28.01.07
Como navegar na era do lixo eletrônico
Fonte: Rodrigo Botafogo
A Internet causou uma revolução no uso e divulgação da informação a tal ponto que o final do século vinte passou a ser chamado de "Era da Informação". Muitos ainda dizem que continuamos vivendo nessa era, mas, na realidade, talvez o melhor termo para o momento atual é: "a Era do Lixo Eletrônico". Recentemente, a Microsoft processou a OptInRealBig, uma empresa responsável pelo envio da bagatela de 38 bilhões de correios eletrônicos não solicitados (Spam) por ano.
Rodrigo Botafogo
Ainda hoje vemos em alguns jornais e revistas as comparações da Internet com uma super via de informações. Na realidade, a Internet mais se parece com a Europa medieval. Informações críticas de grandes empresas são como os reis e príncipes mais ricos da época, protegidos por diversas camadas de segurança: muralhas de proteção (firewall), ponte levadiça como ponto único de entrada (porta 80), isolamento e exércitos de soldados (funcionários), cuja única função é verificar quem está tendo acesso à informação. Fora dos muros principais das grandes empresas, uma plebe desprotegida está diariamente sujeita a mal-feitores, ladrões de identidade (phishing), assaltantes, etc. Passear por esta "super via da informação" é um risco para poucos corajosos. Os ataques podem vir de bandoleiros que roubam a informação em trânsito ou até mesmo de estalajadeiros cuja hospedagem nada mais é que uma armadilha para atrair visitantes incautos (sites falsos).
De acordo com o Phishing Attack Trend Report, levantamento mensal da associação Anti-Phishing Working Group (APWG), o Brasil hospeda quase 7% dos keyloggers - sistemas que rastreiam senhas digitadas pelos internautas. Com certeza, todos no Brasil já leram ou ouviram falar de pessoas que tiveram suas contas bancárias zeradas via Internet. Isso não é surpreendente, pois, ainda de acordo com o APWG, "o Brasil tem a maior concentração de fraudes baseadas em keyloggers que miram instituições financeiras locais".
Diante de todos esses riscos e ataques, a Internet vem crescendo a um ritmo muito menor do que poderia, sobretudo para transações de negócio. Para que uma transação de negócio possa ser realizada é fundamental que exista confiança entre as partes. No mundo físico, vários processos e mecanismos foram implementados de forma a aumentar a confiança das relações de negócio. Pessoas que fazem negócio, em geral, saem para almoçar juntas para se conhecer, vão visitar a sede da empresa do parceiro para garantir que realmente a empresa existe e extraem desta visita informações importantes, tais como a localização do escritório, seus móveis, o número de pessoas circulando nas dependências da empresa, etc. No mundo virtual, estas informações implícitas não estão disponíveis e, diante dos ataques apresentados acima, os riscos são enormes.
Vamos supor, no entanto, que fosse possível eliminar os riscos de segurança através do uso de firewall, IDS, controle de acesso, senhas, anti-vírus, anti-spam, controle de spyware, etc. Ainda assim, não teríamos condições de fazer muitas transações de negócio na Internet, pois ainda não temos como ter confiança na outra parte. Por exemplo, quem se aventuraria a vender um apartamento ou um carro a um desconhecido completo via Internet? Como permitir o acesso de um cidadão a um site da Secretaria da Fazenda ou Receita Federal? Como implementar um Serviço de Atendimento ao Cidadão, com acesso ao Detran, dados de outros órgãos, etc? Distribuir senhas de acesso a todos os cidadãos, mesmo que fosse seguro, seria impraticável.
A base da confiança passa pela capacidade de identificar de forma inequívoca a outra pessoa. Uma vez que temos certeza da identidade da outra pessoa, necessitamos de garantias mínimas de que esta outra pessoa irá agir conforme o combinado e caso não o faça, que teremos meios legais de pressioná-la ou cobrá-la para que cumpra o acordado.
Confiança é a base para a realização de qualquer transação de negócio. Sem confiança duas pessoas jamais fariam qualquer tipo de negociação, pois os riscos seriam sempre inaceitáveis. Neste contexto, voltando ao exemplo acima sobre a Europa medieval, portanto, a Certificação Digital seria o equivalente a um mercedes blindado trafegando nas vias inseguras, apresentando em cada barreira um chip de identificação RFID. Por quê? Porque ela provê ao mesmo tempo base jurídica, identificação e autenticação e confidencialidade.
Um certificado digital é um documento eletrônico que funciona como uma carteira de identidade no mundo digital, ou seja, equivale a uma assinatura feita de próprio punho em um documento em papel. No Brasil, empresas, pessoas físicas e equipamentos podem obter essa carteira de identidade eletrônica. Para tanto, devem se dirigir a uma Autoridade de Registro, vinculada a uma Autoridade Certificadora autorizada a operar dentro da ICP-Brasil.
Com a disponibilidade da Certificação Digital, novamente se pode considerar o fato de realizar negócios na Internet que vão além da compra e venda de produtos com a utilização de cartões de crédito.
Diretor de tecnologia da Certisign
