro) sobrepuja a segurança do indivíduo, já que o poder regulador da atividade econômica pelo Estado cede à velocidade com que esta nova economia é capaz de engolir a velha e neutralizar ou subverter controles, em sua obscura dinâmica frankesteiniana. O Estado e a Religião, como os entendemos hoje, vêm há cerca de 5700 anos defendendo a segurança e interesses coletivos das sociedades que organizam, mas parecem estar perdendo o poder de exercer tais funções(3), já que esta nova dinâmica busca controlar também os processos legislativo e doutrinário. Estaríamos diante de uma revolução?
19 Poucos percebem que o lugar outrora ocupado pelo altar sacrificial das religiões de seus antepassados é hoje ocupado pelo mercado. Muitos consensualmente reverenciam não só a ânsia de conhecimento pelos apetites, movimentos e desejos desta entidade, como também o inquestionável imperativo de aplaca-lo, segui-lo e obedece-lo, pois compartilham a temível sensação de impotência diante de suas forças. Muitos têm dificuldades em identificar a trajetória da transformação histórica que substitui o altar de sacrifícios pelos pregões do mercado financeiro. Oferta-se agora, na expectativa de benefícios futuros. Não vemos essa trajetória porque, no mapa semântico onde poderíamos reconhece-la, desenhado pelo mito que guia nossa percepção do mundo, pontos cegos de mitos alheios ou passados são assinalados como superstições e crendices, enquanto pontos cegos do mito vivido aparecem como verdades auto-evidentes, certezas inquestionáveis do coração. Tal semiose é retratada pelo sentido leigo em que a palavra "mito" é hoje empregada; para levantar acusações de falsidade sobre crenças não compartilhadas, que outros sustentam e julgam bem fundadas.
20 Mitos, escreve Don Cupitt, são representações que organizam o poder criativo da linguagem humana para dar forma e sentido ao mundo(3). Estão por isso na origem das linguagens humanas, como argumenta o filósofo e linguista Erst Cassirer(27). São sistemas de medida para significados. O iluminismo, como todos os mitos, vê a si mesmo transcendendo esta função, sustentando como absoluto, em sua vertente positivista, o poder cognitivo do reducionismo científico emanado da sua linguagem. Mas o grande poder da ciência está em conter seus próprios instrumentos de crítica, que, levada a seus limites, pode revelar a região encoberta pelo ponto cego do mito que a sustenta, região demarcada pela crença na auto-suficiência do saber racional. É esta crença que nos ofusca a compreensão dos pressupostos metafísicos da teoria quântica, e que também sanciona a alquimia da nova economia -- a chamada "mão invisível do mercado" -- com o veredito da inevitabilidade e da onipotência. O processo que leva grupos e comunidades a entrarem em um sistema de crenças sem que percebam é chamado de "violência simbólica" pelo cientista político Lucien Sfez(4), quem a considera tão real quanto a violência física. Se estamos vivendo uma revolução, este é o tipo de violência que promove. Afinal não conhecemos revolução sem violência.
21 O TCP/IP venceu a vulnerabilidade estrutural e os limites funcionais das redes fechadas, mas por outro lado contribuiu para fragilizar nosso sentido de identidade. Para sermos identificados em uma rede global e fluida precisamos ceder nossa privacidade, e como nessa rede não há nitidez em intenções, nem em focos de autoridade ou em distinções entre ser e simulacro, a confiabilidade nos mecanismos de identificação que nela operam são precários, fissurando nossas certezas e complicando nosso processo de segurança. Na nova ordem social que emerge com as redes fluidas, nosso sentido de identidade deixa de ser metafísico para tornar-se signo: somos o que o senso comum -- cada vez mais fragmentado e amorfo -- julgar que valemos. O mito que domina nossa cultura finge, fazendo crer a quem o vive, que a consciência do homem possa se dar sem dogmas metafísicos. Paradoxalmente, tanto a asserção de que a percepção da realidade é necessariamente organizada por algum mito, quanto a negação desta asserção, descrevem dogmas metafísicos. E como todo mito, o iluminismo positivista também vive de paradoxos.
22 Seu individualismo cartesiano, levado ao extremo, acaba por dissolver o sentido do ser individual. Somos hoje colocados diante de um inapelável dilema como o de Fausto, personagem da obra prima de Goethe, que entrega sua alma (sua privacidade) a Mefistófeles em troca da perpétua juventude (sua segurança)(18). Ignorar o dilema Faustiano, como ocorre àqueles alunos, é efeito do verdadeiro bug do milênio, onde uma compreensão simplista e inadequada dessa nova ordem social apresenta-lhes a grande rede como algo fechado e isolável do seu dia-a-dia, criando-lhes a ilusão do conhecimento de seus limites e da natureza da sua influência. O mesmo ocorre a cientistas aferrados ao reducionismo, em relação ao grande empreendimento da ciência. Para atravessarmos o véu de conhecimento que reveste crenças dogmáticas, precisamos colocar em perspectiva o mito onde nascem: só através de espelhos podemos ver o aparelho ocular que nos faz enxergar. Os mitos, para quem não se hipnotiza com o mantra iluminista que anuncia a desmistificação dos mitos, são como globos oculares para as civilizações e culturas humanas. Passadas, presentes ou futuras.
23 Se ousássemos empregar a Razão até suas últimas conseqüências, como exortou Kant(6), poderíamos concluir, por exemplo, que o advento do comércio eletrônico pode degradar a relação entre custo e benefício que meios de pagamento como o cartão de crédito proporcionam às nossas necessidades, e melhor decidir pela conveniência ou não de mantê-los. Poderíamos concluir que a lógica que temos usado para fazer opções políticas pode estar se tornando inadequada e perigosa. Poderíamos, por fim, concluir que a confiança na auto-suficiência da razão não pode ser deduzida racionalmente. O mito que hoje cimenta a civilização ocidental constrói-nos um mundo racional, governado pela urgência da objetividade econômica. A percepção de um mundo racionalmente explicável, onde tudo se transforma em mercadoria e o homem se torna mero produtor de símbolos, nos conduz ao maior dos riscos, o de se confiar no progresso tecnológico como guia do processo da segurança, onde a doutrina neo-capitalista equaciona o homem a um agente maximizador de lucro. Encontramos uma representação metafórica deste risco no mito grego do rei Midas, que por intensa ambição atinge uma espécie de distúrbio gástrico-alquímico, apoteose do triunfo tecnológico, passando a transformar em ouro tudo que toca, inclusive seu próprio alimento.
24 Como nos lembra o barão de Montesquieu(7),
"em um Estado popular há que haver uma instância a mais,
a virtude". E não pode haver segurança sem reconhecimento
e aceitação de responsabilidades, o que vem a ser uma das
virtudes humanas. Mas esta palavra encontra-se desgastada, tendo se tornado
canhestra e incômoda, esvaziada pela crença em um mercado
global e ubíquo, ao qual o mito corrente atribui as capacidades
de auto-organização e auto-regulamentação,
através de sua própria "mão invisível". Esta
crença é o resultado da aplicação da lei da
natureza à avareza humana, sob o prisma deste mito.
Confiança e Responsabilidade
25 Discorro sobre uma possível revolução, que já foi batizada por muitos com vários nomes mas que prefiro chamar, para enfatizar sua face inusitada, de revolução das redes abertas. O tom geral de sua acolhida, por quem a reconhece, têm sido de deslumbramento otimista ou de temor irracional apocalíptico, pois sua profundidade e alcance nos desafia a rever nossos dogmas. Há indícios de que esta revolução busca substituir mitos dominantes que já exauriram sua fertilidade. A urgência deste desafio o reveste, para o cientista da computação, de responsabilidade social. Precisamos amadurecer nossa perplexidade deslumbrada em perplexidade cautelosa, para podermos controlar os riscos inerentes a esta responsabilidade, caso a aceitemos. Há riscos envolvidos, pois o questionamento público de mitos dominantes e seus dogmas tem mostrado ser uma ocupação perigosa, expondo com frequência seus interlocutores à ira coletiva. Entretanto, como todo profissional da segurança precisa ter coragem, quem almeja competência profissional nesta área precisará de alguma coragem e honestidade intelectuais para exercer seu ofício.
26 Sinto-me no dever de consciência para compartilhar meu esforço pessoal que busca transformar deslumbramento em cautela, propondo questionar os fundamentos da confiança iluminista na tecnologia como panacéia para uma nova ordem social. Esta confiança tem gerado e alimentado expectativas coletivas ingênuas, às vezes perigosas, como as que atribuem à criptografia a tarefa de manter coeso o sentido intuitivo do que seja segurança na informática. Pretendo apresentar evidências acumuladas no exercício de minha atividade profissional que me levam a emitir tais juízos, como também oferecer algumas reflexões de cunho geral e pessoal, visando compartilhar meu esforço para amadurecer minha perplexidade. Para isso, é necessário entremear pontos de vista com detalhes técnicos sobre o lugar da criptografia na segurança da informática.
27 A criptografia é como uma caixa preta para signos. Seu propósito é transferir sigilo de chaves criptográficas para mensagens, tornando opaca as representações das mensagens em linguagem humana, para fins de transmissão ou armazenagem, se necessário de forma reversível. Este propósito é alcançado através de operações sintáticas, geralmente executadas por um algoritmo que permuta e substitui os bits que compõem chaves e mensagens. O sucesso prático desta semiose é inferido da confiança na eficácia dos algoritmos criptográficos e na posse (conhecimento) de chaves criptográficas por quem de direito. Esta semiose fundamenta a construção de mecanismos sintáticos para autenticação restrita, para controle de acesso a sistemas de arquivos e para controle da execução de código binário em CPU, ou para estabelecimento de canais cifrados que visam oferecer sigilo na comunicação de dados em meios de transmissão hostis. A descoberta de algoritmos criptográficos assimétricos eficazes no final dos anos 70 possibilitou também a construção de mecanismos públicos para autenticação e distribuição de chaves, baseados em protocolos de assinatura e certificação digital, e de envelope digital, respectivamente. Estas caixas pretas possuem certas restrições à sua eficácia operacional, tais como a necessidade de que o custo da reversão ilegítima da transformação sintática supere o valor do sigilo em curso, e de que a autenticação preceda a cifragem(5).
28 Em uma rede autônoma, a hierarquia social que a justifica implica na existência de responsabilidades para a administração dos meios de transmissão e armazenagem de dados, e também para a escolha, implantação e gerência de mecanismos de autenticação, para fins de identificação da origem de mensagens, de auditoria de eventos e de controle de acesso a recursos da rede. As chaves criptográficas para os algoritmos envolvidos derivam da posse de algum conhecimento e/ou dispositivo e/ou característica biométrica que distinga o agente que o possui, conforme cadastro prévio num serviço de autenticação da rede. As versões mais comuns dos mecanismos de autenticação se baseiam no conhecimento de uma senha, cuja presunção de sigilo dá efeito ao processo de identificação sintática dos agentes da rede. O sigilo dessas senhas fica entretanto vulnerável enquanto em trânsito, ou seja, no campo visual que alcança o teclado onde é digitada, e no canal virtual de transmissão que vai do teclado até o ambiente de execução do algoritmo que processa a identificação. Só faz sentido acionar mecanismos de autenticação, de auditoria de eventos ou de controle de acesso após tal identificação, o que torna seu procedimento extremamente sensível e importante para o processo de segurança(20).
29 Numa rede fechada o administrador têm autonomia para controlar o cadastro de agentes e os riscos ao sigilo das senhas que trafegam nos canais virtuais de sua rede, através da escolha adequada de tecnologias de transmissão, protocolos de autenticação e plataformas computacionais, onde a própria infra-estrutura de hardware da rede pode contribuir no processo de identificação de seus agentes. Este cenário pressupõe implicitamente alguma confiança necessária na competência e lisura da administração da rede, por parte dos agentes que se submetem às regras sobre direitos e responsabilidades no uso de seus recursos. Se a autenticação basear-se em algoritmos criptográficos simétricos, o conhecimento da senha precisa ser compartilhado entre o agente a ser identificado e o processo identificador, que irá verificá-la sempre que o agente quiser ter acesso à rede. Os protocolos de autenticação baseados em algoritmos simétricos são restritos, pois neles a capacidade de autenticar está circunscrita a depositários de confiança para o compartilhamento de senhas. Este tipo de autenticação pressupõe, portanto, que todo agente da rede deva confiar na idoneidade do processo identificador, ou seja, deve confiar que o processo identificador não permita vazamento ou uso indevido do segredo que identifica o agente(5). Em linguagem leiga, a autenticação precisa ser segura para que haja segurança na rede.
30 Entretanto, a contaminação de sistemas em rede por softwares embusteiros pode comprometer esta idoneidade. Serviços hoje amplamente difundidos na internet, tais como TELNET e correio eletrônico, herdados dos primórdios acadêmicos do sistema operacional UNIX, quando premissas de confiança eram abstraídas de contexto mais ameno, continuam a "autenticar" com transmissão de senhas às claras, só que agora em um contexto anárquico e ubíquo, onde as ferramentas para escuta (sniffers) estão cada vez mais difundidas e fáceis de usar. Troianos bem projetados conseguem se despistar dos métodos conhecidos de detecção empregados por mecanismos de proteção a redes autônomas, até serem descobertos por causa dos efeitos que desencadeiam, alimentando uma corrida sem fim entre a industria da segurança computacional e a comunidade de crackers e vândalos que em torno dela gravita, em simbiose. Administradores de redes autônomas, onde tais serviços globais são demandados, tem a responsabilidade de alertar usuários sobre os riscos crescentes envolvidos nesta demanda, e os que disso se omitem provavelmente o fazem para não serem taxados de paranóicos ou vistos como suspeitos, o que dificulta seu trabalho de uma forma ou de outra.
31 A segurança de um mecanismo de autenticação digital é tão frágil quanto o elo mais fraco na cadeia de operações que a implementa. Assim, a "senha biométrica", composta pela representação binária da imagem da retina ou da impressão digital do agente, podendo ser grampeada e substituída em trânsito, estará neste caso ainda mais vulnerável do que se fora uma sequência memorizável de caracteres, pois a identificação biométrica é insubstituível, enquanto a proteção que ambos identificadores oferecem é, de qualquer forma, inóqua contra a coação física. Firewalls são úteis como primeira linha de defesa, mas inócuos contra certos tipos de ataque na grande rede, tais como os troianos implantados internamente para o tunelamento de tráfego através da filtragem, ou o uso de pontos multi-interface na rede interna, conectados furtivavente à rede externa, que podem ser insuspeitadamente executados com um laptop dual homed e um telefone celular, por exemplo. A confiança ingênua na tecnologia como panacéia reflete-se na opinião leiga sobre o grau de segurança oferecido por mecanismos de autenticação baseados em biométrica, por mecanismos de filtragem de pacotes (firewalls) ou por outras engenhocas, opinião reforçada pelo marketing de produtos que implementam tais mecanismos. Ladrões de carro podem hoje comprar, por cerca de US$ 5000, scanners eletrônicos fabricados no leste europeu que varrem frequências e códigos para desativar alarmes e abrir portas dos carros modernos, catapultando a demanda por rastreadores via satélite no mercado da segurança, que por sua vez criam demanda para os geradores de ruído para abafá-los, numa corrida sem fim. Pior do que a falta de proteção à informação é a falsa sensação de segurança, onde técnicas de proteção se degradam frente a riscos crescentes, ao longo de seu tempo de uso. A tecnologia aumenta não a segurança, mas a volatilidade no jogo da segurança, pois beneficia quem a detem em qualquer dos dois lados do jogo.
32 Vejamos o exemplo dos mecanismos de autenticação por senha. Com os mainframes e seus terminais "burros" ligados a controladoras, o risco de vazamento durante a transmissão de senhas, ou de embustes na transmissão, podia ser controlado protengendo-se o acesso ao hardware. Mas com o advento das redes locais este risco se tornou substancial e crescente, em muitos casos incompatível com o nível de segurança almejado por certas redes autônomas. Surgiram então, em conjunto com outras medidas de proteção, protocolos de autenticação e controle de acesso que evitam transmissões às claras das senhas (ou de chaves criptográficas) entre suas máquinas. Protocolos como Needham-Schroeder e Kerberos são pioneiros nesse objetivo, que para ser atingido pressupõe no protocolo o cadastro prévio de chaves mestras dos agentes num servidor de autenticação, o que seria obviamente inócuo se essas fossem transmitidas através da própria rede. Qualquer protocolo de autenticação baseado em criptografia simétrica, projetado para evitar transmissão às claras de chaves e senhas, pressupõe portanto um servidor de autenticação confiável e um canal sigiloso esporádico, operando fora da rede, entre servidor e agentes (5).
33 Mesmo com estas restrições quanto às presunções de confiança no verificador e no sigilo externo para habilitação de chaves, a criptografia simétrica pode ser útil para a segurança de redes autônomas. Mas na internet estas características tornam tais protocolos por si só inócuos. Um administrador de rede autônoma não tem controle sobre o tráfego ou sobre mecanismos de autenticação fora de sua rede. Pode apenas confiar na vantagem evolutiva da padronização para a internet. Mesmo que siga padrões, não terá condições confiáveis ou práticas para identificar, via sigilo, quem possa se interessar em ter com sua rede um canal seguro. Outra limitação da criptografia simétrica é a de ser completamente inútil na construção de mecanismos de não-repudiação, como demanda o comercio eletrônico de varejo por exemplo, para poder emitir recibos eletrônicos. O potencial que as redes fluidas oferecem à transformação das práticas sociais modifica as premissas para especificação de protocolos de autenticação que possam ser-lhes eficazes. Hierarquias e mecanismos sociais reguladores precisam ser substituíidos por presunções de intenção, estados cognitivos e avaliações de riscos. É como se precisássemos adaptar os trincos de porteiras e laços de rédea que controlam o perambular de cavalos, por onde os humanos são confiáveis ou rastreáveis, para que funcionem como fechaduras e trancas que controlam o manobrar de automóveis, por onde só o proprietário é confiável e imputável. É óbio que, diante desta necessidade, alguém surgirá vendendo este "serviço"
34 O que pode hoje a criptogrfia oferecer no cenário da grande rede? Esta questão é polêmica e complexa, sendo seu fulcro facilmente deslocado pelo referencial semântico de onde parte a resposta(21). Começamos por descrever o estado-da-arte criptográfica de hoje, a criptografia assimétrica. Ela se distingue da criptografia simétrica por prescrever sistemas criptográficos com pares de chaves distintas, dificilmente dedutíveis uma da outra, para suas duas operações sintáticas: uma que torna mensagens opacas e outra que inverte esta operação. Num algoritmo assimétrico eficaz, o custo computacional para a obtenção de uma chave a partir de sua inversa é controlado durante a geração deste par, podendo ser aumentado em quantas ordens de grandeza se queira em relação tanto ao custo da geração do par de chaves, quanto ao custo da sua operação sintática ou quanto ao valor do sigilo em curso. Tais algoritmos utilizam alguma função trapdoor para gerar pares de chaves a partir de um segredo, sendo hoje o RSA o mais simples destes algoritmos, tendo resistido à criptoanálise por mais de 20 anos. Seu funcionamento baseia-se no teorema de Euler-Fermat e no algoritmo de Euclides, e sua eficácia está associada ao fato empírico dos algoritmos conhecidos para fatoração de números inteiros, desde Euclides até hoje, serem todos de complexidade exponencial(5).
35 Qualquer protocolo criptográfico baseado em algoritmo assimétrico pode omitir a presunção de sigilo para uma das chaves criptográficas de cada par de chaves. Podem assim ser projetados para fundar dois outros tipos de mecanismos. O primeiro tipo de mecanismo é de autenticação pública, onde cada agente gera seu par de chaves e distribui uma delas (a chave de verificação), aos agentes que possam se interessar na verificação da origem e integridade das mensagens transmitidas por ele, o titular da chave. O segundo tipo são os mecanismos públicos de distribuição de chaves para sigilo, onde cada agente gera seu par de chaves e distribui uma delas (a chave de encriptação), para ser usada na cifragem a ele destinada. Nesses protocolos, a chave distribuída é dita chave pública, e sua inversa, que presumivelmente é conhecida apenas por seu titular, é dita chave privada(5).
36 Os protocolos de autenticação pública são substitutos digitais incompletos da função de autenticação desempenhada pela assinatura "de próprio punho", mas mesmo assim são chamados de protocolos de assinatura digital. Uma mensagem digitalmente assinada é veiculada por uma cadeia de bits à qual foi concatenada uma cifra que visa identificar seu emissor. Tal cifra é calculada a partir desta cadeia e da chave privada do emissor. Esta cifra torna-se a assinatura digital desta mensagem pelo emissor. O processo de verificação da assinatura digital consiste na tentativa de se reverter esta cifragem, a partir da chave pública do pretenso emissor da mensagem. O sucesso desta reversão permite ao verificador, a partir da presunção de posse única da inversa da chave de verificação, inferir a origem e intenção desta mensagem ao legítimo titular deste par de chaves, dando efeito à identificação do seu emissor e também da integridade sintática da cadeia que veicula a mensagem. Os protocolos de envelope digital, por sua vez, permitem que a chave pública do destinatário seja usada para encriptar mensagens a ele destinadas, onde a presunção de posse única da inversa desta chave por seu titular dá efeito a um canal sigiloso do remetente ao titular deste par de chaves, identificado assim como destinatário(5). Mas isso só faz sentido se o verificador ou destinatário puder confiar no seu conhecimento sobre quem é, então e agora no mundo da vida, o titular do par de chaves.
37 Chaves públicas podem trafegar às claras pela nebulosa malha da internet, sem que a ausência de sigilo na sua distribuição comprometa a eficácia dos protocolos que as utilizam, superando as limitações encontradas por protocolos baseados na criptografia simétrica nesse ambiente. Isto entretanto não significa que os protocolos de chave pública estejam livres de restrições intrínsecas, como pode sugerir o marketing que dissemina as tecnologias para o comércio eletrônico, apoiando-se na ingênua crença coletiva da tecnologia-como-panacéia. O calcanhar de Aquiles da criptografia assimétrica surge na sua aplicação em redes de hierarquia aberta e decorre das dificuldades semânticas dos seus processos de identificação, já que a semiose da criptografia assimétrica é baseada na identificação do legítimo titular de pares de chaves. Um par de chaves é apenas um par de cadeias pseudo-aleatórias de bits, investidas por algum algoritmo com funções de chave pública e chave privada. A eficácia dos protocolos a que se destinam chaves assimétricas depende portanto não só da presunção de sigilo das chaves privadas, mas também da confiança que se possa ter na sua titularidade(5).
38 Como poderei crer que uma cadeia de bits, anunciando-se em minha máquina como portadora da chave pública da entidade XYZ para o algoritmo RSA, contem mesmo a chave pública de XYZ? Alguém poderia, por exemplo, ter contaminado temporariamente o servidor DNS ou proxy usado pela minha rede, para que seja transmitida uma cópia falsa da página buscada de um banco, cópia cujo script alterado irá colher para ele as senhas de acesso às contas bancárias de incautos correntistas, oferecendo-lhes sua chave pública como se fora do banco, e uma falsa mensagem de erro de transação para camuflar o grampo da senha. No uso pioneiro da criptografia assimétrica na internet, quando Phill Zimmerman implementou e distribuiu o PGP para sigilo e autenticação de correio eletrônico no início dos anos 80, esta questão da confiança na titularidade de chaves públicas foi tratada como externa ao protocolo implementado. O PGP pressupõe ser de responsabilidade pessoal do usuário a confiança na identificação dos legítimos titulares das chaves púbicas utilizadas(5). Entretanto, este modelo para gerência de chaves públicas, que ganhou o nome de "malha de confiança", não é escalável para redes públicas globais nem é fácil de ser usado com eficácia, principalmente por leigos, embora seja útil na construção de redes privadas virtuais através da internet.
39 As redes privadas virtuais sobre TCP/IP eventualmente vieram a substituir, devido a seu baixo custo em relação às redes proprietárias dedicadas, as tecnologias até então em uso para o comércio eletrônico entre empresas (business to business), mas a tecnologia das VPNs não se aplica ao modelo do comércio eletrônico de varejo sobre uma rede pública e global. Antevendo o potencial dos browsers de HTML para alavancar mais uma transformação das práticas mercantis, induzida pela internet, as empresas Netscape e RSADSI, que então detinham respectivamente 80% do mercado de browsers e a patente em território norte americano do algoritmo RSA, se associaram para elaborar e lançar um protocolo pioneiro para este fim, antecipando-se à iniciativa do comitê do IETF (Internet Engineering Task Force) encarregado de propor um modelo hierárquico alternativo à malha de confiança para autenticação de chaves públicas (PEM). O protocolo proposto pela Netscape e RSA usa algoritmos públicos e autenticação recursiva de chaves públicas, criando com isto mais um ramo de negócio na indústria da segurança computacional, o mercado de emissão e venda de certificados de chave públicas. Este novo mercado foi ocupado por empresas auto-denominadas "Autoridades Certificadoras", das quais uma subsidiária da RSADSI, a Verisign, foi pioneira.
40 Os primeiros padrões propostos para se atingir interoperabilidade de protocolos de autenticação em redes abertas, baseados em chaves púbicas digitalmente assinadas, foram os formatos PKCS (1 a 13) e o X.509, este último proposto pela ITU (International Telecommunications Union) encampando elementos de alguns formatos PKCS. Um certificado X.509 é uma cadeia de bits digitalmente assinada contendo, entre outros dados, uma chave pública, os parâmetros do algoritmo a que se destina, o nome apresentado como do legítimo titular desta chave, o nome da autoridade certificadora que verificou e agrupou esses dados, e a assinatura digital por esta "autoridade" sobre esta cadeia de bits. Obviamente o preço pela emissão e renovação de tais certificados é proporcional ao nível de detalhe com que a autoridade verifica os dados nele apostos, conforme prometido em documento público (statement policy), onde a autoridade descreve a utilização dos certificados e onde também declara responsabilidades que atribui a si, a usuários e a titulares de chaves, referentes ao uso dos certificados que assina(24). O primeiro protocolo de aplicativos que entrou em operação na internet e eventualmente tornou-se padrão de fato, pela adesão em massa, projetado para autenticação e sigilo via chaves públicas digitalmente assinadas, foi o SSL. As chaves públicas das autoridades certificadoras são distribuídas com os servidores web e browsers HTML que suportam o SSL, que assim automatiza o processo de verificação da integridade das chaves públicas recebidas em certificados digitais, utilizadas para abertura de sessão de transporte sobre conexão autenticada e cifrada.
41 O SSL completou a estratégia proposta pela
Netscape, RSA e Verisign para a formação de uma infra-estrutura
de uso de chaves públicas na internet, eventualmente com a adesão
de um grande consórcio de empresas. Posteriormente o SSL foi incorporado
ao suite IPv6 como TLS, e uma associação da Visa e MasterCard
lançou o protocolo SET, que busca oferecer proteções
adicionais a quem se utiliza de cartões de crédito como meio
de pagamento. E quais são as premissas para eficácia dessa
infra-estrutura? No mínimo, a confiança na integridade
de toda a parafernália computacional envolvida. Com a implantação
de uma infra-estrutura criptográfica que viabiliza o comércio
eletrônico global, ao alcance da "mão invisível do
mercado" mesmo antes de uma adequada compreensão dos restrições
conceituais de eficácia a esta infra-estrutura, é posta em
marcha a revolução das redes abertas, que creio desafiar
nossa compreensão das transformações que está
induzindo em várias dinâmicas sociais. Destas transformações,
parafraseando Pierre Levy(8), está surgindo uma cibercultura.
Cibercultura
42 Uma nova economia ganha força e status decisivos ao se apropriar das tecnologias de redes de hieraquia aberta, num processo que se convencionou chamar de globalização econômica, caracterizada por uma espécie de desmaterialzação dos produtos, pela substituição de insumos materiais por insumos cognitivos, pela proliferação de inovações e pela volatilização crescente do mercado financeiro. Como descreve o economista e diplomata Roberto Campos(9), o comércio eletrônico entre empresas facilita o planejamento da produção e estocagem, reduz custos de transação e distribuição, e diminui prazos de entrega. Tal reviravolta tem desafiado as leis empíricas de mercado da economia ortodoxa, valorizando a níveis astronômicos empresas que nasceram neste novo tipo de comércio mas que nunca deram lucro. Como pode, por exemplo, um portal web que oferece serviços gratuitos de busca e espaço publicitário, a Yahoo, valer mais que a Eletrobrás ou a companhia Vale do Rio Doce?(9)
43 A proliferação de inovações e a reviravolta nas leis ortodoxas de mercado, promovidas pela revolução das redes abertas através de uma mudança no perfil de expectativas coletivas, atinge principalmente a indústria de software. O presidente da Sun Microsystems tem o hábito de iniciar suas palestras invocando uma frase que sintetiza sua visão paradigmática do futuro desta industria: "O computador é a rede". Cada vez mais os aplicativos evoluem para a componentização e a computação distribuída, em uma velocidade incompatível com o amadurecimento da complexa base em que se assenta, composta por sistemas operacionais, sistemas de arquivos e de redes, dos quais demandam interoperabilidade, compatibilidade retroativa e confiabilidade. Esta indústria, que do ponto de vista da engenharia está ainda em sua infância mas que do ponto de vista econômico forma hoje o mais poderoso ramo de commodities que a humanidade já conheceu, opera num cenário onde opiniões empíricas atribuídas a seus gurus se tornam profecias auto-realizáveis, metas e balizamentos coletivos para planejamento estratégico que, como no exemplo da lei de Moore sobre o crescimento da capacidade de processamento de CPU, impõe demandas artificiosas ao mercado através do controle de expectativas, numa forma irracional de violência simbólica, semelhante à que é perpetrada pela indústria da moda em nossa cultura.
44 Vejo profissionais da informática reagirem com ironia ao serem cooptados a atualizar seus sistemas numa frequência que lhes garante nunca estarem rodando código razoavelmente depurado. As indústrias de software que lideram este mercado precisam manter fluxos de caixa e defender posições, e estas necessidades ditam o ritmo de lançamentos de novas versões dos seus sistemas, nos quais novas funcionalidades implicam complexidade crescente. São interfaces e penduricalhos que o marketing decide incorporar para justificar a reciclagem e que inviabilizam qualquer esforço no controle de qualidade para sustentar níveis de confiabilidade e depuração das novas versões. Uma dessas observações empíricas de gurus da indústria, zelosamente ofuscada com espelhos e fumaça branca pelas divisões de marketing desta mesma indústria, reza que o numero de bugs em um software cresce exponencialmente com o número de linhas de código. A complexidade é o maior inimigo da segurança, mas a fumaça branca nos diz que a industria implementa aquilo que o mercado deseja. Nunca encontrei um usuário sequer de editor de textos que houvesse sido inquirido, pela industria, sobre seu desejo por um tal programa contendo 400.000 pontos de função e um completo interpretador de comandos do sistema operacional. Por outro lado, já encontrei analistas que se justificavam dizendo não saberem de ninguém demitido por licitar compras de software "líder de mercado". A soma do que todos desejam não tem nada a ver com aquilo que é desejado por todos. Vejo esta ironia como aquiescência a um comportamento de manada, em cômoda e irrefletida submissão a violências simbólicas na busca inercial e mítica pela objetividade, em meio a uma coletiva e brutal miopia fiducial. Este comportamento, considerado como fenômeno da nova economia, é denominado "efeito rede" pelos economistas contemporâneos que o reconhecem.
45 Evi Nemeth, uma professora de computação em uma universidade americana, tem uma definição operacional curiosa para segurança na informática, que chamo de equação de Nemeth(25): "a segurança é proporcional ao inverso da conveniência". Esta definição nos lembra que existe uma dimensão psicológica na análise de riscos e na formação de hábitos, onde riscos emergem e de onde podem ser percebidos. O mercado com certeza aprecia a conveniência de se reduzir a questão sobre autenticidade e sigilo de conexões TCP à imagem de um cadeado que se fecha na janela de um web browser. Detalhes técnicos seriam para especialistas na área, pois não interessam ao internauta medianamente aculturado. Destes internautas, há entretanto alguns que um dia encontram no extrato de sua conta corrente um débito de transferência eletrônica desconhecida, que a põe no vermelho. Sua reação imediata será contra o banco, que vai então lhe informar que a conta favorecida é de um "laranja", e depois lhe lembrar da cláusula referente à responsabilidade pelo sigilo das senhas, conforme está no contrato assinado na abertura de sua conta. Vai em seguida lhe explicar qual é o custo computacional para quebra do sigilo em uma sessão HTTP sobre o SSL do banco, comunicar o número da linha discada de onde foi efetuada tal transação, para tentar lhe convencer que os fatos isentam o banco de qualquer responsabilidade pelo vazamento da sua senha e pelo rombo sofrido perante a lei.
46 Tomado por um repentino surto de paranóia tecnofóbica, o internauta fraudado irá finalmente se dar conta do valor da sua privacidade. Vai se interessar pelas razões porque sua senha de home banking deve -- ou deveria -- ser diferente da senha do seu cartão de débito, ou porque é possível a um script HTML numa pagina embusteira redesenhar, na janela da sessão SSL da pagina web do banco, uma cópia do frame contendo o campo para digitação da senha, que será desviada para um CGI no servidor da página embusteira quando a senha for remetida e estiverem ambas páginas abertas. Ou porque é possível alguém contaminar o servidor DNS do provedor de acesso para que forneça endereço IP falso da página do banco, onde a página falsa é idêntica à do banco e também usa o SSL para troianizar o home page do banco do usuário, emitindo mensagem de erro após capturar sua senha. Ou porque é possível alguém induzi-lo a executar um email atachment que infectará seu Windows com o BackOrifice 2000, customizado para burlar a vigilância do seu antivirus e grampear seu teclado para transmitir, via background ftp oculto e sob demanda do invasor, o arquivo de log do que houver sido digitado na sua máquina. Para então concluir que não deve mais usar o home banking, expondo-se assim com frequência maior a sequestros relâmpagos, assaltos e golpes de cartão na boca dos caixas eletrônicos, já que o banco está gradualmente lhe expulsando da fila do caixa, por nobres e inquestionáveis razões de redução de custos, é claro.
47 Fraudes e crimes eletrônicos evoluem em crescente sofisticação e abrangência nesta revolução, e as perdas decorrentes podem estar crescendo em ritmo maior que o volume de negócios transacionados por meio eletrônico(23). Estas estimativas são imprecisas devido, entre outros motivos, ao aumento significativo da espionagem industrial, cujos prejuízos são difíceis de mensurar, podendo também estar contaminadas por estratégias marqueteiras da industria da segurança na informática, esta sim, crescendo três vezes mais rápido que o mercado da informática como um todo. Ataques deste tipo, principalmente contra grandes instituições ou empresas, precisam apagar seus próprios rastros para se beneficiarem da impunidade ou para evadirem detecção, e as técnicas de despiste são desenvolvidas com tenacidade e disciplina pelos criminosos competentes. Eles tem paciência e tempo para explorar e descobrir as vulnerabilidades das redes que planejam atacar, tarefa que tomam como desafio e executam com sofreguidão e até volúpia, pois usam-na para credenciar sua competência e negociar preços de seus serviços. Alguns ataques objetivam apenas amealhar tais credenciais, testar e praticar técnicas e estocar informação para estelionatos. Mas em nenhum caso, jamais, o criminoso competente ataca a partir de sua própria máquina, e sempre a partir de redes desprotegidas que abundam na internet, usadas como trampolim para despistes (zumbis), já que nelas podem facilmente apagar seus rastros.
48 As redes desprotegidas abundam na internet, em proporção geograficamente invariante, hoje em torno 1/3 a 2/3 das redes autônomas conectadas(26), taxa estável já há algum tempo. Esta abundância dificulta sobremaneira o combate aos crimes eletrônicos, e no contexto onde flutuam valores éticos e morais, indiretamente também os estimulam. Razões para a abundância de redes desprotegidas na internet também abundam, mas abordaremos aqui apenas as que melhor ilustram o contexto social do processo de segurança na informática de hoje. A primeira razão para o descaso com segurança é de ordem prática e de apelo ideológico. O apelo pela objetividade, guiado por alguma "política de resultados" cujas métricas são inadequadas aos novos tipos de desafio e risco trazidos a cena pela revolução das redes abertas, impõe prioridades que inviabilizam o processo de segurança computacional. Sob esse apelo, uma rede autônoma geralmente é conectada quando se descobre que já deveria ter sido. Ou se ainda não existe a rede, que já deveria existir e estar conectada. Equipamentos são então comprados, desembalados e ligados a cabos e conectores, enquanto se negocia espaço de endereçamento IP e acesso a gateways, ao mesmo tempo em que se decide quem irá fazer tudo aquilo funcionar. Para ontem. Temos aqui descrita a política browniana para segurança na informática, que não investe em segurança porque não vê nenhum retorno no investimento, atribuindo qualquer discussão sobre riscos ao media hype que a indústria de segurança computacional fomenta para criar o seu mindshare, jargão dos publicitários para designar o "efeito rede" na propaganda.
49 A segunda razão para descaso é de ordem cultural e de apelo inercial. Um certo tipo de pressão psicológica, surda e indizível, pode atingir qualquer administrador de rede autônoma conectada, exercida por usuários medianamente aculturados. A pressão é para que a gerência da rede "democratize" seu uso, libere os controles de proteção e se atenha à manutenção e ampliação dos serviços disponibilizados. Quando a rede é atacada esta pressão passa a exibir traços esquizofrênicos, revestindo-se de auto-ironia e obscurantismo dirigidos à ação de ocultar, negar ou subestimar eventos ou contrapressões evolucionárias, com eventuais frituras ritualísticas, tudo em nome da preservação de alguma imagem institucional e do laisser-faire. Instala-se a política do avestruz. Vista como uma versão computacional da segunda lei da termodinâmica, a equação de Nemeth descreve esta política em termos de evolução da entropia virtual do sistema rede-usuários.
50 Pressões desse tipo são transmitidas ao responsável pela rede, em linguagem mais ou menos direta, independentemente do grau de clareza e sucesso com que se consiga demonstrar a inevitabilidade e as consequências da equação de Nemeth, sempre que "a comunidade" da rede local se omite em promover e sacramentar uma política institucional própria de segurança para a informática, agindo como bando de avestruzes. A necessidade de uma tal política está implícita na linguagem técnica que descreve os padrões TCP/IP, qualificando as redes participantes como "autônomas". Lamentáveis são os exemplos desta omissão entre instituições acadêmicas que, desprezando o papel de liderança nos rumos desta revolução, papel que lhes caberia por missão social cumprir, posicionam-se nesse teatro com inépcia ou inércia ou vaidade política ou miopia administrativa, atropelando a si mesmas de forma amadora e irresponsável rumo a sua entropia máxima. Estas se tornam trampolins favoritos para vândalos e criminosos, pois maximizam-lhes a relação entre repercussão e risco nos ataques facilitados pela atitude clueless dos responsáveis pelos alvos. O clueless é aquele que não sabe que não sabe. É um avestruz browniano.
51 A terceira razão é de ordem técnica e de apelo semiótico, imbricada ao problema da flutuação de significados e valores sociais no neo-capitalismo. A pressão sobre a industria de software e de serviços para orquestrarem uma infra-estrutura cooperativa global que viabilize a evolução do comércio eletrônico, ao ritmo da batuta empunhada pela "mão invisível do mercado" para reger expectativas coletivas, gera problemas de segurança ao longo de toda a cadeia de dependência das tecnologias da informação envolvidas, posto que a aplicação e sua ferramenta -- o software -- não evoluem no mesmo ritmo. A interatividade virtual e global exige software que execute de forma distribuida, com autenticação de componentes na grande rede, o que remete às questões conceituais sobre limites e alcance da semiose da criptografia assimétrica e de suas premissas de confiabilidade. Mas estes problemas são habilmente camuflados evocando-se a magia tecnológica em meio à cacofonia de expectativas sobre vantagens e conveniências da interatividade, pelos arautos da percepção objetiva, assim aclamados pela fama que alcançam. Vende-se aqui a política oregano-de-pizza.
52 Numa feira de informática de New York em 1998 dedicada ao comércio eletrônico haviam mais de 3000 produtos em exposição. O enfoque geral na promoção desses produtos é sempre a conveniência e a segurança, conceitos que aí não aparecem como antagônicos pois são sempre evitadas ou menosprezadas abordagens de problemas relacionados à refutabilidade de assinaturas digitais, à responsabilidade pela revogação de certificados de chaves comprometidas, à responsabilidade pela manutenção de chaves de verificação cujo par privado já tenha desaparecido, à confiabilidade na terminação de cadeias de certificação, e à ausência de jurisprudência firmada na prática internacional ou nas filosofias do direito de qualquer tradição, sobre essas temas. Os problemas relacionados a estas limitações conceituais são hoje vistos, à luz da crença na tecnologia-como-panacéia, como de risco marginal pelos comerciantes do virtual que conseguem compreendê-las, exceção feita à refutabilidade de assinaturas digitais, cujos problemas são abordados nos modelos de negócio geralmente a letra pequena, em herméticas e marginais cláusulas contratuais. Entretanto, devido a sua natureza cumulativa e à sofisticação na industria do crime eletrônico, esses problemas podem agir como bombas-relógio para o custo operacional futuro desta infra-estrutura. Obviamente após estarmos todos dela dependentes, após mais um golpe de violência simbólica aplicada com sucesso pela "mão invisível do mercado" que distribuirá democraticamente a conta do custo social pela manutenção dos avestruzes brownianos nutridos a orégano-de-pizza.
53 Como ocorrem as violências simbólicas? Esta pergunta é fascinante e permito-me abordá-la de forma empírica, ilustrativa, para finalizar estas reflexões. Voltemos momentaneamente à questão da refutabilidade de assinaturas digitais. Um agente do protocolo em princípio pode, seja ou não em má fé, repudiar sua assinatura digital em um contrato eletrônico, alegando vazamento involuntário da sua chave privada, por alguém que dela se utilizou para produzir tal assinatura com o intento de incriminá-lo. Entretanto a especificação do protocolo SET descreve aplicações que produzem faturas e recibos eletrônicos baseadas em assinaturas digitais de vendedores e clientes, conceitos que pressupõem implicitamente a irrefutabilidade de assinaturas digitais válidas, à moda das assinaturas mecânicas judicialmente periciáveis. O estado de Utah, nos EUA, foi pioneiro na aprovação de legislação que imputa total responsabilidade pela guarda da chave privada a seu legítimo titular, um instrumento jurídico que busca equiparar a funcionalidade da assinatura digital à da assinatura mecânica(2). Está sendo seguido pela França. Portanto o cidadão Francês ou de Utah se verá obrigado pelo estado a responsabilizar-se pela operação segura da plataforma computacional de sua escolha, onde venha a guardar e usar sua chave privada, caso queira possuir e utilizar uma. A questão que se impõe a este cidadão, caso almeje o que há de mais avançado no mundo virtual, é sobre a confiança que ele pode ter em plataformas computacionais pessoais, hoje disponíveis.
54 Se tomo como minha esta questão, vejo logo que ela é na verdade recursiva, pois remete a uma instância de si mesma de ordem superior, qual seja: Em que(m) devo confiar para subsidiar minha decisão sobre a confiança que posso ter em um computador? E assim por diante. Confiança a partir do nada é dogma, e portanto tais cadeias recursivas só podem ser logicamente interrompidas por uma resposta dogmática a alguma instância da questão da confiança. Exploremos então a hipótese de interrompermos esta cadeia com a palavra do homem que fundou e dirige a empresa produtora de sistemas operacionais e software aplicativos hoje líder no mercado, que por sinal é também o homem mais rico do mundo, sob a premissa de que tais credenciais o revestem de legitimidade suficiente para torná-lo depositário de confiança ex nihilo com respeito a este tipo de questão. Tal hipótese diz que Bill Gates deve ter a resposta final à questão de que me ocupo, já que nunca se compraram tantos sistemas operacionais quanto se compra dele. Tal estratégia é semelhante àquela de se buscar a verdade objetiva na média aritmética das manchetes de jornais, revistas e noticiários de TV, ponderada por audiência. Podemos denominar esta estratégia de sinergética (ou Goebelliana), e continuar refletindo sobre onde ela pode nos levar.
55 Há cerca de um ano comprei uma revista de informática que trazia uma reportagem de capa assinada por Bill Gates, sobre o futuro da programação(10). Sabemos que a revolução das redes abertas exibe uma propensão para abolir ou dissipar fronteiras geográficas, que no caso do software distingue compontes residentes na máquina daqueles que residem nas redes. Esperava encontrar explicações de um tecnovisionário sobre a escolha estratégica da sua empresa para a evolução do código móvel, escolha que aposta na abortagem tudo-ou-nada para autenticação e controle de código dependente de plataforma. Haveria por trás desta escolha alguma agenda oculta, para prolongar tendências monopolistas? Desejava conhecer sua visão comparativa dos modelos de segurança do formato ActiveX e da linguagem Java, mas encontrei apenas uma ocorrência da palavra "segurança" no seu texto, onde Gates argumentava pela necessidade das ferramentas de depuração nos ambientes de programação do futuro serem mais sofisticadas. Reconheci imediatamente sua metáfora para segurança que pressupõe uma política padrão do tipo orégano-de-pizza, levantando-me a suspeita de que Gates tenha abandonado sua graduação em Harvard antes de cursar alguma disciplina na área de segurança computacional.
56 Metáforas cosméticas para a segurança na informática são hoje sustentadas pelo bug do milenio verdadeiro, apresentando sérios riscos a quem dela se vale em plena revolução das redes abertas. Tais metáforas não enxergam muito longe, como por exemplo, o lado negro das ferramentas de administração remota, do tipo permitido pela arquitetura dos sistemas operacionais da Microsoft. Seguindo neste exemplo o BackOriffice é uma tal ferramenta, que pode executar qualquer código na máquina onde é instalada, inclusve ser troianizada e ocultar-se do usuário, estando hoje disponível na versão 2K na grande rede em formato binário ou em código fonte, com install wizzard e help iterativo incluídos. Segundo Bruce Schneier(11), a Microsoft continua projetando seus sistemas operacionais como nos tempos em que não haviam redes, quando a segurança não era prioridade para os sistemas monousuário-monotarefa de então, nos quais podia ser impunemente cosmética. Notificações de falha de segurança de seus sistemas são ignoradas pela empresa, e as que são publicadas em revistas científicas são negadas. A empresa só responde quando alguém distribui pela internet algum código embusteiro que explore tais falhas.
57 Riscos, como a entropia, tendem entretanto a aumentar com o tempo. Hoje vírus que se utilizam de engenharia social, como o Melissa, podem se alastrar pela internet em um ou dois dias, atingindo-a em cheio em menos tempo do que a indústria de antivírus precisa para reagir. Virus de macro que neutralizam o desabilitador de macros podem subverter qualquer criptografia para privacidade que se integre ao pacote Office. Virus que conhecem o baixo nível da máquina, como o Chernobyl, podem alterar a voltagem que alimenta CPU e RAM para queimá-las, se a placa mãe da máquina alvo tiver BIOS configurável por software, como são os PC mainboards hoje fabricados. Já conhecemos a estratégia de sobrevivência do poder político, que cria dificuldades para vender facilidades, mas a política oregano-de-pizza parece inverter a seta causal desta estratégia, tornando instável a convolução das duas. O cartel das grandes industrias de software é então levado a promover legislação draconiana para compensar o desequilíbrio dessa convolução e proteger a sua verdade. Precisa neutralizar o efeito rede gerado pelos programadores conscientes do valor da liberdade humana, que organizam a guerrilha do código aberto. Tal manobra do cartel nos empurrará, se deixados à sorte da sua ganância, para um estado de direito Orwelliano onde o indivíduo será proibido de saber o que o código executando em sua máquina está realmente fazendo(28). O grande irmão, finalmente, estará conosco.
58 Os riscos na estratégia sinergética
nos tempos de hoje não são desprezíveis, como bem
sabem os mutuários da Encol. Esses riscos crescem na medida em que
tal estratégia é desafiada pela revolução das
redes abertas, pois no ciberespaço a verdade objetiva cambaleia
e cede espaço à verdade intersubjetiva, entrincheirada em
ciberfeudos semânticos. Os comandantes da verdade objetiva, aquartelados
na mídia ortodoxa, vêem-se sitiados nessa batalha e transformam-na
em indústria do entretenimento e de serviços políticos,
provavelmente numa estratégia neo-capitalista de sobrevivência
em meio a esta revolução. Para justificar esta leitura dos
fatos, vou apresentar minhas observações sobre a média
ponderada das principais manchetes no dia 11 de agosto de 1999. A maioria
absoluta delas fazia referência, direta ou indiretamente, a uma estrofe
escrita em linguagem ambígua e semicifrada, já que seu contexto
a insinuava como portadora de referências proféticas em um
ambiente de censura ideológico-religiosa, por um médico,
astrólogo e visionário frances, que a publicou em 1605 em
sua obra "Centúrias"(12). Nesta estrofe, a de número 72 na
décima centúria, há quatro versos. O primeiro verso
faz referência literal ao sétimo mês do ano 1999 e o
último faz referência, em jargão astrológico,
a configurações planetárias que podem ser interpretadas
como aquelas que ocorreriam no dia 11 daquele mês, incluindo uma
eclipse do sol. Estes dois versos aparecem na estrofe como
índices
temporais e simbólicos para o que deveria então ocorrer,
conforme narrado nos outros dois versos:
"Do céu virá um grande rei de terror,
Ressucitar o grande rei de Angolmois"(12)
59 Desde a publicação das Centúrias, vários curiosos e doutos se divertem com o jogo interpretativo dos versos de Nostradamus, ricos em ambiguidades e referências cifradas. Em um lance arriscado desse jogo alguém, em algum momento e em algum lugar, ofereceu a estapafúrdia versão de que tal estrofe significa a predição do fim do mundo. Como se o grande rei de Angolmois pudesse ser ressucitado depois que o mundo houvesses acabado, ou para que o mundo acabasse. Mas esta interpretação, por algum motivo, tocou alguma corda mítica no inconsciente coletivo, reverberando na mídia até ganhar forma de mindshare. Nenhuma das notícias antes ou em 11/08/1999 que vi sobre o tema teve a preocupação de tentar identificar a origem desta interpretação, nem teve a seriedade para explorar irracionalidades na sua semiose, havendo todas insinuado e quase sempre literalmente atribuído, sem nenhum fundamento histórico ou literário, esta interpretação ao próprio Nostradamus, cujo discurso goza de alguma legitimidade coletiva devido a outras interpretações proféticas de suas estrofes terem eventualmente se materializado. A mídia global mergulhou em monocórdio delírio semântico, aplicando a si mesma a estratégia sinergética para retroalimentar um jogo irônico com o temor coletivo da morte, num verdadeiro transe de autismo tautológico que insuflava a aura do autor na mais espúria das interpretações de seus versos. Esta farra semiósica impingiu grande violência simbólica às crianças a ela expostas, que ainda não têm maturidade para discernir nuanças no papel que a mídia em nossa cultura e sociedade neo-capitalistas atribui a si mesma, como também à memória do autor dos versos. Afinal, por que tantos aceitaram ser cúmplices do grotesco e embarcaram num jogo de auto-ironia no qual, através da incúria, se zomba do próprio medo? Com que autoridade pode-se então zombar de mitos alheios ou passados, ou pior, como é possível delegar à estratégia sinergética para busca da verdade objetiva a função de filtro da realidade?
60 Montesquieu argumenta, em sua obra magna "O espírito das leis"(7), que existem apenas três tipos de Estado. A Monarquia, baseada na Honra, a Democracia, baseada no Mérito, e o Despotismo, baseado no Medo. Como honra e mérito são virtudes e a virtude é um conceito desconfortável no neo-capitalismo, no qual as certezas ortodoxas oferecidas pelas ciências humanas são abaladas ou expostas a contradições e ninguém encontra as equações que descrevem o apetite e o humor do mercado livre e global, cuja exuberância irracional expõe as fraquezas dos estados democráticos, é plausível supor que a farra coletiva do fim-do-mundo-no-eclipse-do-fim-do-milenio tenha sido um ritual de passagem que nossa civilização encenou para si mesma, para marcar sua entrada no estágio que a revolução das redes abertas lhe prepara. Podemos então retomar aquele jogo da mídia e propor interpretações alternativas para a estrofe de Nostradamus, já que o mundo não acabou ainda. O profeta pode ter sido mais literal do que se supôs, fazendo referência não ao fim do mundo, mas à classificação que Montesquieu iria produzir mais de um século depois. Assim, no ventre da revolução das redes abertas estaria sendo gestado um superestado despótico (ou seria um ciberestado?), baseado no terror humano da perda de identidade social, cultural e metafísica. Como não encontrei nenhuma referência bibliográfica quinhentista ao que possa ter significado para Nostradamus o substantivo "Angolmois", considerando que a mídia desperdiçou oportunidades de especular em primeira mão, tomo a liberdade de sugerir o que Nostradamus nomeia. O "rei de Angolmois" não é um infeliz desconhecido, condenado à sina de ressurrecto natimorto. É a mão invisível do mercado livre, global e ubíquo.
61 Se tais divagações parecem tão estapafúrdias quanto o mindshare criado pela sinergia da mídia em torno do eclipse de agosto de 1999 da era cristã, consolo-me que as tenho em boa companhia. O semiólogo e escritor Umberto Eco, num ensaio escrito em 1972(13) especula se podemos ou não dizer que estamos entrando em uma nova Idade Média. A evolução tecnológica rompeu o véu que cobria o paradoxo iluminista do positivismo científico, transferindo o paradoxo do mundo da linguagem para o mundo da vida. A responsabilidade imperativa e cartesiana do indivíduo em buscar a dedução da verdade objetiva por si mesmo, dedução esta cada vez mais complexa, sai do seu alcance e da sua competência para ser, por causa da complexidade, delegada a especialistas, mas a objetividade buscada se desvanece quando a legitimação coletiva de competência para distribuir conhecimento conflita com o individualismo, na medida em que esta distribuição se torna livre e valorizável. A revolução das redes abertas promove e exacerba este conflito, fragmentando e fazendo flutuar referenciais semânticos e valores coletivos de autoridade do "discurso bem informado", em outro efeito real do verdadeiro bug do milênio, que nos coloca diante da questão sobre como alcançar a verdade, subjetiva ou intersubjetiva que seja, para se aspirar segurança em um mundo virtualizável. A cibercultura nos imerge em discursos globais e verdades locais, como numa Idade Média às avessas, já que na idade média passada os discursos eram locais e a verdade, monopolizada, era global. Estariam os punks e neo-góticos enviando-nos, desde sua galáxia, um sinal inteligente?
62 Se formos consultar o discurso bem informado de uma das mentes mais brilhantes de nosso século em sua obra sobre mitos modernos(14), podemos inferir a resposta que Carl Jung daria a esta questão. Ele provavelmente nos remeteria à tarefa de identificar a mitologia da cibercultura. Muitos nela vivem o mito de não viverem mitos. Sentem-se homens e mulheres na ápice histórico da liberdade humana, confundindo a sua com a do mercado. Você, sabe por qual mito está hoje vivendo?
.
Bibliografia
Retirado de: http://www.cic.unb.br/docentes/pedro/trabs/risco.htm