Opinião
O sistema imunitário da Internet
Vírus, "phishing" (roubo de identidade através de correio electrónico), "spyware" (programa de computador que recolhe informações sobre o utilizador), "spam" (mensagem electrónica não solicitada enviada em massa)...
Vírus, "phishing" (roubo de identidade através de correio electrónico), "spyware" (programa de computador que recolhe informações sobre o utilizador), "spam" (mensagem electrónica não solicitada enviada em massa), ataques do tipo "denial-of-service" (ataque informático cujo objectivo é impedir que utilizadores normais de um serviço tenham acesso ao mesmo), "botnets" (redes criadas a partir da instalação de códigos maliciosos em computadores desprotegidos)... Provavelmente já ouviu todas estas palavras e talvez até já tenha sofrido as suas consequências, esteja ou não consciente disso.
Gostaria de esquematizar uma solução simples para abordar (não falo de resolver) estes problemas de segurança, em que não sejam necessários acordos entre todos os governos (ou pessoas) sobre aquilo que realmente é crime e que não exija uma força policial mundial ou tratados globais inaplicáveis. Se conseguirmos aumentar a segurança em geral, então os governos poderão focalizar-se nos verdadeiros criminosos.
Uma melhor abordagem consiste em encarar a segurança do computador como uma questão económica e de saúde pública, em que as pessoas podem proteger-se mas devem pagar pelos custos que impõem aos outros. Temos de capacitar as pessoas para poderem defender-se sozinhas de outras; evitar que pessoas inocentes e bem intencionadas sejam infectadas e, consequentemente, afectem outras; e temos de reduzir os incentivos e a capacidade de os mal intencionados poderem provocar danos.
Parecem estar aqui envolvidos muitos problemas diferentes. Mas existem abordagens eficazes para cada um deles, que não exigem que se localize todas as pessoas "online" nem requerem uma identificação para cada interacção que se pretenda. Rastrear as identidades dos utilizadores não nos permitirá apanhar ou travar os piratas informáticos e fará com que a Internet se torne impossível de usar. Não podemos salvar o ciberespaço destruindo a sua liberdade de utilização.
Para implementar uma segurança eficaz, as entidades com melhor preparação para o fazer - os fornecedores de serviços de acesso à Internet (ISP) - devem tomar a dianteira. Estas entidades são, tecnicamente, organizações experientes no plano tecnológico, com capacidade (mais ou menos) para proteger os utilizadores e detectar os abusos; têm um relacionamento directo (ainda que impessoal) com os seus utilizadores; e competem entre si pelos utilizadores, por isso, contrariamente aos governos, serão penalizados se não corresponderem às expectativas.
Os ISP (em vez dos governos) deveriam fornecer uma protecção de base - anti-vírus, "anti-phishing", "anti-spam" e afins - como uma característica habitual no âmbito dos serviços de Internet que prestam ao consumidor. Não é uma coisa difícil de fazer. Existem muitas empresas especializadas em antivírus que competem para oferecer serviços de segurança aos consumidores: cada ISP poderia seleccionar uma dessas empresas, ou propor aos seus clientes uma escolha entre três, por exemplo. A dificuldade está em levar os consumidores a utilizarem essas ferramentas - seria necessária uma campanha de sensibilização, semelhante às campanhas no domínio da saúde pública. O resultado deveria ser algo mais parecido com a prática generalizada de lavar as mãos do que com um tratamento hospitalar de cuidados intensivos.
No que diz respeito ao "spam", os ISP (incluindo os fornecedores de serviços de correio electrónico) poderiam impor um limite aos seus utilizadores de, digamos, 100 "emails" por dia.
Para poderem enviar uma quantidade superior, teriam de pagar pela capacidade adicional ou, pelo menos, pagar uma caução, ou submeter-se a algum teste de conduta. Ao mesmo tempo, todos os ISP deveriam implementar um sistema de autenticação do domínio do utilizador do correio electrónico (existem dois bons padrões, chamados "Domain Keys" e "SPF"). Não se trata de supervisionar o correio electrónico de toda a gente, mas sim evitar que os cibercriminosos infectem os sistemas dos restantes cibernautas.
Os ISP poderiam assim bloquear parcialmente o tráfego dos fornecedores de serviços de acesso à Internet que não participassem no esforço colectivo de segurança informática. Os seus clientes não tardariam a queixar-se, obrigando-os a participar naquele esforço ou a verem-se relegados para o submundo, de onde lhes seria muito difícil lançar ataques porque ninguém acederia ao seu tráfego. E porque os ISP respondem a outros ISP, e não a governos, os dissidentes e os delatores poderiam manter o seu anonimato.
Relativamente ao combate ao "phishing" e a descarregar programas malignos, existe uma série de serviços que rastreiam "websites" nocivos e advertem os clientes para esse tipo de situação.
Os utilizadores podem continuar a ir onde desejam, mas pelo menos têm indicações de que estão a entrar em terreno perigoso. É isso que a Google faz quando apresenta os seus resultados para qualquer pesquisa, trabalhando com a StopBadware.org (onde sou membro do conselho consultivo) e tanto o Mozilla Firefox como o Internet Explorer da Microsoft disponibilizam segurança semelhante. De qualquer das formas, os utilizadores profissionais ou mais aventureiros poderiam contornar essas protecções, mas só pagando uma espécie de seguro de responsabilidade civil pelos riscos que impõem ao sistema.
A ideia é criar incentivos económicos para reduzir o cibercrime. Os verdadeiros criminosos não serão dissuadidos, mas um sistema adequado impedirá pelo menos que os outros cibernautas sejam implicados em ataques ou se tornem vítimas directas destes. O crime compensa menos quando tem menos vítimas.
Existem várias razões para isto ainda não ter sucedido. A primeira tem a ver com a inércia, conjugada com (ou disfarçada de) idealismo - a ideia errónea de que a Internet deveria ser isenta de censura e também de pagamento. No entanto, sustentar uma infra-estrutura que protege as pessoas tem o seu custo.
Com efeito, o custo - tanto para os utilizadores como para os ISP - constitui o segundo obstáculo. Reconhecer os custos (como estamos a fazer agora com a poluição) e reparti-los entre as pessoas que podem assumi-los ou que podem ser obrigadas a fazê-lo é a principal dificuldade. Afinal de contas, aceitamos a ideia de pagar pelas forças de segurança policial e pelos cuidados de saúde, o que inclui não só os hospitais, mas também água potável, alimentos seguros e por aí em diante.
Como fazer, então, para que isto suceda? Os ISP têm de transferir estes custos para os seus clientes. Mas não o farão, porque competem essencialmente em termos de preço. Por isso, os clientes têm de exigir que a segurança faça parte dos serviços que propõem e os ISP têm de virar costas aos seus congéneres que não se adeqúem às regras.
Para as coisas avançarem, os utilizadores poderiam intentar acções em tribunal - não demasiadas! - contra os ISP que toleram os abusos, como aqueles que fornecem serviços - com conhecimento de causa - a piratas informáticos e que se recusam a dar seguimento às queixas, a ponto de a ignorância deixar de ser uma desculpa legítima.
Contudo, os custos dos ISP incluem também as advertências para "websites" duvidosos, o que requer um sistema em boa e devida forma para notificar os proprietários dos "websites" que apresentam perigos em matéria de segurança - para que estes possam repará-los ou tomar consciência de que estiveram expostos. Gerir um sistema com estas características é relativamente dispendioso, mas é mais barato do que os custos de não o ter.
Estas mudanças não criariam uma espécie de sistema nervoso digital com um cérebro centralizado que poderia resolver todos os problemas. Em vez disso, resultariam em algo parecido com um sistema imunitário de ISP concorrentes e serviços de segurança em constante evolução nos planos local e mundial. Estas alterações melhorariam enormemente a segurança informática: os utilizadores sentir-se-iam mais protegidos e os especialistas no combate à criminalidade poderiam concentrar-se nas ameaças mais sérias.
Gostaria de esquematizar uma solução simples para abordar (não falo de resolver) estes problemas de segurança, em que não sejam necessários acordos entre todos os governos (ou pessoas) sobre aquilo que realmente é crime e que não exija uma força policial mundial ou tratados globais inaplicáveis. Se conseguirmos aumentar a segurança em geral, então os governos poderão focalizar-se nos verdadeiros criminosos.
Parecem estar aqui envolvidos muitos problemas diferentes. Mas existem abordagens eficazes para cada um deles, que não exigem que se localize todas as pessoas "online" nem requerem uma identificação para cada interacção que se pretenda. Rastrear as identidades dos utilizadores não nos permitirá apanhar ou travar os piratas informáticos e fará com que a Internet se torne impossível de usar. Não podemos salvar o ciberespaço destruindo a sua liberdade de utilização.
Para implementar uma segurança eficaz, as entidades com melhor preparação para o fazer - os fornecedores de serviços de acesso à Internet (ISP) - devem tomar a dianteira. Estas entidades são, tecnicamente, organizações experientes no plano tecnológico, com capacidade (mais ou menos) para proteger os utilizadores e detectar os abusos; têm um relacionamento directo (ainda que impessoal) com os seus utilizadores; e competem entre si pelos utilizadores, por isso, contrariamente aos governos, serão penalizados se não corresponderem às expectativas.
Os ISP (em vez dos governos) deveriam fornecer uma protecção de base - anti-vírus, "anti-phishing", "anti-spam" e afins - como uma característica habitual no âmbito dos serviços de Internet que prestam ao consumidor. Não é uma coisa difícil de fazer. Existem muitas empresas especializadas em antivírus que competem para oferecer serviços de segurança aos consumidores: cada ISP poderia seleccionar uma dessas empresas, ou propor aos seus clientes uma escolha entre três, por exemplo. A dificuldade está em levar os consumidores a utilizarem essas ferramentas - seria necessária uma campanha de sensibilização, semelhante às campanhas no domínio da saúde pública. O resultado deveria ser algo mais parecido com a prática generalizada de lavar as mãos do que com um tratamento hospitalar de cuidados intensivos.
No que diz respeito ao "spam", os ISP (incluindo os fornecedores de serviços de correio electrónico) poderiam impor um limite aos seus utilizadores de, digamos, 100 "emails" por dia.
Para poderem enviar uma quantidade superior, teriam de pagar pela capacidade adicional ou, pelo menos, pagar uma caução, ou submeter-se a algum teste de conduta. Ao mesmo tempo, todos os ISP deveriam implementar um sistema de autenticação do domínio do utilizador do correio electrónico (existem dois bons padrões, chamados "Domain Keys" e "SPF"). Não se trata de supervisionar o correio electrónico de toda a gente, mas sim evitar que os cibercriminosos infectem os sistemas dos restantes cibernautas.
Os ISP poderiam assim bloquear parcialmente o tráfego dos fornecedores de serviços de acesso à Internet que não participassem no esforço colectivo de segurança informática. Os seus clientes não tardariam a queixar-se, obrigando-os a participar naquele esforço ou a verem-se relegados para o submundo, de onde lhes seria muito difícil lançar ataques porque ninguém acederia ao seu tráfego. E porque os ISP respondem a outros ISP, e não a governos, os dissidentes e os delatores poderiam manter o seu anonimato.
Relativamente ao combate ao "phishing" e a descarregar programas malignos, existe uma série de serviços que rastreiam "websites" nocivos e advertem os clientes para esse tipo de situação.
Os utilizadores podem continuar a ir onde desejam, mas pelo menos têm indicações de que estão a entrar em terreno perigoso. É isso que a Google faz quando apresenta os seus resultados para qualquer pesquisa, trabalhando com a StopBadware.org (onde sou membro do conselho consultivo) e tanto o Mozilla Firefox como o Internet Explorer da Microsoft disponibilizam segurança semelhante. De qualquer das formas, os utilizadores profissionais ou mais aventureiros poderiam contornar essas protecções, mas só pagando uma espécie de seguro de responsabilidade civil pelos riscos que impõem ao sistema.
A ideia é criar incentivos económicos para reduzir o cibercrime. Os verdadeiros criminosos não serão dissuadidos, mas um sistema adequado impedirá pelo menos que os outros cibernautas sejam implicados em ataques ou se tornem vítimas directas destes. O crime compensa menos quando tem menos vítimas.
Existem várias razões para isto ainda não ter sucedido. A primeira tem a ver com a inércia, conjugada com (ou disfarçada de) idealismo - a ideia errónea de que a Internet deveria ser isenta de censura e também de pagamento. No entanto, sustentar uma infra-estrutura que protege as pessoas tem o seu custo.
Com efeito, o custo - tanto para os utilizadores como para os ISP - constitui o segundo obstáculo. Reconhecer os custos (como estamos a fazer agora com a poluição) e reparti-los entre as pessoas que podem assumi-los ou que podem ser obrigadas a fazê-lo é a principal dificuldade. Afinal de contas, aceitamos a ideia de pagar pelas forças de segurança policial e pelos cuidados de saúde, o que inclui não só os hospitais, mas também água potável, alimentos seguros e por aí em diante.
Como fazer, então, para que isto suceda? Os ISP têm de transferir estes custos para os seus clientes. Mas não o farão, porque competem essencialmente em termos de preço. Por isso, os clientes têm de exigir que a segurança faça parte dos serviços que propõem e os ISP têm de virar costas aos seus congéneres que não se adeqúem às regras.
Para as coisas avançarem, os utilizadores poderiam intentar acções em tribunal - não demasiadas! - contra os ISP que toleram os abusos, como aqueles que fornecem serviços - com conhecimento de causa - a piratas informáticos e que se recusam a dar seguimento às queixas, a ponto de a ignorância deixar de ser uma desculpa legítima.
Contudo, os custos dos ISP incluem também as advertências para "websites" duvidosos, o que requer um sistema em boa e devida forma para notificar os proprietários dos "websites" que apresentam perigos em matéria de segurança - para que estes possam repará-los ou tomar consciência de que estiveram expostos. Gerir um sistema com estas características é relativamente dispendioso, mas é mais barato do que os custos de não o ter.
Estas mudanças não criariam uma espécie de sistema nervoso digital com um cérebro centralizado que poderia resolver todos os problemas. Em vez disso, resultariam em algo parecido com um sistema imunitário de ISP concorrentes e serviços de segurança em constante evolução nos planos local e mundial. Estas alterações melhorariam enormemente a segurança informática: os utilizadores sentir-se-iam mais protegidos e os especialistas no combate à criminalidade poderiam concentrar-se nas ameaças mais sérias.
Mais artigos do Autor
"Occupy" o Governo
29.12.2011
O factor Steve Jobs
10.10.2011
Para a Rússia, com meios sociais
01.06.2010
Ligar o luto
11.03.2010
A Google que pode dizer não
22.02.2010