Não é exagero dizer que o mundo inteiro é construído sobre o kernel Linux—embora a maioria das pessoas nunca tenha ouvido falar dele.
É um dos primeiros programas que carregam quando a maioria dos computadores é ligada. Ele permite que o hardware que executa a máquina interaja com o software, governa o uso de recursos e atua como a base do sistema operacional.
É o alicerce de quase toda computação em nuvem, praticamente todos os supercomputadores, o toda a internet das coisas, bilhões de smartphones e muito mais.
Mas o kernel também é de código aberto, o que significa que qualquer pessoa pode escrever, ler e usar seu código. E isso deixou os especialistas em segurança cibernética dentro das forças armadas dos EUA seriamente preocupados. Sua natureza de código aberto significa que o kernel do Linux – juntamente com uma série de outros softwares críticos de código aberto – está exposto a manipulação hostil de maneiras que ainda mal entendemos.
“Pessoas estão percebendo agora: espere um minuto, literalmente tudo o que fazemos é sustentado pelo Linux”, diz Dave Aitel, pesquisador de segurança cibernética e ex-cientista de segurança de computadores da NSA. “Esta é uma tecnologia essencial para a nossa sociedade. Não entender a segurança do kernel significa que não podemos proteger a infraestrutura crítica.”
Agora DARPA, o braço de pesquisa das forças armadas dos EUA, quer entender a colisão de código e comunidade que faz esses projetos de código aberto funcionarem, a fim de entender melhor os riscos que enfrentam. O objetivo é ser capaz de reconhecer efetivamente os agentes mal-intencionados e impedi-los de interromper ou corromper o código-fonte aberto crucialmente importante antes que seja tarde demais.
O programa “SocialCyber” da DARPA dura 18 meses – um projeto multimilionário de longo prazo que combinará sociologia com avanços tecnológicos recentes em inteligência artificial para mapear, entender e proteger essas enormes comunidades de código aberto e o código que elas criam. É diferente da maioria das pesquisas anteriores porque combina a análise automatizada do código e das dimensões sociais do software de código aberto.
“O ecossistema de código aberto é uma das maiores empresas em história”, diz Sergey Bratus, o gerente do programa DARPA por trás do projeto.
“Ele agora cresceu de entusiastas para um empreendimento global formando a base da infraestrutura global, da própria Internet, de indústrias e sistemas de missão crítica praticamente em todos os lugares”, diz ele. “Os sistemas que administram nossa indústria, redes elétricas, transporte, transporte.”
Ameaças ao código aberto
Grande parte da civilização moderna agora depende de um corpus de código aberto em constante expansão porque economiza dinheiro, atrai talentos e dá muito trabalho mais fácil.
Mas enquanto o movimento de código aberto gerou um ecossistema colossal que todos nós dependem, não entendemos completamente, argumentam especialistas como Aitel. Existem inúmeros projetos de software, milhões de linhas de código, inúmeras listas de discussão e fóruns e um oceano de colaboradores cujas identidades e motivações são muitas vezes obscuras, tornando difícil responsabilizá-los.
Isso pode ser perigoso. Por exemplo, os hackers inseriram discretamente códigos maliciosos em projetos de código aberto várias vezes nos últimos anos. As portas dos fundos podem escapar da detecção por muito tempo e, na pior das hipóteses, projetos inteiros foram entregues a agentes mal-intencionados que aproveitam a confiança que as pessoas depositam em comunidades e códigos de código aberto. Às vezes, há rupturas ou mesmo apropriações das próprias redes sociais das quais esses projetos dependem. Rastrear tudo isso tem sido principalmente – embora não inteiramente – um esforço manual, o que significa que não corresponde ao tamanho astronômico do problema.
Bratus argumenta que precisamos de aprendizado de máquina para digerir e compreender o universo de código em expansão – o que significa truques úteis como descoberta automatizada de vulnerabilidades – bem como ferramentas para entender a comunidade de pessoas que escrevem, corrigem, implementam e influenciam esse código.
O objetivo final é detectar e neutralizar quaisquer campanhas maliciosas para enviar código defeituoso, lançar operações de influência, sabotar o desenvolvimento ou até mesmo assumir o controle de projetos de código aberto.
Para fazer isso, os pesquisadores usarão ferramentas como análise de sentimentos para analisar as interações sociais em comunidades de código aberto, como a lista de discussão do kernel Linux, que deve ajudar a identificar quem está sendo positivo ou construtivo e que está sendo negativo e destrutivo.
Os pesquisadores querem saber quais tipos de eventos e comportamentos podem atrapalhar ou prejudicar as comunidades de código aberto, quais membros são confiáveis e se existem grupos específicos que justifiquem vigilância extra. Essas respostas são necessariamente subjetivas. Mas agora existem poucas maneiras de encontrá-los.
Os especialistas estão preocupados que os pontos cegos sobre as pessoas que executam o software de código aberto tornem todo o edifício pronto para possíveis manipulações e ataques. Para Bratus, a principal ameaça é a perspectiva de um “código não confiável” executando a infraestrutura crítica dos Estados Unidos – uma situação que pode trazer surpresas indesejadas.
Perguntas não respondidas
Veja como funciona o programa SocialCyber. A DARPA contratou várias equipes do que chama de “artistas”, incluindo pequenas lojas de pesquisa de segurança cibernética com profundo conhecimento técnico.
Um desses executores é a Margin Research, com sede em Nova York, que reuniu uma equipe de pesquisadores respeitados para a tarefa.
“Há uma necessidade desesperada de tratar comunidades e projetos de código aberto com um nível mais alto de cuidado e respeito”, disse Sophia d’Antoine, fundadora da empresa. “Muita infraestrutura existente é muito frágil porque depende de código aberto, que assumimos que sempre estará lá porque sempre esteve lá. Isso é retroceder da confiança implícita que temos nas bases e softwares de código-fonte aberto.”
Margin Research está focada no kernel Linux em parte porque é tão grande e crítico que ter sucesso aqui , nessa escala, significa que você pode fazer isso em qualquer outro lugar. O plano é analisar tanto o código quanto a comunidade para visualizar e finalmente entender todo o ecossistema.
O trabalho de Margin mapeia quem está trabalhando em quais partes específicas de projetos de código aberto. Por exemplo, a Huawei é atualmente a maior colaboradora do kernel Linux. Outro colaborador trabalha para a Positive Technologies, uma empresa russa de segurança cibernética que, como a Huawei, foi sancionada pelo governo dos EUA, diz Aitel. Margin também mapeou código escrito por funcionários da NSA, muitos dos quais participam de diferentes projetos de código aberto.
“Esse assunto me mata”, diz d’Antoine sobre a busca para entender melhor o movimento de código aberto, “porque, honestamente, até as coisas mais simples parecem tão novas para tantas pessoas importantes. O governo está apenas percebendo que nossa infraestrutura crítica está executando código que poderia estar literalmente sendo escrito por entidades sancionadas. Agora mesmo.”
Esse tipo de pesquisa também visa encontrar subinvestimento – ou seja, software crítico executado inteiramente por um ou dois voluntários. É mais comum do que você imagina – tão comum que uma maneira comum de projetos de software medirem o risco atualmente é o “fator de ônibus”: todo esse projeto desmorona se apenas uma pessoa for atropelada por um ônibus?
Embora a importância do kernel Linux para os sistemas de computador do mundo possa ser a questão mais premente para o SocialCyber, ele também abordará outros projetos de código aberto. Certos artistas se concentrarão em projetos como Python, uma linguagem de programação de código aberto usada em um grande número de projetos de inteligência artificial e aprendizado de máquina.
A esperança é que uma maior compreensão facilite a prevenção de um desastre futuro, seja ele causado por atividade maliciosa ou não.
“Praticamente em todos os lugares que você olha, você encontra software de código aberto”, diz Bratus. .”
“Este é um problema crítico de infraestrutura”, diz Aitel. “Nós não temos controle sobre isso. Precisamos dar um jeito nisso. O impacto potencial é que hackers mal-intencionados sempre terão acesso a máquinas Linux. Isso inclui seu telefone. É simples assim.”
