A Internet das Coisas
está chegando. Muitas indústrias estão se movimentando para colocar
computadores em seus dispositivos e isso dará aos fabricantes novas
oportunidades para praticarem fraudes.
Durante os seis
últimos anos, a Volkswagen fraudou testes de emissão de poluentes dos
seus carros movidos a diesel. Os computadores dos veículos conseguiam detectar
quando estavam sob teste e alteravam temporariamente o comportamento dos
motores para que parecessem muito menos poluentes do que realmente eram. Quando não estavam
sob análise, vomitavam 40 vezes mais poluentes. O CEO da Volkswagen renunciou e a empresa enfrentará um recall caro, multas enormes e coisa pior.
Fraudes de testes
regulatórios têm um longo histórico na América corporativa. Isso acontece regularmente no controle de emissões dos automóveis e em outras
situações. O que é importante no caso VW
é que a fraude estava pré-programada no algoritmo que controlava as emissões
dos carros.
Computadores permitem
às pessoas fraudar de modo inédito. Como a fraude fica encapsulada no
software, as ações maliciosas podem ocorrer muito longe do teste em si. Como o
software é “inteligente” de um modo
que outros objetos não são, a fraude pode ser mais sútil e mais difícil de
detectar.
Nós
já tivemos exemplos de fabricantes de smartphones fraudando testes de benchmark de processadores: detectavam quando
estavam sob análise e aumentavam artificialmente o desempenho. Logo veremos
isso em outros ramos da indústria. (NT: benchmark é um ponto de referência em
relação ao qual computadores ou programas podem ser medidos em testes de
comparação de desempenho, confiabilidade etc.)
A Internet das Coisas
está chegando.
Muitas indústrias estão se movimentando para colocar computadores em
seus dispositivos e isso dará aos fabricantes novas oportunidades para
praticarem fraudes. Lâmpadas
poderão burlar os padrões regulatórios parecendo ter mais eficiência
energética do que realmente têm. Sensores de temperatura poderão enganar
os compradores fazendo-os acreditar que a comida está acondicionada em uma temperatura
mais segura do que a real. Urnas eletrônicas poderão parecer funcionar perfeitamente
– exceto durante a primeira terça-feira
de novembro quando imperceptivelmente transferirão uma pequena porcentagem de votos
de um candidato para outro. (NT: a
primeira terça-feira de novembro é a data das eleições nacionais americanas –
Congresso a cada 2 anos e Presidente a cada 4 anos.)
A
minha preocupação é que alguns executivos não interpretarão o episódio da VW
como um aviso envolvendo penas justas para um grande erro, mas, ao contrário, o
verão como uma demonstração de que você pode conseguir fazer uma coisa dessas
por seis anos. E eles trapacearão com mais esperteza. Para todos os envolvidos na
ousadia, a fraude da VW era óbvia caso
as pessoas soubessem procurá-la. Mais inteligente teria sido fazer a fraude
parecer um acidente. A qualidade geral
dos softwares é tão ruim que produtos são entregues com milhares de erros de programação.
Muitos
deles não afetam as operações normais, motivo pelo qual o software da sua
máquina geralmente funciona relativamente bem. Alguns desses erros, entretanto,
afetam as operações, e por isso o software ocasionalmente falha e requer
atualizações constantes. Ao
fazer um software fraudulento parecer conter um erro de programação, a fraude parece
um acidente. E, infelizmente, este tipo de fraude que se pode negar é
mais comum do que se pensa.
Especialistas em segurança computacional acreditam que as agências de
inteligência têm feito este tipo de coisa por anos, com o consentimento dos desenvolvedores de software e de
maneira secreta. Esse problema não será
resolvido por meio da segurança computacional como normalmente a
entendemos. A
segurança computacional convencional é projetada para impedir a invasão de
computadores e redes por hackers. A analogia com carros seria uma
segurança de software que impedisse que o dono pudesse adaptar o motor do seu
veículo para correr mais, gerando, por outro lado, uma maior emissão de
poluentes. O que precisamos combater é
uma ameaça bem diferente: um comportamento condenável programado na fase de
projeto. Nós já sabemos como proteger a nós mesmos contra o comportamento
condenável das corporações. Ronald Reagan uma vez disse “confie, mas verifique” falando sobre a
dissimulação da União Soviética nos tratados nucleares. Precisamos ter a capacidade de verificar o software que
controla as nossas vidas.
A verificação de
software tem duas partes: transparência e
supervisão. Transparência
significa disponibilizar o código-fonte para análise. A necessidade disso
é óbvia; é muito mais fácil esconder um software fraudulento se o fabricante
puder esconder o código. Mas a transparência não diminui a fraude nem melhora a
qualidade do software magicamente, como qualquer pessoa que usa software de
código aberto sabe. É apenas o primeiro
passo. O código precisa ser analisado. E, como software é tão complicado,
essa análise não pode ficar limitada a um teste governamental de vez em quando.
Precisamos também de uma análise
privada.
Foram
pesquisadores de laboratórios privados nos Estados Unidos e na Alemanha que enquadraram a Volkswagen. Assim,
transparência não significa tornar o código disponível apenas para o governo e
seus representantes; transparência
significa tornar o código disponível para todos.
Transparência e supervisão
estão sob ameaça no mundo do
software. As empresas normalmente lutam contra tornar o seu código público e
tentam calar os pesquisadores de segurança que encontram problemas, citando a natureza proprietária do software. (NT: software proprietário é aquele em que o
código-fonte não é disponibilizado.) É uma queixa válida, mas o interesse
público de exatidão e segurança precisa se sobrepor aos interesses dos
negócios.
Cada vez mais, software
proprietário está sendo usado em aplicações críticas: urnas eletrônicas,
dispositivos médicos, bafômetros, distribuição de energia elétrica, sistemas
que decidem se alguém pode ou não embarcar num avião. Estamos cedendo mais
controle das nossas vidas a softwares e algoritmos. Transparência é a única
forma de verificar se eles não estão nos enganando.
Não faltam executivos dispostos a mentir e a fraudar em sua caminhada em
direção aos lucros. Vimos outro exemplo semana passada: Stewart Parnell, ex-CEO da agora extinta Peanut
Corporation of America, foi condenado a
28 anos de prisão por comercializar deliberadamente produtos contaminados por salmonela. Pode parecer excessivo, mas nove pessoas morreram e muitos mais
adoeceram devido à sua fraude.
Software somente
tornará uma má conduta como essa mais fácil de perpetrar e mais difícil de
provar. Menos gente precisará saber sobre a conspiração. Isso pode ser feito
de antemão, longe do local ou da ocasião do teste. E, se o software permanecer escondido por um tempo longo o suficiente,
facilmente pode ser o caso de que ninguém na companhia se lembre de que ele
está lá. Precisamos
de uma melhor verificação dos softwares que controlam as nossas vidas e isso
significa mais – e mais pública –
transparência.
Tradução feita a
partir do post Volkswagen and Cheating Software.
Bruce Schneier é especialista em tecnologia internacionalmente renomado, chamado de “guru da segurança” pelo The Economist. É autor de 13 livros – incluindo Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World – e centenas de artigos, ensaios e dissertações acadêmicas. Prestou declarações ao Congresso, é presença frequente em programas de rádio e tv, tem servido em diversos comitês governamentais e é citado regularmente na imprensa. A sua newsletter Crypto-Gram e o seu blog Schneier on Security são lidos por mais de 250 mil pessoas. É fellow do Berkman Center for Internet and Society na Harward Law School, do Open Technology Institute da New America Foundation, membro da Electronic Frontier Foundation, do Electronic Privacy Information Center e é Chief Technology Officer da Resilient Systems, Inc.
Bruce Schneier é especialista em tecnologia internacionalmente renomado, chamado de “guru da segurança” pelo The Economist. É autor de 13 livros – incluindo Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World – e centenas de artigos, ensaios e dissertações acadêmicas. Prestou declarações ao Congresso, é presença frequente em programas de rádio e tv, tem servido em diversos comitês governamentais e é citado regularmente na imprensa. A sua newsletter Crypto-Gram e o seu blog Schneier on Security são lidos por mais de 250 mil pessoas. É fellow do Berkman Center for Internet and Society na Harward Law School, do Open Technology Institute da New America Foundation, membro da Electronic Frontier Foundation, do Electronic Privacy Information Center e é Chief Technology Officer da Resilient Systems, Inc.
Tradução: Ricardo R Hashimoto
Nenhum comentário:
Postar um comentário