Quando algo dá errado de forma grandiosa, começa a procura pelos responsáveis – como agora após a primeira onda de ataque do vírus WannaCry. Por um lado, no sentido literal: quem estaria por trás do misterioso grupo Shadow Brokers, que conseguiu acesso e divulgou em abril as duas ferramentas de hacking altamente sofisticadas do acervo do serviço secreto americano NSA? E quem aproveitou as ferramentas e lançou o WannaCry de forma incontrolável sobre a humanidade, para ganhar dinheiro com a devolução dos dados tomados como reféns?
Por um lado, a procura é pela responsabilidade dos suspeitos de costume. Entre eles estão, há muitos anos, desde os primeiros ataques de vírus em computadores Windows, o grupo Microsoft – há alguns anos, de forma injustiçada. Os tempos em que a Microsoft colocava a usabilidade acima da segurança estão muito longe; há anos que a empresa disponibiliza atualizações de segurança em intervalos curtos para seus sistemas Windows.
A vulnerabilidade que foi explorada pelo WannaCry era uma brecha que a Microsoft já tinha corrigido em março – um mês antes da publicação das ferramentas de hackers. Durante a onda de ataques dos últimos dias, a Microsoft ainda emitiu um patch de segurança adicional para o Windows XP, um sistema operacional já bastante antiquado, do início deste século, que na verdade há tempo não recebia mais atualizações, é considerado inseguro e, de preferência, não deveria ser mais usado.
Exatamente aí que reside o problema: patches e atualizações tornam computadores mais seguros, seja sobre a mesa, na bolsa de laptop ou na sala do servidor. Mas eles também os tornam mais complicados; softwares, sobretudo os escritos para um usuário ou finalidade específica, reagem muitas vezes de forma sensível a atualizações do sistema operacional. Por isso, as grandes corporações precisam testar seus sistemas de forma intensa antes de instalarem uma atualização de segurança ou até mesmo um sistema operacional totalmente novo. E, assim, os administradores de sistema da Deutsche Bahn, do fabricante de automóveis Renault e do serviço nacional de saúde britânico estão entre os responsáveis – porque é parte do trabalho deles não se renderem imediatamente aos patches.
Mas na percepção do público não é o software que tem uma participação nos painéis com os horários de partida da Deutsche Bahn nas estações de trem, na construção dos carros da Renault ou no atendimento dos pacientes dos hospitais britânicos. Na percepção do público, quem aparece são as marcas Microsoft e Windows.
Isto não agrada muito à gigante do software – o que é compreensível. Por isso, Brad Smith, presidente da Microsoft e diretor jurídico da empresa, recorreu a palavras fortes e responsabilizou as agências de inteligência.
Afinal, foi o NSA que usou essa brecha para seus próprios fins – sem comunicar à Microsoft ou a quem quer que seja sobre isso. E, afinal, foram os superespiões da NSA que permitiram o roubo desse conhecimento e de duas ferramentas de espionagem desenvolvidas através dele. Smith compara isso ao roubo de mísseis de cruzeiro de um depósito militar mal guardado – uma ideia assustadora.
Nós, membros da sociedade da informação, aprendemos a conviver com certa incerteza. Softwares são feitos por humanos e, portanto, propensos a erros. Segurança relativa – a única que podemos esperar – só pode ser alcançada através da aprendizagem dos erros cometidos anteriormente; para isso, é necessário também se conhecer os erros. Um erro que é mantido em segredo por razões de segurança nacional aumenta a insegurança individual – como a de pacientes em um hospital britânico, por exemplo.
O ministro alemão da Infraestrutura, Alexander Dobrindt, reconheceu isso e pretende determinar a obrigatoriedade da publicação de brechas de segurança conhecidas. A nível internacional, o presidente da Microsoft, Brad Smith, reivindica o mesmo há um tempo – chamando isso de uma "Convenção de Genebra Digital". Isso não facilita o negócio dos espiões, mas a vida de todos os outros.
Bem ou mal, até mesmo os políticos de segurança mais zelosos vão pensar duas ou três vezes antes de reivindicar novamente deixar backdoors, brechas abertas em programas de criptografia, disponíveis a serviços alemães de inteligência. Pois a condição para que a criptografia ainda seja usada após a instalação de uma backdoor é que o dono da chave para a backdoor tenha muito, muito cuidado ao guardar esta chave. A falha nesse aspecto até mesmo da superpoderosa NSA sugere não ser uma boa ideia deixar chaves e outras ferramentas nas mãos de autoridades que – comparadas com a NSA – jogam, na melhor das hipóteses, nos campos da várzea.