OWASP Brasil Manifesto/br/A insegurança na Web

=A insegurança na Web=

A Internet é hoje uma realidade na vida da maioria das pessoas, como mostra a evolução das estatísticas de quantidades de usuários. O IBGE indicava em 2009 que 27,4% dos domicílios brasileiros tinham acesso à Internet e que 67,9 milhões de pessoas eram usuárias de Internet nesse mesmo ano. As pesquisas também indicam um crescimento acelerado do número de internautas, com um aumento de 112,9% entre 2005 e 2009.

As alternativas de acesso à Internet também se diversificaram e agora incluem desde os tradicionais telecentros e lan houses, até os acessos via celulares, passando pelos acessos discados e de banda larga. Assim, a gama de usuários vai desde o usuário casual, que acessa a partir de um computador público, aos usuários “sempre conectados”, que acessam do computador ou do celular a todo instante e onde quer que estejam.

Qualquer que seja a frequência ou a modalidade de acesso, é inegável que a Internet hoje faz parte do cotidiano das pessoas. As empresas também dependem cada vez mais da Internet como ferramenta de negócio. Mesmo desconsiderando negócios que existem exclusivamente na Internet, hoje é muito difícil encontrar alguma organização que não dependa do uso da Internet de alguma forma. Com o advento da Nota Fiscal Eletrônica, a Internet ganha uma importância ainda maior no dia-a-dia das empresas.

Também o governo brasileiro tem investido no uso de estratégias de e-gov, ou governo eletrônico, que consistem em prover serviços à população através da Internet. O exemplo mais importante nesta área é, sem dúvida, o Imposto de Renda da Pessoa Física, que em 2011 passou a ser aceito somente em formato eletrônico. Outro exemplo de larga escala é o SiSU - Sistema de Seleção Unificada do Ministério da Educação. Outros serviços, embora não sejam propriamente serviços disponíveis na Internet, têm características semelhantes e têm o potencial de parar o país, como o Sistema de Pagamentos Brasileiro (SPB), mantido pelo Banco Central.

O Poder Judiciário também caminha a passos largos em sua informatização e na utilização da Internet para prover serviços aos cidadãos. Exemplos são a larga utilização de processos eletrônicos e as consultas de andamentos pela Internet. Muitos tribunais estudam formas de permitir a juntada de documentos e a abertura de processos por meio eletrônico, principalmente via Internet.

No aspecto comunicação, a Internet também se incorporou e também alterou a rotina de milhões de pessoas. O email, ou correio eletrônico, já é quase tão popular quanto o telefone. Os sistemas de mensagens instantâneas, como MSN Messenger ou Google Talk, são utilizados por grande parte da população como ferramentas de trabalho ou para o lazer. As rede sociais, como Facebook, Orkut ou Twitter, são uma realidade na vida de pessoas e empresas e ganham importância como ferramentas de formação de comunidades e também para os negócios.

Embora esteja se tornando essencial para a sociedade, a Internet é uma infraestrutura inerentemente insegura. Projetada na década de 1960 para resistir a um ataque nuclear, a Internet é capaz de continuar operando mesmo que ocorra uma catástrofe em parte da rede. No entanto, esta infraestrutura depende de uma grande quantidade de programas de computador, o chamado software. O software é que define as regras de funcionamento dos computadores, celulares e demais componentes da Rede Mundial.

Assim como em toda atividade humana, o desenvolvimento de software está sujeito a erros. Os erros existentes em um software podem levar a falhas, incluindo falhas de segurança. Laurence Lessig, professor de Direito da Universidade de Harvard, definiu que “Code is law”, ou seja, o software é a lei que rege a Internet. Como consequência, as "leis" que regem a Internet contém falhas e estas falhas podem causar problemas para a segurança dos usuários da rede.

Falhas de segurança na Internet são comuns e costumam fazer parte do noticiário. Vários são os casos divulgados pela polícia de criminosos que se utilizam da Internet para cometer seus crimes. Em grande parte dos casos, os crimes são possíveis devido à falta de sistemas que apresentem um nível adequado de segurança. As fraudes bancárias são talvez o maior exemplo de exploração de falhas de segurança, mas as fraudes a outros tipos de sites e sistemas existem e podem causar danos à população.

A dependência da sociedade em serviços via Internet é tanta que a mera indisponibilidade de alguns desses serviços (muitas vezes causada por indivíduos mal intencionados utilizando técnicas que exploram falhas de segurança da infraestrutura de Internet) é manchete nos telejornais, como a indisponibilidade de sistemas governamentais de grande porte (Denatran, IRPF, SiSU). O CERT.br, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, é o órgão do Comitê Gestor da Internet no Brasil que coleta informações sobre ataques à Internet brasileira. As estatísticas do CERT.br mostram que a quantidade de ataques a redes brasileiras aumentou de 3107 em 1999 para 358343 em 2009, um aumento de 100 vezes em 10 anos.

A situação da segurança na Internet é delicada e tende a se agravar a medida que a sociedade passa a depender cada vez mais dessa infraestrutura. Numa analogia com recente crise do mercado financeiro (crise dos subprimes do mercado imobiliário americano), temos um ecossistema pujante de aplicações e sites na Internet cuja base não é solida o bastante. O risco da base desse ecossistema ruir é real, assim como aconteceu com o mercado financeiro, e as consequências poderiam ser devastadoras para toda a sociedade. Assim como no caso dos mercados financeiros, solidificar as bases da infraestrutura é importante e o custo é certamente menor do que esperar que aconteça uma crise antes de agir.

O Brasil foi bem menos afetado pela crise do subprime do que outros países já que havia construído uma base sólida para seu mercado financeiro. É hora de aprendermos com essa experiência e nos prepararmos também em outros setores importantes da nossa economia e do nosso cotidiano.