por Richard Stallman
Publicado pela primeira vez em The
European Business Review
Empresas estão oferecendo agora, aos usuários de computadores, oportunidades tentadoras para deixar que outros armazenem seus dados e façam sua computação. Em outras palavras, jogar cautela e responsabilidade aos ventos.
Essas empresas, e seus incentivadores, gostam de chamar essas práticas computacionais de “computação em nuvem” (cloud computing). Elas aplicam o mesmo termo também a outros cenários totalmente diferentes, tais como o aluguel de um servidor remoto, tornando o termo tão amplo e nebuloso, que nada de significativo pode ser dito com ele. Se ele tem algum significado, só pode ser o de uma certa atitude para com a computação: uma atitude de não pensar cuidadosamente sobre o que está envolvido no cenário proposto ou quais riscos ele implica. Talvez tenham a intenção de que essa nuvem da qual falam se forme na mente do cliente.
Para substituir essa nuvem por clareza, este artigo discute diversos produtos e serviços que envolvem cenários de uso muito diferentes (por favor, não pense neles como “computação em nuvem”) e as distintas questões que eles levantam.
Primeiro, vamos classificar os tipos de questões que um cenário de uso pode levantar. Em geral, há dois tipos de questões a serem consideradas. Um é sobre o tratamento de seus dados, e o outro, sobre o controle da sua computação.
Dentro do tratamento de seus dados, várias questões podem ser distinguidas: um serviço poderia perder seus dados, alterá-los, mostrá-los a alguém sem o seu consentimento e/ou dificultar que você obtivesse seus dados de volta. Cada uma dessas questões é fácil de entender; o quão importantes elas são depende de que tipos de dados estão envolvidos.
Tenha em mente que uma empresa dos EUA (ou sua subsidiária) é obrigada a entregar praticamente todos os dados que ela tem sobre um usuário, a pedido do FBI, sem mandado judicial, sob o “USA PATRIOT Act”, cujo nome negrobranco é tão orwelliano quanto suas disposições. Sabemos que, embora os requerimentos que essa lei coloca sobre o FBI sejam bem frouxos, o FBI sistematicamente os viola. O senador Wyden diz que se ele pudesse dizer publicamente como o FBI estica a lei, o público ficaria com raiva. Organizações europeias podem muito bem violar as leis de proteção de dados de seus países, se confiarem dados a tais companhias.
Controle de sua computação é a outra categoria de questões. Usuários merecem ter o controle de sua computação. Infelizmente, a maioria deles já abdicou de tal controle, através do uso de software privativo (não livre).
Com software, há apenas duas possibilidades: ou os usuários controlam o software, ou o software controla os usuários. O primeiro caso nós chamamos de “software livre”, livre como em liberdade, porque os usuários têm o controle efetivo do software se eles têm certas liberdades essenciais. Nós também o chamamos de “free/libre” para enfatizar que essa é uma questão de liberdade, não de preço. O segundo caso é software privativo. O Windows e o MacOS são privativos; e também o iOS, o software no iPhone. Tal sistema controla seus usuários, e uma empresa controla o sistema.
Quando uma corporação tem poder sobre os usuários desse modo, é provável que ela abuse desse poder. Não surpreende que Windows e iOS sejam conhecidos por terem recursos de espionagem, recursos para restringir os usuários e backdoor. Quando usuários falam de “fazer um jailbreak” (destravamento) no iPhone, eles reconhecem que esse produto algema o usuário.
Quando um serviço realiza a computação do usuário, o usuário perde o controle daquela computação. Chamamos essa prática de “Serviço como Substituto de Software” (Service as a Software Substitute), ou SaaSS, e isso é equivalente a executar um programa privativo com um recurso de espionagem e um backdoor. Definitivamente, isso tem que ser evitado.
Tendo classificado as questões possíveis, consideremos como vários produtos e serviços as levantam.
Primeiro, consideremos o iCloud, um serviço da Apple que está para chegar, cuja funcionalidade (de acordo com informação adiantada) será que os usuários poderão copiar informação para um servidor e acessá-la depois de algum outro lugar, ou deixar que usuários acessem-na de lá. Isso não é Serviço como Substituto de Software, já que ele não faz nenhuma computação para o usuário, então essa questão não é levantada aqui.
Como iCloud tratará os dados do usuário? No momento em que escrevo, não sabemos, mas podemos especular, com base no que outros serviços fazem. A Apple provavelmente será capaz de observar os dados, para seus próprios propósitos e para os propósitos de outros. Sendo assim, tribunais serão capazes de obter os dados através de um mandado judicial distado à Apple (não ao usuário). O FBI poderá obtê-los sem um mandado judicial. Empresas de filmes e gravadoras, ou suas usinas de processos judiciais, poderão ser capazes de observá-los também. A única maneira de isso poder ser evitado é se os dados forem criptografados na máquina do usuário antes de serem enviados, e decriptados na máquina do usuário depois que forem acessados.
No caso específico do iCloud, todos os usuários estarão executando software da Apple, então a Apple terá total controle sobre seus dados, de qualquer maneira. Um recurso espião foi descoberto em software do iPhone e do iPad no início de 2011, levando as pessoas a falar de “spyPhone”. A Apple poderia introduzir outro recurso espião na próxima “atualização”, e somente a Apple saberia. Se você for tonto o suficiente para usar um iPhone ou iPad, talvez iCloud não torne as coisas muito piores, mas não se recomenda isso.
Agora vamos considerar o Amazon EC2, um serviço em que o cliente aluga um computador virtual (hospedado em um servidor em um centro de dados da Amazon) que faz qualquer coisa que o cliente o programe a fazer.
Esses computadores executam o sistema operacional GNU/Linux, e o cliente pode escolher todo o software instalado, com uma exceção: Linux, o componente de nível mais baixo (ou kernel) do sistema. Os clientes precisam selecionar uma das versões do Linux oferecidas pela Amazon; eles não podem fazer e executar suas próprias. Mas eles podem substituir o resto do sistema. Daí, eles têm quase tanto controle sobre sua computação quanto teriam com suas próprias máquinas, mas não inteiramente.
EC2 tem algumas desvantagens. Uma é que, já que os usuários não podem instalar suas próprias versões do kernel Linux, é possível que a Amazon coloque alguma coisa de podre, ou meramente inconveniente, nas versões que oferece. Mas isso pode não importar realmente, dadas as outras falhas. Uma outra falha é que a Amazon tem o controle final sobre o computador e seus dados. O Estado poderia apreender todos os dados da Amazon. Se você os tivesse em sua casa ou escritório, o Estado teria que usar de um mandado contra você, e você teria chances de lutar contra a apreensão na justiça. A Amazon pode não se importar em lutar contra o mandado em seu nome.
A Amazon coloca condições sobre o que você pode fazer com esses servidores, e pode cortar seu serviço se ela entender que suas ações conflitam com elas. A Amazon não tem necessidade de provar nada, então na prática ela pode cortá-lo se ela considerar você inconveniente. Assim como o Wikileaks descobriu, o cliente não tem recurso algum se a Amazon esticar os fatos para fazer um julgamento questionável.
Agora vamos considerar o Google ChromeOS, uma variante de GNU/Linux que ainda está em desenvolvimento. De acordo com o que a Google disse inicialmente, ele será um software livre, pelo menos o sistema básico, apesar de a experiência com o Android sugerir que ele possa vir com programas não livres também.
A principal característica desse sistema, seu propósito, era negar aos usuários duas capacidades fundamentais que o GNU/Linux e outros sistemas operacionais normalmente oferecem: armazenar dados e executar aplicativos localmente. Em vez disso, ChromeOS seria projetado para exigir que os usuários armazenem seus dados em servidores (normalmente servidores da Google, suponho) e deixem que esses servidores façam sua computação também. Isso imediatamente levanta ambos tipos de questões na sua forma mais plena. A única maneira em que o ChromeOS, tal como concebido, poderia se tornar algo que usuários deveriam aceitar, é se eles instalassem uma versão modificada do sistema, restaurando as capacidades de armazenamento local de dados e de aplicações.
Mais recentemente, ouvi dizer que a Google reconsiderou essa decisão e poderá reincorporar esses recursos locais. Se for assim, ChromeOS poderá simplesmente ser algo que as pessoas possam usar em liberdade – se forem evitados os muitos outros problemas que nós observamos hoje no Android.
Como esses exemplos mostram, cada cenário de uso da internet levanta seu próprio conjunto de questões, e elas precisam ser julgadas com base em sua especificidade. Afirmações vagas, tais como quaisquer declarações formuladas em termos de “computação em nuvem”, só conseguem obstruir o caminho.