A internet é uma maravilha, se pensarmos na complexidade dela e como tudo parece funcionar tão bem: conectividade com o mundo todo de forma rápida e barata. Nos bastidores, porém, a internet carrega problemas gerados pelos ideais de confiança e simplicidade que guiaram a criação da rede. A coluna Segurança Digital desta semana traz cinco exemplos. Confira.
1. O "cadeado" de segurança em sites seguros
O "cadeado" que aparece em sites seguros (endereços HTTPS) é um ícone, realmente, da confiança na web. Mas ele é também um problema.
O primeiro problema é que ele não significa que um site é seguro. Afinal, o que seria um site "seguro"?
Em todo caso, o que ele significa é que o endereço visitado não é de um site falso e que a conexão está protegida contra interceptação. É perfeitamente possível que um site malicioso use o cadeado, desde que ele não esteja usando um endereço que pertence a outro site (e perceba que, para isso, sitefalso.com.br e sitefalso.nom.br são endereços diferentes, ou seja, um site ainda pode ter o cadeado mesmo que esteja tentando se passar por outro). Para resolver esse problema de identificação, o EV-SSL, um tipo mais recente de certificação, exibe o nome da instituição responsável pelo site na barra de endereços do navegador. Dessa forma, fica mais evidente (embora ainda não seja óbvio) que o cadeado tem relação com a identidade do site e não com a "segurança" dele de fato.
Outro problema é que os certificados que permitem a um site exibir o cadeado podem ser emitidos por diversas organizações ao redor do mundo. Todas elas têm permissão para emitir certificados em nome de qualquer site em existência. Não existe, por exemplo, uma separação para que uma instituição brasileira só possa emitir certificados para sites nacionais. É sempre "tudo ou nada", e não existe nenhum sistema que impeça um mesmo endereço de ter dois certificados.
Isso significa que se qualquer uma das empresas do mundo que emite certificados seja comprometida, o sistema inteiro cai por terra, porque o hacker poderá emitir certificados em nome de qualquer site e, com isso, se passar por eles.
Mais um problema: quando uma dessas instituições de fato apresentar um problema de segurança, os navegadores podem ser atualizados para deixar de confiar nela. Mas algumas dessas empresas possuem tantos clientes que é impensável retirá-las, porque muitos sites deixariam de funcionar da noite para o dia. Na prática, portanto, muitos lapsos de segurança ficam impunes, exceto para certificadoras menores cujo descredenciamento não terá impacto.
Soluções propostas: no momento, não há um plano concreto para resolver essa questão, mas mudanças estão sendo discutidas.
2. Rotas na internet
Já pensou como sua conexão vai do Brasil ao Japão?
Existe uma constante "conversa" entre os provedores de internet que determina as "rotas" que uma conexão pode seguir para chegar de um ponto A até um ponto B. Um provedor pode comunicar que uma rota está congestionada, por exemplo, para que uma rota alternativa seja usada. Detalhe: tudo isso acontece na base da confiança, e infelizmente essa confiança pode ser abusada. O nome do protocolo usado para essa conversa é o Border Gateway Protocol (BGP).
Na prática é possível que um provedor diga que é uma rota válida para uma rede que ele não comanda, recebendo todo o tráfego e podendo interceptar as conexões. Por erro ou intencionalmente, uma configuração também podem criar rotas inválidas, impedindo o acesso a determinadas redes para os usuários de provedores que aceitarem a rota incorreta.
Soluções propostas: há diversas propostas para que um provedor possa verificar com certo grau de confiabilidade se uma rota é válida ou não, mas uma mudança grande como essa necessita de uma cooperação imensa dos provedores.
3. Origem falsa de conexão
Diversos ataques que ocorrem na internet se baseiam na falsificação de origem de uma conexão. É por meio dessa falsificação que os chamados "ataques amplificados" são possíveis. Um hacker envia uma conexão com origem falsa e a resposta dessa conexão chegará ao endereço especificado pelo hacker - que é a vítima. Assim, com uma pequena solicitação, o hacker gera uma resposta grande, amplificando sua capacidade de ataque para sobrecarregar o alvo.
Isso só é possível porque alguns provedores aceitam receber dados cuja origem não corresponde à rede que os envia.
Soluções propostas: A solução está em uma medida chamada de BCP38 ou RFC2827, uma recomendação para administradores de rede do ano 2000. Muitas redes até hoje não empregam essa configuração.
4. E-mail e spam
A quantidade de mensagens que pode ser categorizada como indesejada, ou spam, está caindo. Era mais de 90% em 2009, enquanto estimativas atuais são de 70%. Essa redução, porém, veio com certos custos: a construção de complexos filtros anti-spam, muitas mensagens legítimas classificadas incorretamente e um imenso tráfego indesejado que é recebido por provedores no mundo todo.
O e-mail ainda é uma das principais formas de transmissão de vírus, bem como o ponto de entrada usado por ataques de espionagem. O e-mail, usado como "identidade" na internet, é raramente tratado com essa segurança.
Soluções propostas: Bill Gates, fundador da Microsoft, afirmou em 2004 que o spam acabaria em dois anos, ou seja, até 2006. Ele certamente subestimou o problema. Algumas soluções para identificar remetentes foram propostas, mas elas não foram adotadas por todos os provedores e não resolvem o problema do spam. No Brasil, uma medida foi adotada que impede computadores domésticos infectados de enviar spam. A medida teve sucesso, porém não é usada em muitos países. Provedores também costumam não cortar a conexão de empresas quando estas usam a conexão para enviar milhares ou milhões de e-mails, o que coloca algumas redes brasileiras entre as principais fontes de spam do mundo.
Para a segurança dos endereços de e-mail, provedores passaram a fornecer meios seguros de acesso, como a autenticação de dois fatores.
5. NAT e falta de endereços
O número de endereços da internet é finito. Isso significa que há um limite para o número de computadores que podem estar conectados à rede. Esse problema foi "resolvido" com uma tecnologia chamada NAT, ou Network Address Translation. O NAT compartilha um mesmo IP entre diversos computadores. O problema é que dois computadores não podem ter uma conexão direta caso ambos estejam conectados por meio de NAT.
Softwares que precisam realizar conexões diretas, como aplicativos de voz e vídeo, precisam usar gambiarras para criar "enganar" o NAT, fazendo-o acreditar que uma conexão entre os dois computadores já existe. Isso depende de um servidor intermediário, que nem sempre está disponível, além de obrigar programadores a incluírem essa função em seus softwares, tornando complexo algo que deveria ser bastante simples. Também gera problemas de privacidade, já que um intermediário precisa se envolver em algo que seria uma conexão direta.
Soluções propostas: protocolos como o UPnP e o NAT-PMP foram propostos para permitir que softwares automaticamente configurem sistemas de NAT para viabilizar a conexão direta com outros dispositivos. Muitos roteadores domésticos têm suporte a essas tecnologias, porém uma brecha grave foi divulgada no UPnP no ano passado. A verdadeira solução deve chegar com o IPv6, que aumentará a quantidade de endereços disponíveis. No IPv6 há espaço para que todos os computadores tenham um endereço real na internet, sem necessidade de compartilhamento. O IPv6 foi proposto em 1998. Dados de fevereiro de 2014 apontam que apenas 3% do tráfego do Google tem origem em um sistema conectado por IPv6.
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/conheca-5-coisas-que-estao-erradas-com-internet.html
Nenhum comentário:
Postar um comentário