Infelizmente para todos nós, a segurança e privacidade nos processos que envolvem tecnologias da informação parecem ter a sua evolução dependente dos problemas de segurança que sistematicamente surgem e são explorados por terceiros mal-intencionados.

Esta relação de causa e consequência é uma realidade inegável dentro de portas nas empresas mais ou menos esclarecidas onde investimentos como soluções antí-virus e controlo de mail indesejado (spam) dispararam com a explosão que estes dois fenómenos sofreram nos últimos 2 a 3 anos. Investimentos estes que, não sendo os únicos com este perfil, ocupam hoje uma das posições cimeiras na to-do-list dos directores de IT, para não mencionar o seu impacto orçamental.

No que respeita a serviços web públicos (e.g. um site bancário) tal raciocínio não é tão linear. A introdução de mecanismos de segurança e privacidade transversais à generalidade dos utilizadores de um site web é uma tarefa muito complexa dada a existência de um componente da arquitectura que não está sob controlo da organização - o browser Internet dos clientes.

No entanto, pela pior razão possível, iremos assistir a médio prazo a mais uma (importante) manifestação deste fenómeno de causalidade da desgraça - as relações de confiança entre os browsers e os servidores web terão necessariamente de ser reforçadas bem como os meios como tal relação é identificada e transmitida ao utilizador.

Phishing - a arte da personificação virtual

Segundo o FBI, phishing é o «hottest and most troubling new scam on the Internet».

O problema principal desta prática que descreveremos de seguida é não ser um abuso que explora fragilidades técnicas ou arquitecturais mas sim a «percepção de confiança» dos utilizadores quando confrontados com certo tipo de conteúdos ou informação. Tal tem impactos múltiplos extremamente perigosos para as organizações que sejam alvo de ataques desta natureza.

Como funciona então este esquema, o «scam» mais perigoso do momento?

Basicamente consiste na utilização de uma arte já bastante antiga num novo contexto - «man-in-the-middle» - mas sem os contornos eminentemente técnicos a que se recorre quando se fazem ataques ao nível das comunicações.

De um modo simplista, um utilizador é atraído por um qualquer meio (por exemplo, através de uma mensagem de correio-electrónico) para uma página web falsa (site A", por exemplo http://www.sysualue.com) em tudo graficamente idêntica à do site da SysValue que tipicamente visita (site A, http://www.sysvalue.com).
Aí, por indicação da mensagem mencionada atrás e usando links nela apresentados , o utilizador introduz os seus dados (tipicamente username e password).
No entanto, o site A" é propriedade do atacante que na posse da credencial de acesso a armazena ao mesmo tempo que redirecciona,  autenticando automaticamente, o utilizador para o verdadeiro site A.

O grave neste processo é que quando bem realizada a operação, nem o utilizador nem o verdadeiro site se apercebem do sucedido. Toda a operação é feita transparentemente graças às facilidades de controlo de navegação disponíveis em todos os browsers.

Este ataque é apenas possível porque, salvo situações muito particulares, os utilizadores identificam um site apenas pelo seu look-and-feel e eventualmente pelo URL (o http://www.siteA.com). Quando confrontados com uma página em tudo semelhante à que habitualmente usam e que tem como URL http://www.site-A.com, com enorme probabilidade são induzidos em erro.

Mais grave ainda é a massificação possível deste ataque. Empresas como o Charlotte"s Bank of America, Best Buy e eBay viram milhares dos seus utilizadores serem enganados com esquemas da natureza descrita acima.

A questão premente é como impedir a ocorrência destas situações!

Presentemente tal é quase virtualmente impossível por três razões:

1. o mindset dos utilizadores no que respeita à criteriosa validação da página específica a que acedem não existe excepto em situações muito especiais, tipicamente em utilizadores relativamente atentos e versados nas questões da segurança e privacidade na Internet;

2. são ainda reduzidas as organizações que utilizam os meios tecnológicos adequados para certificar a origem das páginas que disponibilizam aos utilizadores (processo denominado de «assinatura digital» que recorre a certificados digitais tão em voga nos dias de hoje);

3. os próprios browsers não facilitam a tarefa ao apenas identificar os sites «assinados» pela inclusão de um pequeno símbolo (tipicamente um cadeado fechado) na barra de status do browser, barra esta que por própria acção do utilizador pode estar escondida.

O caminho possível é então a criação de uma plataforma de entendimento entre todas as partes envolvidas:

a) os donos dos sites legítimos;

b) os fornecedores dos browsers, plataformas de acesso à Internet e

c) os utilizadores.

Em primeiro lugar, a utilização de certificados digitais pelos sites terá de evoluir para um contexto mais alargado. Hoje em dia são tipicamente usados para efeitos de codifidação dos dados o que nem sempre é uma necessidade real. Num futuro próximo dever-se-á considerar o seu uso para um fim superior que é o de autenticar os sites, uma acção mais leve e simples que a codificação mencionada.

Porém, tal só terá resultados práticos se os browsers promoverem esta acção por parte dos sites. A informação de que o site a que se está a aceder está autenticado deve ser facilmente visível pelo utilizador, em todas as circunstâncias.

Finalmente, o utilizador deve consciencializar-se que o phishing é um problema real e que deve validar a autenticidade das páginas a que acede. Um meio possível para tal é os browsers permitirem aos utilizadores a identificação de quais os sites que devem ser sempre validados. Assim, mesmo que um utilizador seja induzido a aceder ao tal URL http://www.site-A.com e não reparar que é falso, certamente reparará que não surgiu a mensagem de autenticidade que habitualmente observa.

Futuro

Com base no exposto acima, é verosímil esperar que os seguintes eventos ocorram num futuro próximo, com relativo entendimento e simultaneidade:

- a utilização de certificados digitais pelos sites para efeitos de validação de autenticidade explodirá com claro benefício para os grandes players deste mercado (Verisign, Thawte, entre outros);

- os browsers convergirão numa plataforma de entendimento de «user security experience» (ou algo com um nome semelhante) e suportarão e promoverão a validação sistemática e permanente da identidade dos sites acedidos.

Será uma causalidade da desgraça que contribuirá muito para o crescimento da confiança generalizada no negócio on-line e que poderá potenciar o tão esperado crescimento da economia digital.