Recentemente, uma falha de segurança em uma grande rede social na web expôs dados sigilosos de milhões de usuários. Este fato levantou mais preocupação sobre como os dados do usuário estão seguros dentro da nuvem. Dia após dia, somos convidados a participar de serviços úteis disponíveis através da internet, serviços que tornam a nossa vida mais eficiente, interligada e próxima de nossos interesses. Mas a que custo? A maioria destes serviços são gratuitos. Então, parece que não há dinheiro que flui de nossos bolsos, porque não estamos dando dinheiro de fato, em vez disso, estamos oferecendo um novo tipo de moeda: A nossa identidade digital.
Para as mais importantes empresas de internet a nossa identidade digital é o novo pote de ouro. É através da nossa identidade que é possível vender anúncios e qualquer tipo de produto e serviços. Portanto, a nossa identidade está diretamente ligada com o lucro dessas empresas. Mas você acha que, se a nossa identidade é tão valiosa para uma empresa, também não é valiosa para um criminoso?
Por essa razão há tantos fraudadores fazendo o rastreamento de todo tipo de site de redes sociais (que se baseiam na correlação e armazenamento de inúmeros dados de pessoas) tentando encontrar uma falha para coletar dados do usuário. Porém, por que é tão difícil para estes sites manterem as informações seguras?
- Permissões em cascata;
- Desenvolvimento contínuo;
- A falta de um tipo de dados de segurança;
- Falta de identificação do dispositivo.
Permissões em cascata:
Basicamente, as permissões em cascata ocorrem quando uma autorização dada a uma única conexão (por exemplo, um amigo em uma rede) também é dada a todas as conexões de suas conexões (por exemplo, amigos de amigos). Esta situação pode ser alcançada como um recurso do sistema ou a lógica de recurso não desejada.
Desenvolvimento contínuo:
Sistemas de redes sociais estão sempre evoluindo. Como um organismo, estes sistemas permitem que periodicamente aparecam novos recursos, bem como, as características ultrapassadas e inúteis, podem ser desativadas, ao longo do tempo. Esse tipo de comportamento é sustentado por um grande esforço de desenvolvimento contínuo. Muitas vezes, os recursos que não deveriam mais existir aparecerão sob certas condićões. Especialmente em redes com alto nível de adoção de usuário e maciças novas adesões, a garantia de qualidade, para evitar este tipo de problema, é ainda mais difícil.
A falta de um tipo de dados de segurança:
Será que você se pergunta, como os nossos dados de identidade são armazenados dentro das bases de dados dos sistemas de redes sociais? Será que os donos desses sites explicam para seus usuários como os dados de identidade estão armazenados? É difícil responder a essas perguntas. O que nós sabemos como um senso comum é que nossas senhas são armazenadas como hashes. Mas, há algum tipo de criptografia de nossas imagens, mensagens etc? Existe algum tipo de tipo de dados, como XML, cuja a consulta só pode ser feita através da aplicação de PKI? Na verdade, o que acontece hoje é: O usuário aceita os termos de como funciona a rede social da qual participa, sem qualquer tipo de garantia de que seus dados não vão vazar. Infelizmente, não existe um padrão aberto ou ontologia que poderia governar, como um conjunto de dados pessoais podem ser armazenados e distribuídos.
Falta de identificação do dispositivo:
Como seres humanos, todos podem escolher qual é o lugar preferido para fazer alguma coisa. Um lugar preferido para falar, ouvir, ler, escrever, ver e ser visto. Além disso, todos devem ter a liberdade de escolher qual ferramenta a ser usada para falar, ouvir, ler, escrever, ver e ser visto. No entanto, os computadores não oferecem essa opção. Teoricamente, cada computador pode ser utilizado para realizar quaisquer operações pessoais e transações de quem quer que seja. Por padrão, não há limites que evitem algumas transações de serem feitas em certos computadores. Se esta realidade fosse diferente, poderíamos atribuir máquinas específicas a serem autorizadas a fazer tarefas específicas. Como atualizar ou perfil de usuário ou fazer alterações de senha, leitura de documentos ou transações de dinheiro.
Na verdade a falha de segurança que levou à exposição os dados de usuários desta rede social foi o conjunto dos quatro itens já descritos. Uma lógica que não era esperada, manteve-se ativa, devido a um erro que não foi identificado em nenhum processo de qualidade, em parte porque um desenvolvimento contínuo aumenta significativamente a quantidade de testes de qualidade a serem feitos. Além disso, como os dados do usuário são armazenados com tipos de dados comums, sem qualquer tipo de processo de criptografia (sob o qual o usuário possa optar), qualquer ocorrência de vazamento de dados, resulta em uma total visibilidade de informações privadas. Além disso, para tal sistema de rede social, que sofreu tal falha, qualquer computador é capaz de mostrar quaisquer dados de qualquer um. Não há nenhum processo de certificação que poderia impedir que um conjunto de dados específicos a fossem exibidos em um computador não certificado.
Neste ponto, é possível apresentar o Intel IPT (Identity Protection Technology). Uma tecnologia embarcada no interior dos processadores Intel Core, que implementa o algoritmo EPID (Enhanced Privacy ID), que se destina a autenticação de dispositivo (através do conceito de “direct anonymous attestation”). Em outras palavras, o IPT pode ser utilizado para fazer uma comprovação de que um computador é seguro e que pode ser usado para manipular certos tipos de dados por certos tipos de aplicações. Mas, por outro lado, mesmo com essa tecnologia disponível, apenas parceiros confiáveis da Intel têm o direito de desenvolver sistemas de segurança que se utilizam do IPT. Na verdade, em 25 de fevereiro de 2013, na RSA Conference realizada em San Francisco, a InfoSERVER / TIX11 foi a primeira empresa no mundo a oferecer uma solução completa que protegem autenticação e transações pela web, de sites e sistemas como redes sociais. De fato, dois sites totalmente funcionais foram demonstrados dentro estande da Intel no mesmo evento. Nessa ocasião, alguns dados de usuários foram exibidos apenas em Ultrabooks certificados, enquanto em computadores não certificados os mesmos dados não puderam ser mostrados. Este tipo de abordagem poderia ter impedido o uso mal-intencionado dos dados de usuários vazados por tal falha de segurança, bem como o próprio vazamento.
图标图像:
