Há pouco mais de uma semana foi descoberta uma vulnerabilidade de segurança na biblioteca log4j2, usada pela vasta maioria dos programas escritos na linguagem de programação Java. Segundo publicações da área, como a IEEE Spectrum, Java é a segunda linguagem mais utilizada pelos programadores.
Apesar da maioria dos programas desenvolvidos nessa linguagem serem executados em servidores, isto é, não em nossos computadores pessoais, mas nos computadores com os quais nos conectamos ao usar a internet, há exceções. Um deles é o programa utilizado para declararmos nosso imposto de renda no Brasil. Outro, é a versão antiga daquele que, possivelmente, é o jogo de videogame mais popular de todos os tempos: Minecraft. Curiosamente, a vulnerabilidade foi descoberta no jogo.
A falha na biblioteca que apenas cuida de gerar registros da atividade do programa que a utiliza – em inglês, logs – é uma dádiva para os cibercriminosos do mundo. Com certa habilidade, um hacker pode ganhar acesso total ao computador que execute um programa que dependa da log4j2. Se o atacante descobrir como o programa registra suas atividades ele pode fazê-lo acessar um servidor malicioso, do hacker, que o dá acesso ao computador da vítima.
Não é a primeira vez que há uma falha como essa – existente desde a primeira implementação da biblioteca, mas descoberta anos depois. Foi o caso do Heartbleed. Em ambas as situações, a descoberta causou perdas financeiras incalculáveis para empresas e indivíduos que tiveram seus dados roubados. Atacantes puderam ganhar acesso a servidores e bancos de dados de bancos, grandes corporações como a Amazon, o Google; além de diversas empresas pequenas com muito menos recursos para lidar com esse tipo de problema. Para os mais paranóicos, imaginem o que aconteceu enquanto o conhecimento da vulnerabilidade não era público.
“Mas se essa biblioteca é tão utilizada, tão importante, isso foi uma fatalidade, certo? Deve haver muitos desenvolvedores trabalhando no projeto e deixaram essa escapar”, pensa um leitor desavisado. A realidade, porém, está muito longe disso. A log4j2, como boa parte dos programas e bibliotecas dos quais dependemos, é um projeto open source. O projeto é patrocinado pela fundação Apache, mas isso não significa que seus desenvolvedores recebam para trabalhar nele. Todos os monopólios que utilizam a tecnologia não doam nem um tostão aos desenvolvedores. Tampouco alocam tempo de seus programadores para manter, testar e validar a log4j2.
Acontece que registros não são uma área muito glamurosa da computação. Podemos dizer que eles são os contadores do mundo da tecnologia. Há pouco interesse de profissionais da área. Ademais, apesar de crítico para a operação de diversas corporações trilionárias, os capitalistas não são responsáveis como gostam de se apresentar. Querem apenas parasitar o trabalho alheio de ficar com o lucro.
Permitam-me citar o criador da biblioteca, Ralph Goers:
“Eu atualmente trabalho como arquiteto de software. Trabalho na log4j e outros projetos open source no meu tempo livre então, tipicamente, trabalho nas questões que são de meu interesse. Eu sempre sonhei em trabalhar com open source em tempo integral e adoraria o seu apoio para que isso acontecesse”, declarou o programador em meio a confusão que se deu com a vulnerabilidade em seu projeto.
A culpa, certamente, não é dele como indivíduo. Goers, assim como tantos outros que trabalham com projetos open source, é um herói que criar voluntariamente ferramentas que habilitam o desenvolvimento de tantos outros produtos e serviços essenciais para o mundo moderno sem pedir um tostão em troca.
Os grandes empresários da tecnologia da informação, nascidos nessa era imperialista, por outro lado, são completos parasitas. Tomam conta de tudo o que está público e são muito criativos na hora de extrair lucro de seus trabalhadores e consumidores. Seus monopólios valem trilhões e, mesmo após esses erros crassos, continuam crescendo e valendo cada vez mais. Essas empresas não criam tecnologia, apenas roubam as tecnologias disponíveis publicamente e pagam pessoas como eu para colar tudo numa geringonça que talvez não entregue os dados de seus clientes a criminosos.
A vulnerabilidade na log4j2 é uma tragédia, mas, ao mesmo tempo, expõe que boa parte do que sustenta o mundo da tecnologia é resultado do trabalho de pessoas motivadas com Goers e tantos outros que criam e mantém projetos de software livre. Ao contrário do que pensam os capitalistas, o mundo não precisa deles. Os trabalhadores não vão passar o tempo enchendo a cara se todos os patrões desaparecerem. Muitos estão dispostos a trabalhar mais horas além de seu expediente apenas para satisfazer sua curiosidade.
Os empresários não nos pagam para produzir programas eficientes e seguros. Também não nos pagam para criar coisas interessantes ou inovadoras. Os programadores são majoritariamente pagos para construir funcionalidades que não adicionam nada ao produto, mas geram receita aos capitalistas como, por exemplo, adicionar anúncios, bloquear funcionalidades caso o usuário não tenha pago a licença, etc.
A falha na log4j2 não mostra a fragilidade do desenvolvimento de software livre. Mostra o caráter parasitário das grandes corporações que não usam uma fração sequer de seus recursos infindáveis para fortalecer e desenvolver a infraestrutura pública que utilizam. Mostra como são um bloqueio ao progresso não apenas da tecnologia, mas da sociedade como um todo.
Artigo publicado, originalmente, em 19 de dezembro de 2021.