Boletim  035 : Segurança nas compras "on-line"

Este artigo foi extraído do Portal Modulo.com (Autor : Marcos Machado)

Sites seguros não mentem, omitem !

Um clique cá e outro lá até que surge, como que por encanto, um banner reluzente - aquele CD que você estava aguardando o lançamento fazia o maior tempão ! Mais uns dois ou três cliques e você está com ele na sua sacola de compras, prestes a preencher o formulário do pedido com seus dados pessoais.

Nesse exato momento dá aquele frio na barriga : "Pego minha carteira e digito o número do meu cartão de crédito ?" Bom, não há opção para boleto bancário ou depósito, é preciso decidir agora ! Você, desesperado por uma dica divina, na espera de um sopro do destino que informe o que fazer nessa situação, começa a correr os olhos pelo site. Finalmente encontra uma pepita ! Um verdadeiro oásis no meio daquele deserto de preocupação ... "

Este site é seguro !" - bradam aos quatro cantos todos os bytes daquela loja virtual. Você olha para baixo, vê um cadeado amarelo e respira fundo. Em poucos segundos você dilui toda aquela adrenalina e, calmamente, digita seus dados no formulário, doido para ouvir seu CD novo.

Na fatura seguinte do seu cartão de crédito você constata a compra de uma Ferrari 550 Maranello e algumas garrafas de Remy Martin Louis XIII. Logo abaixo daquele CD de R$20.

O que deu errado ? Muitas coisas podem ter dado errado, mas apenas uma delas pode ter a culpa atribuída a você : excesso de confiança ! Um aviso de que o site é seguro não mente, omite. Clique nestes avisos e você será bombardeado com siglas do tipo SSL, DES, 56, 256, 1024 bits, etc. É difícil para o internauta nosso de cada dia entender o que realmente quer dizer aquele cadeado fechado no rodapé da sua tela.

Vamos, primeiro, identificar o problema para o qual a solução do cadeado foi desenvolvida.

O tráfego da Internet é feito, originalmente, de forma aberta. Não existe codificação criptográfica que impeça outros usuários de captarem o que circula pela Rede. O que o site seguro faz ? Codifica esta informação no momento em que ela sai do seu computador e a mantém assim até chegar ao computador destino - no nosso exemplo, a loja de CDs -, onde, então, estes dados são decodificados para a leitura do receptor. Só isso !

As falhas neste processo são óbvias. Enquanto você digita, os dados trafegam do seu teclado até sua CPU, antes de chegarem ao navegador para serem codificados e enviados. Chegando ao destino, eles são arquivados, já no formato original, em um banco de dados. Fosse você um ser de intuito maligno e conhecimento avançado, que ponto atacaria para conseguir estas informações ? Fácil : as pontas da comunicação. Esqueça o tráfego no meio do caminho, é complicado demais. Na origem e no destino estas informações estão mais acessíveis, e são geralmente nesses locais onde ocorre o furto.

Conseguir esta informação na origem é muito mais fácil. Com a tremenda falta de educação sobre segurança que assola os usuários de computadores, vira e mexe você executa arquivos de programas maliciosos. Não bastasse a grande variedade de vírus a que está sujeito, uma categoria mais assustadora de software está se espalhando : monitoradores de teclado. Com programas deste tipo no seu computador, tudo o que você digita pode ser arquivado e enviado posteriormente para quem implantou tal brecha.

Este ataque, apesar de não exigir muito esforço, traz resultados de forma lenta, já que muito do que se digita na Internet não passa de trivialidades ou dados sem importância. Uma fonte de informação mais valiosa está no destino da comunicação em compras online - o banco de dados da loja ! Este contém dezenas de milhares de informações sobre clientes, inclusive seus valiosos números de cartão de crédito. Claro que a segurança nestes computadores são diversas ordens de grandeza superiores à nossa, mas nem por isso eles têm deixado de ser a principal fonte de roubo de informações.

Não cuidar da segurança nas pontas da comunicação equivale a fazer um saque numa agência bancária, transportar este dinheiro em um carro forte com escolta policial e, ao chegar em casa, colocá-lo embaixo do colchão.

Então não devemos mais fazer compras pela Internet ? Também não é assim ! Os riscos aos quais você está sujeito no mundo virtual são menores do que os riscos na vida de carne e osso, portanto assuma-os ! Assim como você desconfia de um site, deveria desconfiar de um restaurante e vice-versa. Tão arriscado quanto comprar um CD pela Internet é entregar seu cartão a um garçom ou frentista de posto de gasolina que pode cloná-lo em um piscar de led ...

E na ponta de cá ? Ah, da nossa parte não é necessário fazer nada em especial, basta não fazer nada de errado ! Na relação do que podemos fazer de errado (e geralmente fazemos) está :

Executar arquivos recebidos por terceiros.
Baixar e usar programas de sites "não-oficiais".
Deixar para atualizar o anti-vírus amanhã.
Ignorar os avisos e alertas dos programas.

Em várias situações, tanto na Internet quanto fora dela, a segurança não depende exclusivamente do usuário. Muitos outros sistemas estão envolvidos e o cadeado no site seguro é apenas um elo da corrente. Você é um outro elo e seu comportamento define o quão forte ele será. Lembre-se que o nível de segurança de uma corrente é exatamente igual ao nível de segurança do seu elo mais fraco. Faça a sua parte!