SIMSON GARFINKEL
DA "TECHNOLOGY REVIEW"

Em maio de 2006, alguns programadores envolvidos com a parte da segurança de um projeto de código aberto cometeram um erro de dimensões gigantescas. Mas somente agora o impacto total daquela falha começa a ser percebido pelos profissionais da área de segurança do mundo todo.
Sabemos hoje que duas linhas de código alteradas criaram vulnerabilidades profundas, em termos de segurança, em ao menos quatro diferentes sistemas operacionais de código aberto, 25 aplicativos desse tipo e milhões de sistemas individuais operacionais também de código aberto.
Uma correção já foi distribuída, mas a instalação do complemento não repara o dano responsável por deixar mais frágeis os sistemas. E o mais alarmante é que alguns computadores podem ter sido comprometidos mesmo que não estejam rodando o código suspeito.
O motivo pelo qual a correção não sana o problema relaciona-se com a especificidade do erro de programação.
Os sistemas modernos de computador empregam grandes números para gerar chaves, que são usadas para codificar e decodificar informações enviadas através da internet.
Os usuários autorizados dispõem da chave certa, de forma que não precisam tentar adivinhá-la. Hackers mal-intencionados não conhecem a chave correta. Normalmente, levaria algo como bilhões de anos para testar todas as chaves possíveis.
No entanto, a segurança do sistema vira de cabeça para baixo se o computador consegue usar apenas um número limitado a 1 milhão de chaves diferentes. Para o usuário autorizado, a chave parece funcionar bem -a informação foi codificada.
Mas o software do pirata consegue, rapidamente, criar e testar as chaves possíveis para um determinado computador. O erro introduzido dois anos atrás torna fácil adivinhar as chaves criptográficas.
A falha não confere a todos os computadores uma mesma chave -isso teria sido percebido muito antes. Em vez disso, reduz para 32.767 o número de diferentes chaves que esses computadores Linux conseguem gerar, tudo a depender da arquitetura de processamento do computador, do tamanho da chave e do tipo da chave.
Menos de um dia depois de a vulnerabilidade ter sido anunciada, o hacker HD Moore, do projeto Metasploit, divulgou uma série de programas para decodificar as chaves desses sistemas Linux e Ubuntu. O site de Moore havia baixado arquivos com chaves já cadastradas, facilitando a identificação dos sistemas vulneráveis.
As chaves criadas com o software defeituoso não deixam de existir quando o computador recebe a atualização: em vez disso, novas chaves precisam ser geradas e instaladas. Para complicar, há a necessidade de que essas chaves sejam certificadas e distribuídas. E esse é um processo demorado, complexo e sujeito a erros.
Ninguém sabe com precisão quantos sistemas foram atingidos pelo problema, e isso porque as chaves criptográficas são portáteis: chaves vulneráveis podem ter sido geradas em um sistema Debian de um escritório e depois instaladas em um servidor de um outro escritório que rode o Windows.
O Debian é uma distribuição Linux muito usada por profissionais da área de segurança, e o Ubuntu é uma das mais populares distribuições Linux para uso genérico, de forma que o alcance do problema ameaça ser bastante grande.
A falha na aleatoriedade do OpenSSL usado pelo Debian tratou-se quase certamente de um erro inocente. Mas o que teria acontecido se um país desejasse vulnerabilidades secretas nos programas de código aberto? Escondidas, tais vulnerabilidades poderiam passar desapercebidas durante anos.
Uma coisa é certa: devemos nos preparar para, com o passar do tempo, descobrir outras vulnerabilidades desse tipo.