Por Rodrigo Fragola, diretor adjunto de Defesa e Qualidade da ASSESPRO-DF e Presidente da Aker Security Solutions
Nunca antes nesse país uma palavra-chave ficou tão em voga na mídia – e provavelmente nos mecanismos de pesquisa – quanto a expressão "porta dos fundos". E aqui não nos referimos à trupe humorística do momento, mas ao correspondente em português para a expressão "backdoor", e isto exclusivamente quando esta palavra aparece relacionada a incidentes computacionais ou telemáticos.
Um dado curioso, no entanto, é que enquanto se banaliza a questão em tudo quanto é tipo de foro, e até mesmo nas mesas de jantar, ainda não se nota no Congresso Nacional nem nos órgãos de segurança alguma proposta clara de regulação sobre este tema.
Sem ter a pretensão de ser o introdutor de uma, peço licença, pelo menos, para opinar pela pertinência de se refletir sobre a necessidade ou não de uma legislação específica.
A questão é bastante complexa. Foi por meio de backdoors – segundo a empresa de segurança SafenSoft – que, em 2014, agentes do cibercrime conseguiram inocular o "Ploutus", um malware adaptado como dispensador de dinheiro, em centenas de caixas eletrônicos do México, utilizando-se apenas de uma inocente porta de CD-Rom que – pasmem – ainda existia e ficava exposta em inúmeros equipamentos desse tipo usados naquele país.
Neste episódio específico, fica patente que a backdoor nada mais é do que o resultado de uma vulnerabilidade tola, atribuída a um erro de projeto ou a uma avaliação ingênua do risco a que são submetidos os caixas automáticos.
Aliás, quando uma backdoor é descoberta, seja em um equipamento de marca comercial ou em um aplicativo de uso corrente, o mais comum é que esta seja imediatamente tratada como "um bug de desenvolvimento" e exposta desta forma para o público, o que nem sempre é verdade. De fato, um bug aparentemente casual pode ter sido inserido de modo proposital exatamente para gerar uma backdoor, ficando o consumidor/usuário sem saber da real origem, acidental ou planejada.
Em outras palavras, as backdoors mais preocupantes são aquelas produzidas de maneira oposta ao que ocorreu com as mencionadas ATMs do México, ou seja, aquelas que são projetadas como parte essencial do produto de software ou hardware.
Sempre envolvido em polêmicas das mais acaloradas, este tipo de backdoor foi pivô de altíssimas discussões entre as duas maiores potências mundiais quando, no ano passado, o governo chinês trouxe a público uma parte de seu projeto de lei antiterror, que obriga os fabricantes nacionais ou estrangeiros a instalar backdoors em seus produtos de informática, de modo a dar acesso garantido a tais produtos, quando em uso, para os órgãos de segurança de estado.
Em sua veemente e moralmente justa reclamação, o governo norte-americano se esqueceu do básico. Isto é: de suas próprias e inúmeras disposições legais que, não apenas exigem backdoors para sistemas de hardware, mas também para aplicativos, sistemas de redes sociais e até – o que não é assumido abertamente, nem enfaticamente negado – para sistemas operacionais de máquinas pessoais ou de servidores de rede.
Aliás, já nos primórdios da Internet (que, diga-se de passagem, se desenvolveu inicialmente por interesse militar americano), a inteligência e defesa daquele país já projetavam o "Carnivore", uma espécie de tarântula cibernética capaz de varrer todos os pontos de troca da rede global, escaneando palavras-chave trocadas em mensagens de e-mail ou publicações em sites e qualquer tipo de informação que circule na World Wide Web.
A fim de juridicamente respaldar o Carnivore e similares, em 1994 o governo americano aprovou a Lei de Auxílio das Comunicações para a Aplicação de Direito (CALEA, na sigla em Inglês), concedendo às autoridades legais não só o direito a acesso via backdoors (que obrigatoriamente devem ser instaladas em equipamentos de rede), mas também a manutenção de checkpoints, ao longo de toda a Internet, para monitoramento lógico, semântico e até fonético (vocal, para identificação de pessoas).
E há inúmeros outros aparatos, alguns até bem mais antigos que o já veterano Carnivore, como é o caso do Echelon. Gestado a partir dos acordos de inteligência entre EUA, Inglaterra e outros aliados ao final da Segunda Guerra, o Echelon foi posto para funcionar décadas depois, em 1980. Hoje, este é notoriamente um dos aparelhos centrais do grupo conhecido como "cinco olhos", por envolver os serviços de inteligência dos EUA, Inglaterra, Canadá, Austrália e Nova Zelândia. O Echelon é nada mais nada menos que uma rede global explicitamente voltada para a vigilância ostensiva. Ele não escamoteia suas funções de espião na coleta de informações críticas que o grupo dos cinco olhos classifica como SGINT, ou "sinais sensíveis de inteligência".
Mas, se como vimos, há backdoors acidentais – frutos de erro de projeto ou ingenuidade – e backdoors intrinsecamente indesejáveis (embora militarmente justificáveis), pois projetadas em função de interesses de estado e quase sempre afrontando a nossa privacidade, também é preciso ressaltar que há um tipo de backdoor "do bem".
São, por exemplo, interfaces contidas em hardware ou programas que viabilizam ao fabricante ou mantenedor levar suporte, melhorias ou evoluções ao dispositivo remoto. É inclusive através de portas desse tipo que, muitas vezes, se faz a atualização de sistemas de proteção contra invasores virtuais. Tais portas dos fundos, no entanto, estão entre as preferências do cibercrime como caminho para atingir seus butins.
De modo que discutir uma regulação para os backdoors levanta ao menos três questões iniciais que, é claro, não pretendem exaurir o tema:
1 – É possível (e recomendado) proibir os backdoors? Se sim, em que base tecnológica tal proibição se viabiliza sem causar prejuízos insuportáveis para a indústria, para a segurança de estado, ou para os usuários finais?
2 – É possível estabelecer controles legais sobre backdoors lícitas ou ilícitas; e, de novo, com que bases técnicas, além do escopo legal/político?
3 – Por onde iniciar o marco regulatório; quais são os modelos já vigentes em outros países que poderíamos buscar para efeito de discussão?
As únicas repostas a meu alcance, no momento, são que as backdoors não intencionais representam uma simples questão de engenharia de processos e estratégia de gestão. Cabe aos setores industriais relacionados à computação e à telemática aprimorar o design de produtos mediante mapeamento e avaliação dos riscos.
A indústria de segurança é um aliado essencial para o avanço da excelência na localização e combate às vulnerabilidades, bem como na automação dos sistemas de identificação, vigília e controle de acesso às backdoors.
Já as backdoors "de serviço", que tem suas finalidades benignas, estas são objetos naturais do mundo cibernético e telemático e requerem os mesmos cuidados de engenharia de segurança acima descritos para os buracos acidentais. Mas elas nos dão, teoricamente, a vantagem de serem entidades conhecidas e tecnicamente descritas nos projetos do dispositivo e estão à disposição do usuário/gestor para que ele se previna contra intrusos.
Quanto às backdoors decorrentes de legislações de guerra ou imposições de estado em geral, a complexidade da resposta vai muito além da questão técnica e clama por uma discussão que abrange tópicos tais como a aplicabilidade geopolítica das legislações digitais dos países.
É uma áspera e difícil – mas urgente – questão para a sociedade como um todo e especialmente para o legislador e a comunidade de segurança e defesa.
O que temos de certo, por enquanto, é que qualquer que seja o rumo que ganhe esta discussão, o debate não irá avançar sem a indispensável contribuição da comunidade de tecnologia. É preciso, porém, que o Estado e as nossas instituições cidadãs confiram reconhecimento e confiabilidade a grupos nacionais acadêmicos, industriais e militares que se disponham, de fato, a debater o assunto à luz de interesses especificamente brasileiros. Exatamente como acontece em diversos outros países, em relação às suas organizações e empresas nacionais.