Segurança e software livre

Pode parecer contraditório, mas entre especialistas em segurança da informação existe um consenso estabelecido há muitas décadas de que a segurança na comunicação não deve depender do desconhecimento do dispositivo usado. A história conta centenas de casos em que tais dispositivos caíram nas mãos de quem procurava interceptar a comunicação. Bons sistemas de comunicação devem assumir que o único segredo é algo suficientemente simples para ser mudado caso comprometido. Esse segredo é o que costumamos chamar de chave em uma comunicação criptografada.

Não há qualquer controvérsia, portanto, sobre softwares de código aberto serem mais vulneráveis a ataques. Na prática, aqueles que procuram brechas em softwares raramente buscam-nas em seu código. A controversa, se é que ela existe, é outra. Muitos dos defensores do software livre argumentam que na realidade eles são mais seguros, pois o escrutínio público, dizem eles, o melhor antídoto contra bugs. Quem defense os software proprietários diz que esse argumento é falacioso e cria uma falsa sensação de segurança, pois na prática desenvolvedores não tem o costume – tampouco a expertise – para auditar códigos de segurança. O caso do Heartbleed é um exemplo trágico. Empresas sérias de desenvolvimento de software livre aprenderam que abrir o código não substitui de forma alguma a auditoria profissional independente.

Os argumentos que mais me convencem nessa disputa são os seguintes. Primeiro, se por um lado ler o código normalmente não traz vantagens para quem procura atacar o software, certamente ajuda muito para quem quer ajudar a torná-lo mais seguro. Segundo, e mais importante, quando uma vulnerabilidade é descoberta em uma ferramenta, ela é tão mais rapidamente sanada quanto maior e mais ativa sua comunidade de desenvolvedores. Assim, na seleção de aplicações para a comunicação segura, privilegiar softwares livres é um bom critério desde que combinado com outros como verificar se ele está sendo mantido e se há uma comunidade engajada em torno dele. Existem outras tantas coisas a se considerar, mas esses são bons pontos de partida.