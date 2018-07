Vários leitores questionaram – nos comentários, no Twitter – minha afirmação de que um padrão fechado pode ser mais seguro do que um aberto. E questionaram com toda razão: é tanto uma afirmação ambígua quanto polêmica.

É fácil sacar um exemplo honesto, óbvio: Microsoft. Do Windows ao Internet Explorer, passando pelo MSN Messenger, são tantos os problemas de segurança conhecidos e documentados nos produtos MS que a empresa de Bill Gates deve ter algum tipo de recorde de insegurança digital.

Minha afirmação foi também ambígua porque “aberto” e “fechado” quer dizer muitas coisas.

Programas de código aberto são softwares que qualquer programador pode fuçar, mexer, revirar. Quando são programas populares – o sistema operacional Linux é o exemplo mais evidente –, existem muitos programadores trabalhando e checando uns os trabalhos dos outros o tempo todo. O resultado é que tornam-se programas mais seguros por terem sido melhor testados.

Para programas populares, é uma fórmula eficiente. Para softwares de código aberto que contam com poucos programadores empenhados no desenvolvimento, isso já não é tão verdade. A publicação do código fonte, portanto, pode trazer segurança. Mas não é garantia.

O Microsoft Windows não é um programa de código aberto. Ao contrário: seu código fonte é secretíssimo. Também é um software mais mal do que bem escrito. É injusto que ponham a culpa da insegurança do Windows no fato de ser código proprietário. É código ruim porque os padrões de qualidade da Microsoft são notadamente frouxos.

Outras software houses produzem bons programas fechados.

O código do Windows pode ser fechado. Mas a plataforma é aberta. Ou seja: qualquer um pode escrever programas para o universo Windows. Alguns bons, outros nem tanto. Alguns de código aberto, outros fechados.

O Google está construindo para si uma plataforma aberta.

Muito se pode fazer usando ferramentas livres da trupe de Mountain View – seja com o Google Maps, com o Gmail cada vez mais incrementado, com a suíte de programas Docs. O Google usa em seus servidores o sistema livre Linux muito adaptado para aguentar o tranco de acesso vindo de todas as partes do mundo. Se o Linux não fosse aberto, os engenheiros do Google não poderiam tê-lo adaptado para suas necessidades particulares.

Mas isso não quer dizer que tudo no Google seja aberto.

Pergunte qual a fórmula de sua busca e a resposta será: segredo de Estado. Pergunte quais critérios decidem a escolha de manchetes e subs no GoogleNews e os engenheiros de Mountain View farão ouvidos moucos. O que determina quais imagens vêm do Google Images? Silêncio. Seus algoritmos são fechados. Não temos a liberdade de dar uma olhada para dizer se os critérios são justos ou não.

É um bocado de poder para uma empresa só: os critérios fechados do Google decidem quem é visto e quem não é visto na internet.

O argumento do Google é, de certa forma, um argumento que apela para a segurança. Se seus critérios forem abertos – conhecidos por todos – qualquer um poderá manipular seus sites para ganhar relevância, deturpando os resultados. Um algoritmo fechado dá ‘segurança’ para os usuários de que ninguém manipulará o sistema. (O raciocínio não funciona de todo: por experiência e erro, um bocado já foi aprendido e muitos sites já manipulam os resultados de busca.)

O que é ser aberto e ser fechado?

A base do sistema operacional da Apple tem o código aberto. Um Unix como o Linux. A camada da interface gráfica por cima, fechada.

Quando a Apple sugere que sua plataforma móvel será fechada, não se refere apenas aos códigos. É mais que isso: nem todo mundo poderá colocar um software ali. Eles serão previamente avaliados pela Apple. É fechado em todos os sentidos.

A web é aberta. Qualquer um pendura um computador nela, constrói um sistema, usa seus cabos como bem entende. Há mecanismos de segurança robustos o suficiente para mantê-la no ar. Há uma vantagem clara: cria-se, e cria-se muito na internet. Porque ela é livre. Mas como quem cria tem intenções às mais variadas e capacitação técnica das mais diversas, a segurança na rede varia.

Dentre seus pontos frágeis estão as botnets. Redes de robôs. Aproveitando-se de fragilidades do Windows, sites com más intenções implantam em computadores programas espiões. Sua missão é ficar ocultos. Quando ativados remotamente, em bando, podem desferir um ataque a um site. Ou tentar burlar a segurança de outro. O pobre dono do computador contaminado sequer desconfia que seu computador conectado à rede faz parte de uma ação criminosa. Mas ele apenas acha que comanda seu computador. Alguém a continentes de distância tem o controle.

No momento em que a rede for para o celular de todos, e não estamos a muita distância disto, há um dilema sob a mesa.

De um lado, uma plataforma aberta. Todo mundo instala o que quiser. A vantagem é criativa.

Do outro, uma plataforma fechada. Uma empresa, uma organização, decide o que entra e o que não entra. A vantagem é um filtro contra, por exemplo, botnets.

Só porque a plataforma é fechada, não quer dizer que nela não possa entrar um software de código aberto. Coisas distintas.

Mas há um raciocínio que não fiz no último post e que aponta para uma terceira via. Uma solução que não polariza.

Boa parte da fragilidade da internet está concentrada na plataforma Windows. Mas o Windows não é ruim por ser fechado. Tampouco é ruim porque os engenheiros da Microsoft sejam incompetentes. (Não são.) É ruim porque as prioridades da Microsoft têm mais a ver com marketing e vendas de produto do que com acabamento de software.

Isto tampouco quer dizer que o sistema da Apple ou o Linux sejam seguros. (Se é digital, por definição terá falhas de segurança.) Eles são apenas menos atacados. O Windows é mais atacado, e o Explorer é mais atacado, porque são mais comuns.

Não é diferente com biologia.

Se, numa floresta, um vírus que ataca micos varre boa parte da população destes, araras, capivaras ou jaguatiricas continuam de pé. Variedade de espécies mantém a vida. Biodiversidade é bom. Se tivéssemos uma população de browsers e de sistemas operacionais mais variada, teríamos uma internet mais segura. Uma fragilidade descoberta num sistema não poria a rede em risco, afetaria menos máquinas.

A monocultura contribui para a insegurança.

Se a plataforma móvel da Apple for bastante forte, e a do Google também, se RIM (do Blackberry) conseguir se sustentar importante e, de repente, até o Windows Mobile se segurar num ambiente em que cada um tem mais ou menos um quarto do mercado, talvez aí tenhamos uma rede móvel mais segura.

Segura, pois. Mas com o perigo de uma falar mal com a outra.