sexta-feira, 6 de dezembro de 2013

Empresas de internet intensificam seus esforços para impedir invasão

Quando Marissa Mayer, presidente-executiva da Yahoo, anunciou recentemente a maior revisão de segurança da empresa em mais de uma década, ela não foi exatamente aplaudida de pé.

Os usuários perguntaram a Mayer por que o Yahoo não estava fazendo mais. Ativistas da área de privacidade foram mais contundentes.

"Mesmo após o anúncio de hoje, o Yahoo ainda está muito atrás do Google em segurança na rede", disse Christopher Soghoian, analista de tecnologia da American Civil Liberties Union.

Para grandes empresas da internet, já não é suficiente ter um aplicativo de smartphone de carregamento rápido ou um serviço legal de mensagens. Na era de Edward J. Snowden e suas revelações de vigilância em massa por parte do governo, as empresas estão competindo para mostrar aos usuários como seus dados estão bem protegidos dos olhares indiscretos, com bilhões de dólares de receitas ameaçados.

A Microsoft é a mais recente empresa de tecnologia a anunciar planos para proteger os seus serviços da vigilância externa. Ela está em acrescentando recursos de criptografia ultramodernos para vários serviços ao consumidor e, internamente, em seus centros de dados.

A medida segue esforços similares do Google, Mozilla, Twitter, Facebook e Yahoo, no que se tornou efetivamente uma corrida armamentista digital contra a Agência de Segurança Nacional, como reação das empresas em um "Efeito Snowden", como alguns têm chamado.

Embora a segurança tenha surgido há muito tempo como uma preocupação dos usuários, muitas empresas relutaram em empregar proteções modernas, preocupadas que as atualizações iriam deixar as conexões mais lentas e adicionariam complexidade às suas redes.

Mas a questão entrou em efervescência há seis meses, quando documentos vazados por Snowden descreveram os esforços da NSA e seus parceiros de inteligência para espionar milhões de usuários de internet. Mais da metade dos americanos entrevistados dizem que o programa de vigilância da NSA se intrometeu em seus direitos de privacidade, de acordo com uma pesquisa do Washington Post-ABC News realizada em novembro.

As revelações também balançaram as empresas de internet, que vêm tentando tranquilizar os clientes, dizendo que estão fazendo tudo o que podem para proteger seus dados contra espionagem. Há muito tempo elas cumprem ordens da Justiça para entregar informações, mas ficaram alarmadas com as notícias mais recentes de que a NSA também estava acessando seus dados sem o seu conhecimento.

"Queremos garantir que os governos usem processo legal, em vez de usarem a força bruta tecnológica para obter os dados do cliente -simples assim", disse em entrevista Bradford L. Smith, conselheiro geral da Microsoft.

Smith disse que sua empresa também abriria "centros de transparência", onde os governos estrangeiros poderiam inspecionar o código da empresa, em um esforço para assegurar-lhes que não há em seus produtos portas traseiras para as agências de espionagem.

Uma a uma, as empresas de tecnologia vêm lutando para tampar os buracos de segurança.

A melhor defesa, dizem os especialistas em segurança, é usar a Transport Layer Security, um tipo de criptografia que muitos conhecem pelo "https" e o símbolo do cadeado no início de endereços da Web que usam a tecnologia. Ela usa uma longa sequência de números -uma chave mestra- que embaralha os dados importantes, tais como senhas, informações de cartão de crédito, propriedade intelectual e informações pessoais, trocados entre o usuário e o site, enquanto estes dados estão em trânsito.

Os bancos e outros sites financeiros têm usado esse tipo de segurança há anos. O Google, o Twitter e o serviço de email da Microsoft tornaram-no padrão há muito tempo. O Facebook adotou o https em todo seu sistema neste ano. E Mayer disse que o Yahoo iria finalmente permitir aos consumidores que criptografassem todos os seus dados no Yahoo em janeiro.

Mas, na medida em que muitos sites adotam o https, os especialistas em segurança dizem que são necessárias medidas de segurança mais avançadas. Se um governo conseguir quebrar a chave mestra -ou a obtiver por meio de ordens judiciais- poderá descriptografar as comunicações de milhões de usuários.

É por isso que empresas como Google, Mozilla, Facebook e Twitter adicionaram outra camada de proteção, chamada Perfect Forward Secrecy. Essa tecnologia adiciona um segundo bloqueio para as transmissões de cada usuário, com uma chave que é mudada frequentemente. A Microsoft planeja adicionar o método de criptografia no próximo ano, mas o Yahoo não disse se iria adotá-lo.

"O Perfect Forward Secrecy envolve um bilhão de senhas diferentes, e não está protegido por uma senha central", disse Scott Renfro, engenheiro de software do Facebook que trabalha em infraestrutura de segurança da empresa.

Assim, mesmo que uma pessoa de fora obtenha a chave mestra, ela ainda terá que quebrar o código das outras chaves, várias vezes.

"Este tipo de proteção deveria ter sido projetado em todos os sistemas da web e todos os sistemas de internet desde o início", disse Jacob Hoffman-Andrews, engenheiro do Twitter.

A tecnologia já existe há duas décadas, mas as empresas demoraram a adotá-la porque adiciona complexidade e introduz um atraso nas transações pela internet, o que pode incentivar os usuários impacientes a fugirem para sites mais rápidos. Mas muitas dessas questões foram resolvidas pelo Google quando aplicou o Perfect Forward Secrecy em 2011, disse Adam Langley, engenheiro de software da empresa. O Google compartilhou suas melhorias com a comunidade de tecnologia.

Ainda assim, as soluções técnicas podem ser vencidas pela lei. Enquanto o https e o Perfect Forward Secrecy protegem a transmissão de dados, as agências de vigilância e policiamento ainda podem obrigar as empresas a entregarem os dados de seus servidores, onde são armazenados.



Reportagem de Nicole Periroth e Vindu Goel para o The New York Times, reproduzida no UOL. Tradução: Deborah Weinberg

Nenhum comentário:

Postar um comentário