ON
Quando Marissa Mayer, presidente-executiva da Yahoo, anunciou
recentemente a maior revisão de segurança da empresa em mais de uma década, ela
não foi exatamente aplaudida de pé.
Os
usuários perguntaram a Mayer por que o Yahoo não estava fazendo mais. Ativistas
da área de privacidade foram mais contundentes.
"Mesmo
após o anúncio de hoje, o Yahoo ainda está muito atrás do Google em segurança
na rede", disse Christopher Soghoian, analista de tecnologia da American
Civil Liberties Union.
Para
grandes empresas da internet, já não é suficiente ter um aplicativo de
smartphone de carregamento rápido ou um serviço legal de mensagens. Na era de
Edward J. Snowden e suas revelações de vigilância em massa por parte do
governo, as empresas estão competindo para mostrar aos usuários como seus dados
estão bem protegidos dos olhares indiscretos, com bilhões de dólares de
receitas ameaçados.
A
Microsoft é a mais recente empresa de tecnologia a anunciar planos para
proteger os seus serviços da vigilância externa. Ela está em acrescentando
recursos de criptografia ultramodernos para vários serviços ao consumidor e,
internamente, em seus centros de dados.
A
medida segue esforços similares do Google, Mozilla, Twitter, Facebook e Yahoo,
no que se tornou efetivamente uma corrida armamentista digital contra a Agência
de Segurança Nacional, como reação das empresas em um "Efeito
Snowden", como alguns têm chamado.
Embora
a segurança tenha surgido há muito tempo como uma preocupação dos usuários,
muitas empresas relutaram em empregar proteções modernas, preocupadas que as
atualizações iriam deixar as conexões mais lentas e adicionariam complexidade
às suas redes.
Mas a
questão entrou em efervescência há seis meses, quando documentos vazados por
Snowden descreveram os esforços da NSA e seus parceiros de inteligência para
espionar milhões de usuários de internet. Mais da metade dos americanos
entrevistados dizem que o programa de vigilância da NSA se intrometeu em seus
direitos de privacidade, de acordo com uma pesquisa do Washington Post-ABC News
realizada em novembro.
As
revelações também balançaram as empresas de internet, que vêm tentando
tranquilizar os clientes, dizendo que estão fazendo tudo o que podem para
proteger seus dados contra espionagem. Há muito tempo elas cumprem ordens da
Justiça para entregar informações, mas ficaram alarmadas com as notícias mais
recentes de que a NSA também estava acessando seus dados sem o seu conhecimento.
"Queremos
garantir que os governos usem processo legal, em vez de usarem a força bruta tecnológica
para obter os dados do cliente -simples assim", disse em entrevista
Bradford L. Smith, conselheiro geral da Microsoft.
Smith
disse que sua empresa também abriria "centros de transparência", onde
os governos estrangeiros poderiam inspecionar o código da empresa, em um
esforço para assegurar-lhes que não há em seus produtos portas traseiras para
as agências de espionagem.
Uma a
uma, as empresas de tecnologia vêm lutando para tampar os buracos de segurança.
A
melhor defesa, dizem os especialistas em segurança, é usar a Transport Layer
Security, um tipo de criptografia que muitos conhecem pelo "https" e
o símbolo do cadeado no início de endereços da Web que usam a tecnologia. Ela
usa uma longa sequência de números -uma chave mestra- que embaralha os dados
importantes, tais como senhas, informações de cartão de crédito, propriedade
intelectual e informações pessoais, trocados entre o usuário e o site, enquanto
estes dados estão em trânsito.
Os
bancos e outros sites financeiros têm usado esse tipo de segurança há anos. O
Google, o Twitter e o serviço de email da Microsoft tornaram-no padrão há muito
tempo. O Facebook adotou o https em todo seu sistema neste ano. E Mayer disse
que o Yahoo iria finalmente permitir aos consumidores que criptografassem todos
os seus dados no Yahoo em janeiro.
Mas,
na medida em que muitos sites adotam o https, os especialistas em segurança
dizem que são necessárias medidas de segurança mais avançadas. Se um governo
conseguir quebrar a chave mestra -ou a obtiver por meio de ordens judiciais-
poderá descriptografar as comunicações de milhões de usuários.
É por
isso que empresas como Google, Mozilla, Facebook e Twitter adicionaram outra
camada de proteção, chamada Perfect Forward Secrecy. Essa tecnologia adiciona
um segundo bloqueio para as transmissões de cada usuário, com uma chave que é
mudada frequentemente. A Microsoft planeja adicionar o método de criptografia
no próximo ano, mas o Yahoo não disse se iria adotá-lo.
"O
Perfect Forward Secrecy envolve um bilhão de senhas diferentes, e não está
protegido por uma senha central", disse Scott Renfro, engenheiro de
software do Facebook que trabalha em infraestrutura de segurança da empresa.
Assim,
mesmo que uma pessoa de fora obtenha a chave mestra, ela ainda terá que quebrar
o código das outras chaves, várias vezes.
"Este
tipo de proteção deveria ter sido projetado em todos os sistemas da web e todos
os sistemas de internet desde o início", disse Jacob Hoffman-Andrews, engenheiro
do Twitter.
A
tecnologia já existe há duas décadas, mas as empresas demoraram a adotá-la
porque adiciona complexidade e introduz um atraso nas transações pela internet,
o que pode incentivar os usuários impacientes a fugirem para sites mais rápidos.
Mas muitas dessas questões foram resolvidas pelo Google quando aplicou o
Perfect Forward Secrecy em 2011, disse Adam Langley, engenheiro de software da
empresa. O Google compartilhou suas melhorias com a comunidade de tecnologia.
Ainda
assim, as soluções técnicas podem ser vencidas pela lei. Enquanto o https e o
Perfect Forward Secrecy protegem a transmissão de dados, as agências de
vigilância e policiamento ainda podem obrigar as empresas a entregarem os dados
de seus servidores, onde são armazenados.
Tradução:
Deborah Weinberg
Fonte: Uol
