Aberdeen analisa segurança de sistemas operacionais

Nos primeiros dez meses deste ano, 16 de 29 relatórios de segurança publicados pela CERT se relacionavam à fonte aberta ou a software Linux. Apenas sete envolviam produtos da Microsoft. Os relatórios sobre vírus e cavalos de Tróia afetando produtos Linux, produtos de fonte aberta e software Unix aumentaram de um, em 2001, para dois, este ano. Os produtos da Microsoft foram mencionados em seis relatórios, no ano passado; e não foram citados em nenhum, este ano.

O debate sobre a segurança do software de fonte aberta certamente se intensificará, caso as companhias comecem a substituir produtos Unix e Microsoft por Linux e produtos de freeware correlacionados. Isso não aconteceu ainda. As vendas de novas licenças de Linux diminuíram em 5%, de 2000 para 2001. Mas os rendimentos das vendas de sistemas abertos deverão aumentar dos US$ 80 milhões, registrados no ano passado, para US$ 280 milhões, em 2006, declara o IDC. Se aumentar a popularidade do software de fonte aberta, certamente ele passará a estar ?na mira? de mais hackers.

Do modo como o Aberdeen vê essa situação, o software de fonte aberta tem uma desvantagem quanto à segurança, porque nenhuma organização é responsável pela produção de correções, declara o analista do Aberdeen, Eric Hemmendinger. Enquanto o Linux tem uma ?apaixonada? comunidade de desenvolvimento pronta para resolver problemas rapidamente, a maioria dos outros produtos de freeware tem um número menor de guardiões. Portanto, as organizações de TI precisam levar essas condições em consideração no momento de decidir se ou como devem utilizar produtos de fonte aberta. Os usuários que não estiverem preparados para resolver, por eles mesmos, problemas de vulnerabilidade, não estarão prontos para implementar freeware, afirma o Aberdeen.

A CERT acredita que o instituto deduziu coisas demais a partir desses números. A organização não tirou nenhuma conclusão a partir de seus relatórios sobre a vulnerabilidade do software de fonte aberta versus aplicativos da Microsoft ou de qualquer outro fornecedor de aplicativos proprietários. Em vez de fazer comparações, o grupo se dedica a identificar e estudar os problemas de segurança que ele considera mais sérios, com base na avaliação da própria CERT. Isso abrange cerca de 20% de todas as vulnerabilidades conhecidas, disse Shawn Hernan, membro sênior da equipe técnica da CERT.

A CERT argumenta que a segurança de software não é determinada pelo fato de um aplicativo ser produzido em um ambiente de desenvolvimento de fonte aberta ou no laboratório particular de uma gigantesca corporação. Em vez disso, o software se torna vulnerável por causa de erros de codificação e pela pequena garantia de qualidade.

“Na maioria das vezes – muito mais de 90% do tempo -, as vulnerabilidades são equivalentes a ?alguém esquecer de pregar a tábua que soltou do telhado?, disse Hernan. “A tendência é de vermos os mesmos tipos de erros sendo cometidos repetidamente. Observamos isso nos produtos de software de fonte aberta e nos de fonte fechada.

A CERT e o Aberdeen concordam em um ponto: os dois mais populares argumentos relacionados à segurança, tanto a favor como contra o software de fonte aberta, são, ambos, uma bobagem. As companhias que vivem da venda de software de fonte fechada, como a Microsoft, afirmam que seus produtos são mais seguros, porque os hackers não podem facilmente ver o que deve permanecer oculto. Os defensores do software de fonte aberta argumentam que uma vez que o software é aberto à inspeção por qualquer pessoa, as vulnerabilidades podem ser descobertas e resolvidas com antecedência.

Nenhum dos dois lados pode sustentar seus argumentos com um estudo definitivo. “Eu poderia classificar esse argumento mais como sendo um argumento ?religioso?, descreve Hemmendinger. “Eles estão realmente expressando uma opinião, concorda Hernan. “São argumentos filosóficos, que não se traduzem muito bem em produtos com qualidade para o mundo real.

O debate continua.