“OS Diversity for Intrusion Tolerance: Myth or Reality?” foi a pergunta à qual cinco cientistas da área da Informática procuraram dar resposta em 2011, durante a 41^st International Conference on Dependable Systems & Networks (DSN), uma iniciativa promovida pelas organizações IEEE e pela IFIP. Decorridos dez anos desde a publicação do artigo, este feito valeu-lhes o prémio Test-of-Time, atribuído em junho deste ano, durante a 51ª edição DSN da referida conferência internacional.

Alysson Bessani e Nuno Neves, professores do Departamento de Informática (DI) e investigadores do LASIGE Ciências ULisboa, são coautores do artigo premiado, juntamente com Miguel Garcia, à data aluno de mestrado em Informática na Ciências ULisboa; Ilir Gashi, investigador do Center for Software Reliability da City, University of London, no Reino Unido onde preside o Departamento de Ciência da Computação; e Rafael Obelheiro, investigador do Departamento de Ciência da Computação da Universidade do Estado de Santa Catarina, no Brasil.

 O artigo “High-performance broadcast for primary-backup systems”, da autoria de Flavio P. Junqueira, Benjamin C. Reed e Marco Serafini, foi igualmente merecedor deste prémio internacional.

“O prémio foi o reconhecimento de um trabalho em que investimos muito esforço na altura. É muito gratificante ver esse trabalho ser reconhecido pela comunidade de confiabilidade em sistemas e redes.” Alysson Bessani

“OS Diversity for Intrusion Tolerance: Myth or Reality?” procura demonstrar de que forma é possível reduzir as vulnerabilidades dos sistemas a ataques informáticos através da utilização de diferentes sistemas operativos (SO).

Para os menos entendidos na matéria, é melhor “trocar isto por miúdos”. Os sistemas replicados/réplicas, isto é, servidores com informações redundantes, atuam como um só servidor. No entanto, se todas as réplicas forem iguais no seu software, também as vulnerabilidades e bugs são iguais em todas as suas réplicas, e o sistema fica mais exposto a ataques maliciosos. Desta forma, a replicação como solução para as falhas e intrusões deixa de ser eficaz.

Antes do surgimento deste estudo, vários trabalhos na área da confiabilidade assumiam que existiria algum tipo de mecanismo de diversidade capaz de eliminar essas falhas, mas praticamente nenhum dos trabalhos oferecia evidências para suportar esta hipótese. Neste artigo os autores tentam dar resposta a esse problema, demonstrando, com base em dados reais de vulnerabilidades, que a diversidade de sistemas operativos (exemplos: Windows, Linux, BSD) é eficaz na redução de vulnerabilidades comuns em sistemas replicados. Na prática, aplicar diversidade de software “dificulta a vida” a um atacante.

Na pesquisa, os investigadores analisaram dados do National Vulnerability Database (NVD), a base de dados do National Institute of Standards and Technology (NIST), tendo analisado dados de 11 SO distintos, num período de 15 anos.

Alysson Bessani afirma que, aquando da sua publicação, o artigo “dava uma resposta fundamentada para um problema identificado há alguns anos, substanciando com dados intuições que os investigadores da área já tinham”. Como explica o cientista, foi por isso um trabalho inovador, com impacto sentido ao longo dos anos, tanto pela sua publicação no âmbito da conferência, como mais tarde, com a edição da sua versão extensa na revista Software: Practice and Experience, publicada online na Wiley Online Library em 2014.

O artigo acabou por se tornar uma referência na área da Informática para motivar a implementação de diversidade nos SO dos sistemas replicados, tendo sido alvo de diversas referências em citações noutros trabalhos posteriormente publicados sobre o tema.

 O Test-of-Time é um prémio concedido a dois artigos de maior impacto na área dos sistemas confiáveis e pesquisa de computação de redes, que tenham sido publicados na conferência internacional da DSN há dez anos. O prémio é atribuído anualmente desde 2019 e terá a sua próxima edição em 2022, em Baltimore, nos EUA, durante a 52ª edição da IEEE/IFIP DSN.