Os desenvolvedores tendem a não pensar em segurança, diz especialista

Avatar

Por Paula Zogbi

28 de janeiro de 2016 às 13:02 - Atualizado há 5 anos

Logo Black Friday 2020

Nossos melhores Cursos Executivos ou Programas Internacionais com até 50% off

Quero saber mais

Vem aí a melhor formação de líderes do Brasil

Logo Liderança Exponencial Aprenda as novas competências fundamentais para desenvolver uma liderança exponencial e desenvolva diferenciais competitivos para se tornar um profissional de destaque no mercado.

100% online, aulas ao vivo e gravadas

Próxima turma: De 14 a 17/Dez, das 19hs às 22hs

Inscreva-se agora

Em 2020, as pessoas em países desenvolvidos estarão conectadas, em média, com 19 dispositivos – hoje esse número já é de 5 a 6 aparelhos conectados em rede por pessoa. Isso significará, basicamente, 19 maneiras de invadir a privacidade de cada pessoa na terra.

Foi sobre isso a palestra do especialista em segurança nas redes Ricardo Kleber, nesta quarta-feira, na Campus Party Brasil.

“Estamos vivendo o futuro, mas os desenvolvedores precisam aprender com os erros do passado, e isso não está acontecendo”, alerta o palestrante, que afirma que absolutamente tudo depende ou dependerá das redes para funcionar. “A conectividade plena é fato, e não é fechando as portas que a gente vai se defender”, completa.

Internet das coisas

Os dados e previsões não escondem: em 2014, foram investidos mundialmente US$1,9 trilhão em tecnologias para conectar objetos à rede – a chamada Internet das Coisas. Para 2020, espera-se investimentos de US$7,1 trilhões. “Isso é absolutamente desconfortável para o profissional de segurança, mas é um fato”, pondera Ricardo. “Será que isso oferece o mínimo de segurança?”

A resposta imediata é não. “A segurança não evolui no mesmo ritmo que a tecnologia. Eventos como a Black Hat, por exemplo, que recentemente provou vulnerabilidades do NFC, estão aí para provar isso”, completa o palestrante, que também cita o “caso Emmy”, quando hackers invadiram um sistema de babá eletrônica para assustar uma criança de 10 meses de idade.

Responsabilidade do usuário x trabalho das companhias

Procurando pelo termo “IP Cam Troll” no YouTube, é possível encontrar inúmeros casos de câmeras de segurança ou de webcams comuns de computadores invadidas para assustar ou pregar peças em usuários comuns. Qualquer pessoa conectada está sujeita a este tipo de ataque, e isso será ainda mais comum conforme novos objetos, como televisores e eletrodomésticos, estiverem conectados.

As ferramentas de segurança devem ser implementadas, claro, pela fabricante de cada hardware e software. “Performance e segurança são fatores inversamente proporcionais, e é por isso que os desenvolvedores acabam passando por cima disso. Mas é preciso lembrar que gastos com segurança não são gastos, são investimentos”.

Ainda assim, existe uma parte da responsabilidade que deve partir de cada usuário. “Não quero nem saber quem aqui não muda uma senha ao instalar uma nova rede em casa”, teme o palestrante.

Atualmente, o site shodan.io faz o trabalho de assustar os desavisados: trata-se de um mecanismo de busca de dispositivos – domésticos ou até mesmo de grandes empresas e do governo – que possuem qualquer tipo de vulnerabilidade e podem ser hackeados. Qualquer pessoa pode pesquisar por câmeras, redes, eletrônicos ou qualquer outro aparelho com alguma das falhas de segurança de rede mais comuns. O número é assustador – e isso nem está na deep web.

Além da “preguiça” na aplicação de senhas seguras, a maioria dos usuários tende a ignorar avisos de atualização de software. “Sabemos que as ferramentas de segurança devem ser nativas, mas se uma fabricante disponibiliza uma atualização de software para corrigir problemas, o usuário não pode ignorar”, avisa Ricardo. Muitas vezes, é enfadonho – “ninguém quer perder aqueles 15 segundos de luta no UFC para esperar a atualização da smart TV” – mas sempre necessário.

Uso de dados: questão insolúvel

“Não existe almoço de graça”, relembra o especialista. Ao baixar um aplicativo gratuito, por exemplo, o usuário “paga com informações pessoais”, que serão disponibilizadas e utilizadas, principalmente, para fins publicitários. “Esse problema não tem solução”, avisa o palestrante, que deixou recentemente de usar o Facebook.

O máximo que pode ser feito é pesquisar e entender não apenas qual o acesso que cada programa e empresa tem das suas informações pessoais, mas também como elas estão sendo armazenadas. “Se o armazenamento dos seus dados estiver sendo feito de maneira insegura, você automaticamente se torna mais vulnerável”, relembra o palestrante, ao ser questionado sobre o vazamento, no ano passado, de pesquisas anônimas do sistema do Yahoo!.