Há algum tempo, várias empresas deixaram explícitas as preocupações em relação à confiabilidade do código aberto. Agora, chegou a vez da DARPA, o braço de pesquisa dos militares dos EUA. A DARPA divulgou que “está preocupada com a confiabilidade do código aberto” e diz que quer entender o ecossistema tecnológico mais importante do planeta, alguns analistas acham um exagero dizer que o código aberto é executado em todos os computadores do planeta e mantém a infraestrutura crítica funcionando.
Em um momento, literalmente tudo o que fazemos funciona com o Linux, diz Dave Aitel, pesquisador de segurança cibernética e ex-cientista de segurança da computação da NSA. As pessoas estão tomando conhecimento agora, diz ele. Não é exagero dizer que todos são baseados no kernel Linux, mesmo que a maioria das pessoas nunca tenha ouvido falar dele.
Os desenvolvedores de software hoje têm suas próprias cadeias de suprimentos. Em vez de montar peças de carro, eles montam código unindo componentes de código aberto existentes com seu código único. Embora isso leve ao aumento da produtividade e da inovação, também criou problemas significativos de segurança, disse Matt Jarvis, diretor de relações com desenvolvedores da Snyk.
O kernel Linux é um dos primeiros programas a carregar quando a maioria dos computadores são ligados. Ele permite que o hardware da máquina interaja com o software, rege o uso de recursos e forma a base do sistema operacional. É o bloco de construção de quase toda a computação em nuvem, quase todos os supercomputadores, toda a Internet das Coisas, bilhões de smartphones e muito mais.
Porém, o kernel também é de código aberto, o que significa que qualquer pessoa pode escrever, ler e usar seu código. E isso preocupa seriamente alguns especialistas em segurança cibernética. Sua natureza de código aberto significa que o kernel Linux, juntamente com uma série de outros softwares críticos de código aberto, está exposto à manipulação hostil de maneiras que ainda mal entendemos.
DARPA também confirma sua preocupação com a confiabilidade do código aberto
O objetivo é ser capaz de reconhecer efetivamente atores mal-intencionados e impedi-los de interromper ou corromper código-fonte aberto criticamente importante antes que seja tarde demais. O programa SocialCyber da DARPA é um projeto multimilionário de 18 meses que combinará a sociologia com os recentes avanços tecnológicos em inteligência artificial para mapear, entender e proteger a grande comunidade de software livre e o código que eles criam.
Este projeto é diferente da maioria das pesquisas anteriores porque combina análise automatizada de códigos e as dimensões sociais do software livre.
A DARPA contratou várias equipes, incluindo pequenas oficinas de pesquisa em segurança cibernética com profundas habilidades técnicas. Um desses implementador é a Margin Research, com sede em Nova York, que reuniu uma equipe de pesquisadores altamente respeitados para a tarefa. A Margin Research se concentra no kernel Linux em parte porque é tão grande e tão crítico que ter sucesso aqui nesta escala significa que é possível ter sucesso em qualquer outro lugar.
Código aberto
Este tópico me excita, diz Antoine sobre a busca de entender melhor o movimento de código aberto, porque, honestamente, até as coisas mais simples parecem tão novas para tantas pessoas importantes. O governo acaba de perceber que nossa infraestrutura crítica usa código que poderia literalmente ser escrito por entidades sancionadas. Agora mesmo.
Para isso, os pesquisadores usarão ferramentas como a análise de sentimentos para analisar interações sociais dentro de comunidades de código aberto. Há o caso da lista de discussão do kernel Linux. Deve ajudar a identificar quem é positivo ou construtivo e quem é negativo e destrutivo.
Os pesquisadores querem saber que tipos de eventos e comportamentos podem interromper ou prejudicar comunidades de software livre. Além disso, quais membros são confiáveis e se existem grupos específicos que justificam o aumento da vigilância. Essas respostas são necessariamente subjetivas. Mas agora, há poucas maneiras de encontrá-los.
