Desfavor da semana: Heartbleed

ds-heartbleed

Diversas companhias de tecnologia estão pedindo que usuários troquem suas senhas, após a descoberta de um grave problema de segurança. A recomendação se dá após notícias de que o OpenSSL, produto usado para garantir a segurança de dados, teria sido usado para permitir espionagem. FONTE

Insegurança, desinformação e uma boa dose de realidade sobre o que é a internet. Desfavor da semana.

SOMIR

Sim, eu escolhi o tema. A semana tem sempre vários desfavores, mas esse permite que eu diga algo que estou pensando faz tempo mas nunca tive a oportunidade de colocar no papel: essa gentalha das redes sociais vai acabar estragando a internet. Ok, eu já disse isso várias vezes… mas nunca pelo prisma de que a redução do Q.I. médio do internauta ainda vai deixar toda a rede menos livre e confiável.

Elitismo nerd? Nem tanto. Para boa parte de vocês eu devo mesmo soar como alguém muito entendido nessa coisa de toda de computadores e redes, mas isso é só comparação entre um entusiasta e um usuário. Não é só porque uma pessoa gosta muito de aviões que você vai colocá-la para pilotar um, certo? A elite nerd de verdade fez e ainda faz toda essa rede funcionar, escrevendo linhas e mais linhas de código indecifrável para nós leigos e principalmente: pensando na parte menos glamurosa da coisa.

Os engenheiros dessa estrada pela qual dirigimos todos os dias não estão pensando apenas em como deixá-la mais bonita ou mesmo em colocar mais pedágios no caminho: eles se importam com o estado do asfalto e sinalização funcional. Pensam em formas mais práticas e inteligentes de fazer a internet servir seu propósito de comunicação. Desenvolvem protocolos de segurança que resolvem operações extremamente complexas em milésimos de segundo! Muitas delas só pelo prazer de contribuir com o projeto.

Várias das soluções que usamos hoje em dia para nos refestelar com besteiras na internet nasceram de iniciativas de programadores dedicados à causa de fazer a internet funcionar. Não de arrancar mais algum trocado de qualquer babaca com um celular na mão e nenhuma ideia na cabeça. Open SSL, o pivô da crise de segurança que ganhou até nome brega à lá operação da PF (Heartbleed), é só mais um de tantos projetos abertos que fazem parte integrante da estrutura da internet.

Quase três milhões de “sites seguros” do mundo usavam a solução de criptografia OpenSSL assim que a falha na segurança foi comunicada para a sempre sensacionalista imprensa internacional. Criptografia nesse caso específico significa embaralhar os dados que saem de um computador para outro, de forma que só os “olhos certos” possam decifrá-los (lembrando que sites são, no final das contas, computadores). Pode-se imaginar quantas informações sigilosas passam por esse sistema todos os dias, não? O drama todo sobre trocar as senhas é justamente porque senha é o tipo da informação que costuma passar criptografada de um lado para o outro da Web.

A falha permite (permitia, já que já saiu a correção e a maioria dos sites que usavam o OpenSSL já estão com a versão nova e protegida) que curiosos mal intencionados captem essas informações sigilosas no meio do caminho. Trocando sua senha (num servidor que já está com a correção) você evita a CHANCE da antiga ser usada para acessar seus dados. Chance. As pessoas sempre se acham importantes o suficiente para achar que serão alvos desses ataques, a verdade é que gente BOA mesmo nessa coisa de hackear não dá a mínima para a vida chata do cidadão médio. Há muito dinheiro a ser ganho achando brechas de segurança, muito menos usando-as.

Não que a falha tenha sido pouca coisa, mas precisa ser “escolhido” para sofrer com ela. Nem todos os sites usam o OpenSSL, e existem outras formas de proteção no meio do caminho dos invasores. Provavelmente não vai acontecer nada de mais com você. Até porque se tivesse algo muito grande para acontecer com essa falha, já aconteceu. Ela estava no código lançado em 2012! Certeza que já tinha gente sabendo dela faz muito mais tempo, mas esse tipo de buraco na proteção é bem mais útil quando você é um dos poucos que o conhece. Aposto, e aposto sem medo que uma NSA da vida já sabia dessa falha e estava usando.

Não existe segurança total na internet. As falhas em qualquer sistema são corrigidas só quando quem descobre resolve abrir o bico. Com certeza existem mais… E não é um argumento sobre escolher se esconder por causa dos riscos, você não pode deixar de sair de casa porque alguém pode te assaltar. Mas ajuda bastante não andar por aí com um maço de notas abanando! Em última instância sua segurança na internet depende de como você se porta, de como protege suas informações e de como lida com o conceito de liberdade na rede.

O que me faz voltar para a ideia dos primeiros parágrafos: pessoas cada vez menos interessadas em privacidade somado à valorização excessiva de programação voltada para entretenimento podem gerar uma crise de confiança séria na rede mundial de computadores. Por que o cidadão vai passar meses desenvolvendo um protocolo de segurança se pode ganhar muito mais em muito menos tempo desenvolvendo redes sociais e frivolidades relacionadas? O nerd virou figura popular, e cada vez mais age de acordo. Não é mais medida de talento ou dedicação, é moda.

Mentes que poderiam ser incentivadas a achar esse tipo de falha de segurança mais cedo estão cedendo cada vez mais rápido ao apelo desesperado por tranqueiras virtuais dessa grande massa trazida pelas redes sociais. E com gente cada vez mais disposta a compartilhar TUDO com os outros, qual a motivação de proteger a informação? E quando a crise de confiança se instalar… o povo vai pedir socorro para quem?

Os suspeitos de sempre: concentração cada vez maiores de poder nas grandes corporações cujo objetivo real é lucrar. Me amarro num lucro, mas a corrida desesperada por ele pode levar a construirmos prédios com areia da praia! A internet que permitiu toda essa explosão de popularidade foi construída a duras penas por idealistas apaixonados pelo seu trabalho. Perceberam que desde a bolha das pontocom os avanços da internet parecem cada vez mais cosméticos do que técnicos?

Bug com logo e nome pop não é um bom sinal.

Para dizer que esperava mais do nerd, para reclamar que eu não te acalmei sobre o problema, ou mesmo para reclamar que eu não te assustei sobre o problema: somir@desfavor.com

SALLY

Deu merda na internet! Só falando assim mesmo… Uma grande falha de segurança foi “descoberta” e deixou exposta a fragilidade do conceito de confidencialidade na internet. E não foi apenas a falha o que chamou a atenção, mas também a forma como lidaram com ela: faltou ética e transparência. A reação do brasileiro médio? Trocar as senhas e continuar evadindo sua privacidade na internet.

Somir já deve ter explicado a parte técnica, então, me resta a parte da indignação. Fato: não há confidencialidade na internet. Anos atrás tudo dependia do cuidado que você tomava, hoje independe de postura, não há privacidade na internet. E ainda assim, em diversos momentos somos OBRIGADOS a usar a internet e expor informações confidenciais. Existem pagamentos que só podem ser feitos online, existem compras que só podem ser feita online, existem até inscrições para concursos e cursos que só podem ser feitos online. Ou seja, nos tornamos dependentes da internet antes de conseguir transformá-la em um local realmente seguro. Que merda, hein? Mas mais merda do que isso é não ter consciência disso!

Qualquer cabeça pensante sabe que informações pessoais comprometedoras JAMAIS devem ser tratadas na internet: e-mail, Twitter, Facebook, Orkut… pouco importa quantas senhas sejam necessárias, pouco importa o quanto te digam que é seguro. Não é seguro e você corre o risco de ver sua vida pessoal devassada. Até aí não há novidade, é uma coisa que sempre recomendamos e seguimos. O problema é que agora está comprovado que NADA na internet é seguro, nem mesmo uma transação bancária. Diante disso o prudente a fazer seria não usar a internet para nada: compras, declaração de imposto de renda, acessar conta bancária… NADA. Podemos fazer isso? Não. Tem coisas que só podem ser feitas pela internet. Conclusão: temos que viver com a faca no pescoço, com a constante possibilidade de ter nossa vida devassada.

Para piorar o panorama, teve muita canalhice no decorrer desse evento. Sabia-se faz tempo dessa “falha de segurança”. Ela foi tolerada e provavelmente criada e explorada para facilitar espionagem. Mesmo depois do erro notoriamente constatado, apenas um seleto grupo foi avisado (olha o bullying com o Yahoo, que foi deixado de fora!). Ou seja, aquela ideia de internet como uma abstração, como algo sem dono, algo de todos, é ilusória. Existe sim um grupo que decide, que vigia, que dá as cartas e hoje ele se chama Google. E esse grupinho se mostrou totalmente sem caráter pela forma como lidou com essa falha de segurança. Uma ferramenta poderosa nas mãos de canalhas e nós obrigatoriamente acorrentados a ela. Sensacional.

Alguém está se incomodando? Não parece. O Brasileiro Médio abriu seu perfil no “Fêice”, viu que seu selfie com parede mofada no fundo ainda está lá, que suas fotos de biquíni na laje continuam no seu álbum, que suas brilhantes citações de auto-elogio estão intactas, respirou aliviado, trocou a senha e vida que segue. Não houve um dano concreto? Então tá tudo bem, afinal, animais não conseguem mensurar dano abstrato. Parar para pensar no que isso representa é ser “chato”, pessoas legais só se preocupam com o problema quando o problema efetivamente implode suas vidas.

Hoje eu vejo a internet com um efeito semelhante ao Big Brother Brasil: quando a pessoa entra SABE que não vai ter privacidade em momento algum, mas depois de algum tempo de confinamento, esquece isso e começa a se exceder. Com a diferença que o BBB dura três meses a internet vai durar o resto de nossas vidas, ou seja, o nível de exposição é maior e vai ficando cada vez maior. Como o brasileróide (brasileiro + imbecilóide, sendo imbecilóide = imbecil + mongolóide) é incapaz de perceber consequências negativas enquanto a merda não desgraça sua vida, as pessoas continuarão arrombando suas vidas na internet e, infelizmente, arrombando a vida de terceiros.

Enquanto não sentirem um prejuízo concreto, as pessoas continuarão incapazes de avaliar o prejuízo abstrato. Com isso, convencidas de que o risco não existe ou simplesmente abstraindo-o, continuarão evadindo sua privacidade e a de terceiros. Ou seja, além de sermos obrigados a usar a internet para diversas operações, também estamos sujeitos a esse bando de macacos com uma navalha que acabam nos expondo por pura inconsequência. Uma foto de confraternização na empresa, uma informação que escorrega em uma comunidade ou fórum de discussão, um mero comentário. Isso pode bastar para implodira a vida de um terceiro. Não podemos controlar o que aquela tia inconveniente ou amiga sem-noção fala sobre a gente na internet.

A verdade é que os raros casos de pessoas que conseguem manter sua privacidade hoje contam com muita sorte. Palavra de quem se esconde com todas as forças faz cinco anos. Cinco anos atrás era mérito seu conseguir ficar anônimo, hoje é sorte, porque mesmo fazendo tudo certo, a situação está tão caótica que é quase impossível controlar tudo e todos e se manter discreto. Conhecer o risco e assumi-lo não tem nada de errado, o grande problema são aqueles que se engam e pensam que nunca serão prejudicados pela internet. Esses são os que mais se ferram.

Sua conta bancária não está segura. Seu cartão de crédito não está seguro. Seus e-mails podem ser lidos por qualquer pessoa que saiba explorar essa ou qualquer falha de segurança, não apenas pela CIA, mas por qualquer Zé Ruela curioso e autodidata que tenha habilidade. E tem gente que o faz por dinheiro: espiões virtuais. Exemplo: eu não gosto de Fulana. Eu pago a alguém para ver todos os e-mails da Fulana e a pessoa me entrega tudo que ela já enviou e recebeu em um CD. Sim, isso acontece em menor escala, portanto nada de achar que você não é um alvo em potencial só porque não tem relevância mundial. Como qualquer coisa, se render dinheiro, brasileiro começa a fazer em larga escala. E como essa, muitas falhas de segurança virão, afinal, elas são necessárias para controle social.

Enquanto não perderem a esposa/marido, o emprego, a guarda dos filhos, a dignidade, o brasileiro médio não vai se conscientizar do risco que corre no uso da internet. Não se fala nada que não possa ser de domínio público por QUALQUER ferramenta da internet, por mais desimportante que você seja, porque sempre tem alguém que desgosta de você, que quer seu cargo, que quer seu marido. Mas não adianta falar, o brasileiro médio vai me chamar de paranoica e “entregar nas mãos de Deus”, como se, caso Deus existisse, não tivesse mais o que fazer do que proteger o Twitter da pessoa.

Mas o grande desfavor é ser obrigado a usar a internet cada vez mais, mesmo sendo mais do que claro que não é seguro. Vamos ter que nos conformar em viver em um mundo onde a privacidade não existe? Toda a velocidade na comunicação não serve para nada, pois se queremos falar algo realmente em particular com alguém, continua sendo necessário o olho no olho.

Para dizer que quer mais é que divulguem todas as informações sobre você para ter seus cinco minutos de fama, para dizer que não vai sofrer evasão de privacidade porque você se encarregou que não sobre mais nada para evadir, ou ainda para torcer secreta e mesquinhamente para que nossos nomes e nossas caras vazem, mesmo desgraçando as nossas vidas, por pura curiosidade: sally@desfavor.com

Se você encontrou algum erro na postagem, selecione o pedaço e digite Ctrl+Enter para nos avisar.

Comments (34)

  • Ge

    Responder

    Uma coisa a se pensar: para além da problemática sobre a falta de privacidade, e para além de pessoas burras e/ou despreocupadas por isso de um lado, e pessoas alertando para os perigos de outro; parece que sempre haverá essa relação entre “grandões” X “submissos”, não? Quero dizer: sempre haverá gente burra que não liga pra isso, e gente que espiona pra valer e sabe tudo sobre ti, não adianta. Há como se precaver daqui ou dali, mas a questão também é o “querer” né?

    Off: Sally, é muito amor quando tu tem que mover um processo nas pequenas causas contra tua operadora de internet por não prestar os devidos “serviços” né? tsc tsc

    • Sally

      Responder

      “Muito amor” é quando um processo de juizado especial, que deveria se resolver em poucos meses, marca uma primeira audiência PARA O ANO SEGUINTE. Ainda bem que esse mundo não me pertence mais!

  • Brunno

    Responder

    A internet é apenas “o meio”.
    Assim como alguém pode “roubar fisicamente” o número do seu CPF, pode fazê-lo através de falhas na internet.

    Somir, parabéns por um dos melhores textos sobre o assunto!

  • GCFF

    Responder

    Recebi um email falando sobre esse tal heartbleed, e imaginei se encontraria informações sobre isso aqui no Desfavor. Acertei em cheio. Vocês já são minha principal fonte de informação, e a melhor, porque além de explicarem muito bem sobre qualquer assunto, aqui encontro informações que não são corrompidas por interesses externos. Meus sinceros cumprimentos ao excelente trabalho de vocês! Minha faculdade também usa o Facebook para informar os alunos, e os alunos usam para postar e receber material de estudo. Então, querendo ou não, somos obrigados a ter um perfil nessa rede social. Eu bloqueio o meu, para que ninguém possa ver algo no meu perfil. Mas não me iludo, sei que apenas isso não garante privacidade. Até pessoalmente tenho evitado comentar algum acontecimento da minha vida, pois já passei pela triste experiência de descobrir que pessoas em que confiava falavam de mim pelas costas. Você aprende a se resguardar, e percebe que quanto mais faz isso, melhor sua vida segue e maiores são as chances de seus planos darem certo.
    Eu achava ques “status” de relacionamento em Facebook era uma mera formalidade, mas vi que BM leva isso a sério ao ver uma BM dizer que seu relacionamento era “de verdade” por causa do status e por ter fotos do relacionamento no face. E algum tempo depois, quando o relacionamento acabou, a BM em questão ficou dizendo que só podia ser porque fizeram macumba. Validam uma coisa só porque foi escancarado em rede social. E culpam o sobrenatural quando a coisa dá errado. Por isso, não se engane, Sally: mesmo que a evasão de privacidade prejudique um BM, ainda assim ele vai dar um jeito de botar a culpa em alguém, mesmo que esteja sofrendo as consequências dos próprios atos. É mais fácil do que rever as próprias atitudes, e procurar aprender com elas.

    • Sally

      Responder

      Certamente, a culpa nunca é do BM, é de fatores externos. A merda é que estamos sendo sugados contra nossa vontade para essa favela cibernética que são as redes sociais. Um absurdo só disponibilizar informações e recursos por lá…

    • Floco

      Responder

      E o pior é que você pode bloquear o perfil pra outras pessoas, mas as redes sociais têm um banco de dados com suas informações todas.. Viu o caso do estudante que processou o facebook porque tinha pedido uma cópia com as informações do perfil durante o tempo que utilizou, veio tudo separado em CATEGORIAS e inclusive coisas que ele excluiu mas apareciam lá!

      https://www.youtube.com/watch?v=ObbiBeXevkE

      A coisa que eu mais me arrependo foi de ter feito um facebook há anos atrás.. Porque agora mesmo eu tendo desativado o perfil, alguns dados ainda estão lá. Não importa se você não coloca, um monte de gente faz questão de te marcar em coisas que facilitam o trabalho de descobrir.

      • Sally

        Responder

        Floco, atualmente não fazer um facebook também custa caríssimo, muitas vezes custa inclusive uma oportunidade de emprego. Todo mundo se arrepende: quem faz por ter a privacidade evadida e quem não faz por perder oportunidade de emprego e outras informações valiosas que infelizmente hoje em dia só são disponibilizadas lá

  • Hikaru

    Responder

    Nem me fale sobre “escravidão da internet e redes sociais”, este ano eu tive que criar uma conta no Facebook só porque os meus professores decidiram postar as apostilas e materiais de estudo num grupo de alunos e professores feito lá, mesmo que o colégio tenha site próprio e um espaço para eles se cadastrarem e postar os materiais para baixarmos; era só o aluno fazer login, clicar no ano em que está e estava lá, tudo bonitinho, os arquivos separados por matéria e bimestre.
    E além do mais, os “zueros” ficam postando coisas humorísticas nada a ver e desfocando do propósito do maldito grupo. E pior: Há um ou dois professores que curtem o que essas criaturas postam.

    Quando me perguntam se eu tenho redes sociais e eu digo que não, me olham como se eu fosse um alienígena ‘-‘
    Não vejo graça nessas merdas…

    • Sally

      Responder

      Infelizmente rede social está sim virando coisa obrigatória. Muito nojento isso.

      Mas pelo que tenho ouvido, o Facebook subiu no telhado, a bola da vez é o Instagram, que acaba sendo mais útil para evadir privacidade.

  • anonimo

    Responder

    Eu não tenho cartão de crédito porque dão limite baixo e anuidade alta, mas movimento minha conta corrente pela web, será que é perigoso?

  • ivo

    Responder

    Tenho saudades de quando ainda podia ser discreto, ter privacidade. Pois hoje, apartir do momento em que sua imagem ou informações vazam na rede…É algo meio permanente, irreversível.

  • Leona

    Responder

    O ruim é que as empresas acham que usar a internet é conveniente para todo mundo. Eu não gosto de olhar extrato de conta na internet, acabo esquecendo. Prefiro receber pelo correio, mas tem banco dizendo que está “protegendo a natureza” como desculpa para não mandar.

    • Sally

      Responder

      Cada vez mais coisas ficam vinculadas à internet. Não dá mais para fugir. Já já eu boto uma foto minha aqui, porque é questão de tempo até vazar, assim pelo menos será pelas minhas mãos…

    • Ingmar

      Responder

      O banco do qual sou correntista me deu a opção “ecológica” de não receber mais extrato. Houve um erro no extrato virtual, pedi a correção. Não corrigiram e ainda voltaram a enviá-lo por correio. Comecei a receber novamente mensagens sugerindo o “sem papel”. Cancelei o recebimento por correio novamente. Passados três meses, comecei a receber o extrato impresso mais uma vez. E de novo a sugestão do “sem papel”…
      Se não desse tanto trabalho e os outros bancos não fossem ruins também, cancelaria a conta.

  • Priscila

    Responder

    A última frase do texto da Sally resume bem o que eu pensei…
    E, realmente. Eu não vi grande repercussão disso aqui no Brasil. Embora eu não leia a mídia internacional por falta de um bom inglês, vi uma ou duas referências a esse problema por aqui e foi beem por cima. Eu queria ler algo mais técnico da mídia, uma explicação consistente, não apenas um “falha no sistema de segurança”. Vão à merda.

    • Sally

      Responder

      No resto do mundo está sendo tratado como algo muito grave. Um especialista em segurança foi consultado para dizer o quanto achava isso grave e disse que em uma escala de zero a dez era ONZE de grave

  • Rosemblach

    Responder

    Então é isso?
    Recebi várias solicitações de atualização de versões de software, principalmente de P2P , (sim tem gente que ainda usa) ,justamente pelo heartbleed .
    Também algumas atualizações de modulo de segurança de banco.

    Agora que eu entendi o porque.

  • Fernando

    Responder

    Sabe o que mais me impressionou nessa história? A enorme diferença de repercussão entre a imprensa mundial e a nacional. Aqui parece que não aconteceu nada. Lá fora parece que o mundo vai acabar. Sempre tive a impressão de que o Brasil não faz parte do mundo ocidental moderno, e isso só se confirma a cada ano que passa.

    • Sally

      Responder

      Pois é, Fernando. Lá fora as pessoas COMPREENDEM quão grave é o que aconteceu, pois além de terem mais cultura e subsídios mentais, não vivem apenas preocupadas com seu umbigo e seus selfies. Brasileiro é um povo burro e egoísta.

    • Mark Bestial

      Responder

      A diferença é o foco… Lá fora as pessoas são hiperpreocupadas com a questão da privacidade, o que aqui não é tido por tão relevante. Aqui o jogo é mais carniceiro e a indústria do factoide costuma ser mais vantajosa. Se oportunistas armam factoides como aquele de colocar a Valesca Popozuda como grande pensadora, é de propósito.

      Privacidade é o caralho, o que importa é manter as aparências. Que o Google é uma canalhice que só, está LONGE de ser novidade. Sabe aquele AMOR de corporação que vende anúncios pra empresas e usa de sites boca-de-esgoto para alavancá-los pagando umas migalhas pra esses inocentes úteis? Pois é.

      Claro, com a disputa das keywords, ficou mais lucrativo seja pra hackers que exploram as vulnerabilidades dos robôs do Google, seja para o próprio Google tirar vantagem as custas dessa podreira publicitária.

      O mundo é dos canalhas. Ética é para os fracos… Tem de se manter a aparência de liberdade, de justiça e de meritocracia pra manter a boiada mais ou menos junta na direção do matadouro.

Deixe um comentário

O seu endereço de e-mail não será publicado.

Relatório de erros de ortografia

O texto a seguir será enviado para nossos editores:

Enviar