No mundo digital, existem vulnerabilidades e ameaças com um poder tão massivo e extenso quanto às armas da guerra física. É o caso da vulnerabilidade Log4j, descoberta no final de 2021, que explora de maneira massiva ferramentas de código aberto.

É inegável que a adesão aos softwares open source aumentou significativamente, afinal, os custos mais baixos, e possibilidade de modificação e personalização, são fortes atrativos.

Contudo, será que você, prestador de serviços de TI, possui os pilares necessários para operar essas ferramentas de maneira eficiente?

Você conhece os riscos para a segurança das informações, escondidos nas linhas de código aberto?

Neste artigo, quero desafiar você a entender os impactos que as ferramentas open source podem gerar em sua prestação de serviços.

O que é software de código aberto?

OSS, ou Open source software, é o programa de código aberto, onde o seu código-fonte torna-se disponível para o uso, modificação e distribuição dos seus direitos originais, de maneira gratuita.

As ferramentas open source incluem licenças que possibilitam aos programadores modificar o software, para atender suas necessidades e controlar a distribuição do mesmo.

Também chamado software livre, o conceito nasceu em 1983, a partir de um movimento ideológico, liderado por um programador do MIT, Richard Stallman. Ele acreditava que o software deveria ser acessível aos programadores, para que os mesmos pudessem modificá-lo, entendendo-o e melhorando-o.

Alguns anos mais tarde, em 1998, nasceu a Open Source Initiative, iniciativa que promove e protege o software e as comunidades de código aberto. Ela atua como repositório central de informações e governança.

É, basicamente, onde o ecossistema do código livre reside, onde a comunidade atua para manter essa característica ativa.

Essa característica, de código livre e disponível para modificações, aponta o primeiro questionamento deste artigo: será que você possui o conhecimento necessário para operar e gerenciar essas ferramentas?

Enquanto você pensa na resposta para essa pergunta, veremos os principais tipos de ferramentas open source.

Os principais tipos de ferramentas open source

Como vimos até aqui, o open source é um programa ligado ao conceito de liberdade e modificação, por parte dos programadores e dos usuários dos softwares. Consequentemente, quase todo tipo de produto comercial tem um equivalente de código aberto.

Diante disso, listei aqui os exemplos mais relevantes no mercado de TI e segurança cibernética:

Nextcloud - Hospedagem em nuvem

Uma plataforma bem popular de armazenamento de arquivos em nuvem, de código-aberto. Com ela, é possível criar servidores de hospedagem, além da integração com servidores SMB e IMAP.  A Nextcloud é utilizada para o compartilhamento de arquivos ou pastas entre usuários, sendo bastante utilizada no meio empresarial.

Parte da sua popularidade está na compatibilidade com os sistemas operacionais: Windows, MacOS, Linux, Android e iOS. Além disso, ela permite a criação de grupos e de usuários internos, sem a necessidade de e-mail, e ainda possui uma interface intuitiva.

Das plataformas de hospedagem de código aberto no mercado, a Nextcloud se destaca pela conformidade com a segurança.

LastPass - Gerenciador de Senhas

Uma ferramenta importante para gestão e segurança dos acessos é o gerenciador de senhas. Nessa categoria, o LastPass tem destaque entre as ferramentas open source. Esse gerenciador utiliza criptografia de nível militar, padrão do setor.

Em resumo, significa que os dados são criptografados localmente, e só então são carregados em seus servidores, tornando os dados inacessíveis para cibercriminosos.

O LastPass oferece suporte a métodos de autenticação de 2 fatores, compatível com Windows, macOS, Linux, Android e iOS.

Apache OFBiz - Gerenciador de negócios

É um conjunto de software de negócios, totalmente personalizável e escalável. O Apache possui módulos prontos, destinados à área contábil, armazenamento e gerenciamento de estoque.

Empresas de comércio eletrônico também podem usá-lo para atender às suas necessidades, como gerenciamento de pedidos e CRM. Apache OFBiz é escrito em Java e distribuído sob uma licença Apache 2.0, sendo uma ferramenta open source bem completa.

Zoho CRM

E por falar em CRM, não posso deixar de citar o Zoho, que permite a geração de leads e a organização da relação com os clientes. A plataforma oferece o modelo Canvas com uma personalização da interface, de acordo com as necessidades dos usuários.

Além disso, o Zoho trabalha com automação e integração de diversos aplicativos utilizados nas empresas, tais como: Zoom, Trello, Office 365, entre outros.

Wireshark - Analisador de protocolos de redes

Por fim, uma ferramenta open source focada em monitoramento de tráfego de dados da rede.

O Wireshark é especializado em análise de protocolo de rede, e permite que profissionais de segurança observem a mesma em detalhes, visualizando o tráfego, despejando pacotes específicos, verificando o formato do pacote e encontrando problemas.

Ele possui compatibilidade com o Windows, Linux, macOS, FreeBSD e NetBSD, e permite uma inspeção profunda de inúmeros protocolos.

Um dos destaques dessa ferramenta é que ela captura ao vivo e realiza a análise de dados, mas também oferece descriptografia para vários protocolos, como IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP e WPA/WPA2.

Esses são alguns dos exemplos das inúmeras ferramentas open source disponíveis no mercado. Você já conhecia esses exemplos que mencionei? Vale a pena pesquisar mais sobre elas.

Seja como for, veremos agora os benefícios e desvantagens que as ferramentas de código livre possuem.

Ferramentas open source: benefícios e desvantagens

Antes de analisarmos os benefícios e desvantagens das ferramentas de código-aberto, é importante reforçar que o objetivo aqui não é, de maneira alguma, subestimar ou colocar em cheque a qualidade e desempenho desses softwares.

O propósito deste artigo é levar você, prestador de serviços de TI e empreendedor do setor, a questionar o seu nível de conhecimento do cenário que envolve o uso dessas ferramentas, levando-o a pensar sobre os pilares necessários para a operação das mesmas.

Código-aberto é o mesmo que ferramenta gratuita?

É importante esclarecer também que, código-aberto não significa, necessariamente, um serviço gratuito. O ponto da gratuitidade reside no uso do código-fonte para os seus próprios propósitos, enquanto credita o autor do software.

Muitas empresas e desenvolvedores, que ofertam o software, podem solicitar um pagamento mensal, anual ou único (o preço é geralmente baseado no usuário). Para entender como funciona, é necessário consultar as informações oficiais da empresa e dos desenvolvedores.

Isso pontuado, podemos ver os principais benefícios do open source:

• Flexibilidade - No open source, o software pode ser personalizado para atender às necessidades específicas do negócio. É possível escrever mais códigos para adicionar uma funcionalidade extra, e vice-versa – excluir partes desnecessárias. Ou seja, ele é flexível e adaptável.
  
• Estabilidade - É possível utilizar o produto para projetos de longo prazo, com confiança, pois ele não desaparecerá do mercado, ou ficará desatualizado, já que diversas pessoas podem trabalhar nele. A comunidade de usuários cuidará de um software de código aberto.
  
• Possibilidade de economia - Normalmente, o custo de aquisição e manutenção de um software de código aberto é menor que o de um comercial, além daqueles programas de código aberto gratuitos.
  
• Facilidade na avaliação - O código-fonte permite que o profissional examine e avalie um produto, aprendendo sobre seus recursos e falhas, por constantes estudos e avaliações.

Mas, como nem tudo são flores, existem também desafios na utilização das ferramentas open source:

• Dificuldade de uso - Boa parte do tempo de conhecimento e dedicação em ferramentas open source está ligado à complicação  na configuração e no uso das mesmas. Existem interfaces não tão amigáveis, ​​ou recursos com os quais você pode não estar familiarizado.
  
• Problemas de compatibilidade - Questões de compatibilidade com o hardware é um desafio também. Muitos tipos de hardware precisam de drivers especializados para executar programas de código aberto, que geralmente estão disponíveis apenas no fabricante do equipamento.
  
• Responsabilidades e garantias - Muitas licenças de software de código aberto, normalmente, contêm apenas garantia limitada e nenhuma proteção de responsabilidade ou indenização por violação.

Você já havia colocado na balança esses benefícios e desvantagens?

Existe outro aspecto que também não é considerado por muitos profissionais, mas que pode ser um problema na operação de ferramentas open source: as vulnerabilidades de segurança.

Os principais riscos em código aberto

O exemplo que apresentei na introdução da nossa conversa é uma vulnerabilidade atual e séria, encontrada em softwares de código aberto, mas claro, não é a única. Isso porque, existe outro lado da moeda ignorado.

A liberdade do open source não chama a atenção apenas da comunidade de desenvolvedores e profissionais de TI, mas também de cibercriminosos.

Nessa oportunidade de acessar o código-fonte, os invasores podem identificar as vulnerabilidades, descobrindo os meios mais eficazes para realizar suas ações.

Além da Log4j, a Open Web Application Security Project disponibiliza e atualiza constantemente uma lista sobre as principais vulnerabilidades em software de código aberto.

Vejamos as cinco principais de 2021:

A01:2021- Controle de acesso quebrado

Esse era o quinto principal risco em 2017, e ganhou a primeira colocação em 2021. As falhas ligadas ao controle de acesso, normalmente, levam à divulgação ou modificação não autorizada de informações, destruição de dados, ou execução de uma função comercial fora dos limites do usuário.

A02:2021-Falhas criptográficas

As vulnerabilidades criptográficas envolvem a proteção de dados em trânsito e em repouso.

Tais informações envolvem: senhas, números de cartão de crédito, registros de saúde, informações pessoais e segredos comerciais que exigem proteção extra, especialmente se esses dados estiverem sob leis de privacidade, como GDPR, ou regulamentos como PCI Data Security Standard (PCI DSS) para dados financeiros.

A03:2021-Injeção

A “boa” e velha injeção segue como uma ameaça à segurança das ferramentas de código aberto. Tal vulnerabilidade é executada quando dados não confiáveis ​​são enviados a um intérprete, como parte de um comando ou consulta, induzindo o intérprete a executar comandos não intencionais, ou acessar dados sem a devida autorização.

A04:2021-Design inseguro

Essa falha foi descoberta em 2021, e concentra-se em riscos relacionados às falhas de projeto. Isso significa usar mais modelagens de ameaças, padrões e princípios de design seguros, e arquiteturas de referência para mudar a segurança para a esquerda. É uma categoria ampla, que representa muitas fraquezas diferentes.

A05:2021- Configuração incorreta de segurança

A última falha da lista inclui itens como, proteção de segurança ausente em qualquer parte da pilha de aplicativos, permissões configuradas incorretamente em serviços de nuvem, quaisquer recursos desnecessários, ativados ou instalados, e contas ou senhas padrão inalteradas.

Essas são algumas das principais falhas. Você pode conferir a lista completa da OWASP clicando aqui.

Mas no fim, será que essas falhas e desafios que analisamos juntos até aqui impactam na sua prestação de serviços?

Esse é o último ponto da nossa conversa.

Impactos em sua prestação de serviço

Chegamos até aqui e gostaria de repetir a pergunta que fiz na introdução da nossa conversa:

Prestador de serviços de TI, você possui os pilares necessários para operar essas ferramentas de maneira eficiente?

Diante dos benefícios, desafios e vulnerabilidades que analisamos sobre as ferramentas open source, é válido pontuar alguns pilares fundamentais que você precisará ter para operar e manter essas ferramentas em sua empresa e em seus clientes.

São eles:

• Conhecimento - O grande diferencial oferecido pelo código aberto, que é a liberdade de adaptação e melhoria, pode ser um problema, caso você não tenha conhecimento suficiente sobre a ferramenta. Você precisará entender bem o funcionamento, os códigos, os recursos, as vulnerabilidades e tudo que envolve essas ferramentas, principalmente porque o suporte e a operação dependerá de você.

Você tem tempo para isso? O quanto isso pesará em seu orçamento?

• Tempo - É necessário tempo para estudar e manter o engajamento com a comunidade de código livre. Não estou dizendo que você terá que dedicar todo o seu tempo para essa atitude, mas precisa dedicar tempo, principalmente se você instalar essas ferramentas em seus clientes. Isso pode afetar a sua produtividade e impedir que você adote ou use programas com facilidade.

Você realmente conseguirá operar bem a balança do seu tempo de atendimento, o treinamento e o conhecimento da ferramenta?

• Segurança - Você já conhecia as falhas que apresentei aqui? Boa parte dos ataques que exploram as vulnerabilidades de ferramentas open source acontecem por erros de configurações e ausência de implementação dos patches de correções. A segurança tem total ligação com o pilar do tempo e do conhecimento. Caso você não consiga garanti-lá, isso afetará você e seus clientes, causando não só danos financeiros, mas também reputacionais.

A segurança é um pilar essencial na sua prestação de serviços.

• Acompanhamento - O último e mais importante pilar é o acompanhamento. Ele tem um impacto direto na sua prestação de serviços. Quando você implementa e opera ferramentas em seus clientes, o acompanhamento é fundamental; agora pense: como você conseguirá acompanhar o desempenho e operação dessas soluções? Você possui os pilares anteriores para isso?

Por um minuto, pense de forma sincera. Todos esses pilares impactam diretamente sua prestação de serviços, e revelam uma característica das ferramentas open source: os custos ocultos.

Não existe almoço grátis, nem soluções sem nenhum custo. Mesmo que o software seja gratuito desde o início, ele vai acabar tendo custos para ser executado, e pode se tornar um grande fardo, especialmente se você não considerou tais custos ocultos desde o início, como tempo e mão de obra.

O que podemos concluir é que as ferramentas open source possuem muitos benefícios, com um ideal nobre de liberdade e acessibilidade para a comunidade de desenvolvedores e TI em geral.

A grande questão envolvida é a capacidade dos profissionais que operam e utilizam essas ferramentas nas empresas. Nenhuma ferramenta faz milagre, e as open source não são um ponto fora da curva.

Assim, contar com uma parceria eficaz, capaz de ir além da ferramenta, faz toda a diferença. Por isso, nosso programa de parceria foi desenvolvido exclusivamente para possibilitar profissionais e empreendedores de TI a alavancarem seus negócios, de forma sustentável e real.

Você pode conhecer mais, clicando no banner abaixo:

Descubra mais conteúdos gratuitos em nossas redes:

Você já leu isso aqui?

• Mapa de risco: a bola de cristal corporativa
• Budget de Segurança: Por quê investir e por onde começar?