® BuscaLegis.ccj.ufsc.br
Segurança open source: maior proteção a menor custo
25/4/2003 - 10:07 Steve Schlesinger
À primeira vista, a idéia da adoção de softwares open source para aplicações
de segurança (como firewall, por exemplo) parece um contra-senso ou mesmo um
absurdo. Por que uma corporação usaria um código que está disponível a todos
― de hackers a ciberterroristas ― para proteger suas mais vitais
informações?
Mesmo assim, o uso do open source em ações de segurança tem ocorrido em
organizações, tais como a Universidade de Stanford, a Electronic Data Systems
Corp. e o Los Alamos Labb, por exemplo.
E por que elas estão tendo esta postura? O open source na segurança, quando
corretamente implementado, é economicamente mais viável e até mais seguro. Em
outras palavras, um aplicativo open source pode proteger a informação da
empresa… e seu caixa também.
Vejamos com mais detalhes
O open source é economicamente mais viável. Soluções de código aberto
destinadas a segurança custam menos que sistemas fechados, pois suas despesas
em desenvolvimento são radicalmente menores. Na Astaro, companhia na qual
trabalho como gerente-geral, o custo da integração de ferramentas open source
em sistemas de segurança é, a grosso modo, um quinto do que seria dispensado
para a criação de tais ferramentas. Estas aplicações baseadas no open source
geralmente não demandam tantos recursos de hardware e mesmo de treinamento
Em abril do ano passado, um estudo da Cybersource Pty Ltd. comparou o custo
total da adoção do open source em relação ao uso de sistemas Windows, tomando
como base de análise aspectos do custo de hardware, software, treinamento e
suporte. E qual foi a conclusão? O open source poderia trazer mais de 34% de
economia a pequenos e médios negócios em três anos.
O menor custo leva a uma maior segurança, especialmente a empresas cujos
orçamentos de TI não são dos maiores, mas cujas necessidades em segurança o
são. Estas companhias menores não têm como proteger todos os seus componentes,
assim acabam fazendo uma espécie de roleta russa diária, focando no que acham
que é mais vital e mais vulnerável. Deste modo, aproveitando o menor custo com
o advento do open source, mais componentes (leia-se informação) podem ser
incluídos no “guarda-chuvas” de segurança. E mais importante: a empresa fica
livre para investir seu dinheiro em outras áreas que normalmente são
neglicenciadas ― como na educação de usuários finais para que implementem
melhores práticas ― o que traz retorno a longo prazo.
O open source é mais seguro. Esta segurança do código aberto é assunto de
intenso debate, enriquecido ainda mais com a recente descoberta de falhas de
segurança em protocolos do servidor de Web Apache e no próprio OpenSSL, ambos
amplamente adotados por usuários open source.
O fato é que nenhuma linha de código, open source ou mesmo proprietário, é
100% segura. Mas graças a seu processo liberal, em que há continuidade e
revisão, o código aberto é menos suscetível a erros. De acordo com estudo da
Forrester Research, em agosto de 2000, gerentes de TI citaram a resposta
“preocupação com segurança” como o principal motivo de sua migração ao open
source.
O argumento da “segurança pela obscuridade”, usado por softwares fechados,
também não funciona, em grande parte pelo fato de o código proprietário ser
obscuro apenas aos que buscam encontrar e solucionar problemas.
"Hackers sofisticados não precisam de seu código fonte para encontrar
problemas de segurança “, afirmou o pesquisador de segurança John Viega, em uma
tese de setembro de 1999. “Hackers podem observar o comportamento do programa,
analisar seu binário e até rodar seu programa por um descompilador para obter
uma réplica razoável de seu código fonte. E se eles conseguirem penetrar no
sistema, você não terá a vantagem do fenônemo "muitos olhos" (many
eyeballs)... ao retirar de vista o código fonte, você estará tornando mais
difícil para as pessoas analisar o programa, e assim elas têm menos
probabilidade de ajudá-lo a aprimorar seu produto."
O open source é corrigido mais rapidamente. Quando problemas de segurança
são descobertos, são reparados muito mais agilmente que em relação a problemas
com software proprietário. Por exemplo, reparos no Apache estavam disponíveis
apenas dois dias após a descoberta do problema. Compare este com o intervalo de
tempo típico que, digamos, um certo líder na fabricação de sistemas
operacionais leva para lançar uma correção.
Em segurança, a resposta rápida é fundamental
Um estudo da SecurityPortal, publicado em janeiro de 2000, descobriu que o
distribuidor de open source Red Hat demorava cerca de onze dias para corrigir
um bug em seu Linux. Por outro lado, a Microsoft tardou dezesseis dias para
consertar seu problema. Já os usuários da Sun aguardaram três meses para
soluções.
O open source é, simplesmente, a melhor opção. Graças à ininterrupta
revisão, o software aberto passa por um processo de desenvolvimento continuado,
com freqüentes atualizações. Ao contrário do que ocorre com fabricantes de
software proprietário, os consumidores não precisam esperar por meses ou anos
para o lançamento de uma nova versão. E isso leva a um produto de maior
qualidade e mais confiável.
Quando a Microsoft lançou o Windows 2000, em fevereiro de 2000, o código
continha mais de 63 mil defeitos, de acordo com relatório interno da própria
companhia. Em maio de 2001, a seguradora americana J.S.Wurzler Underwriting
anunciou que seus serviços aumentariam em cerca de 15% com a adoção do Windows
NT em seus servidores de Internet. A razão? Clientes que usam NT são mais
suscetíveis a ataques e invasões, em relação a iniciativas que adotam produtos
de segurança open source.
O modelos open source levam também a um suporte mais vigoroso e contínuo
após a venda em si. São fruto de uma ativa comunidade de usuários que, além
disso, propiciam diminuição dos custos com suporte ― poupando mais uma
vez dinheiro da companhia.
Integração é a chave. Programas open source estão tradicionalmente
disponíveis por mínimos ou nenhum custo. No entanto, implementar firewalls,
detectores de intrusão e outros utilitários contra vírus pode ser, mesmo em
ambiente open source, caro. E este caminho, se não bem gerenciado, pode não só
não baratear o custo da operação como também tornar o sistema menos seguro.
Deste modo, administradores de rede devem gerenciar diferentes interfaces para
cada aplicação, o que significa que as companhias irão despender mais tempo e
dinheiro treinando-os. Ainda, a necessidade de corrigir cada aplicação
individualmente aumenta as chances de falha em uma atualização vital à
segurança ― trazendo, portanto, maior vulnerabilidade à informação.
Um processo integrado - o que pega as melhores aplicações open spource e as
integra por meio de uma interface simples ― oferece o melhor de dois
mundos. Os benefícios são variados: administradores terão apenas uma interface
para gerenciar, um único set de atualizações para instalar e um único contato
disponível como canal de ajuda. E eles terão a tal comunidade ativa do open
source ajudando-os a tornar sistemas mais seguros.
Como detalhe final: dados de segurança nota 10 não precisam ter um preço
"premium". Ferramentas open source já estão protegendo as redes de
milhares de corporações ao redor do mundo, e fazendo isso melhor e por um custo
bem menor do que as soluções proprietárias.
Steve Schlesinger é gerente geral da Astaro Corp. O artigo "Open Source Security: Better Protection at a Lower Cost" foi originalmente publicado no site InfoSecNews e pode ser lido aqui. Traduzido pelo site brasileiro MyFreeBSD.
Retirado de: http://www.infoguerra.com.br