Será que se algumas das tecnologias existentes hoje em dia, como a utilização de certificados digitais e protocolos associados, nos garantem a privacidade das comunicações? Pretende-se que ninguém não autorizado possa ver ou alterar conteúdos e que se tenha a certeza de estar a comunicar apenas com quem se pretende. Se ferramentas de segurança tivessem sido introduzidas na World Wide Web (WWW) desde o início, será que hoje em dia estaríamos seguros?

Vince Cerf, um dos “pais” da Internet, acredita que sim e veio a público reforçar a ideia de que a segurança devia ter sido incorporada na Internet desde o seu início. Nos últimos 25 anos, a Internet tem sido aberta e sem segurança intrínseca, sendo possível ter-se acesso ao conteúdo das comunicações se não se tomarem algumas precauções. A utilização de certificados digitais e protocolos associados permite que comunicações críticas, como o acesso ao homebanking, possam ser cifradas (confidenciais), garantindo ainda a identidade do prestador de serviço.

Hoje em dia, as vantagens destes mecanismos de segurança estão a ser amplamente utilizadas, levando a uma mudança de paradigma – estamos a passar de uma Internet sem privacidade, para uma Internet com privacidade. Pela sua natureza, para algumas entidades isto torna-se um obstáculo ao seu serviço core, pelo que decidem adotar técnicas alternativas que criam vulnerabilidades de segurança críticas. Seguem-se alguns exemplos em diversas áreas de atividade.

Algumas das funcionalidades core dos antivírus são a análise do que o utilizador faz quando está online, os sites a que acede e o que faz nesses sites. No entanto, com o aumento das comunicações cifradas, este serviço está cada vez mais limitado. Foi, por isso, implementado por várias empresas a possibilidade de ver as comunicações cifradas dos seus utilizadores, criando vulnerabilidades graves no acesso à informação.

Para conseguirem direcionar os anúncios, as empresas de publicidade online decidiram que seria importante aceder às comunicações seguras entre o utilizador e os serviços que este utiliza.

A MCS Holding é uma empresa egípcia que se tornou numa Entidade de Certificação Intermédia da China Internet Network Information Center (CNNIC). O acordo com a Entidade Chinesa passava pela emissão de certificados para uso próprio da MCS Holding, ou seja, certificados para os seus domínios. No entanto, durante testes para o que chamam de serviços seguros baseados na cloud, a empresa Egípcia usou uma firewall (Proxy SSL), permitindo a geração de certificados para domínios em HTTPS de forma automática, o que iria permitir ataques do tipo Man-In-The-Middle.

As agências de segurança governamentais têm como principal objetivo a segurança da população do seu país. Com o aumento de ferramentas mais seguras para comunicações escritas, orais ou visuais, alguns governos, uns de forma clara, outros de forma mais obscura, obrigam a criação de acessos alternativos à informação. A ideia por detrás destas imposições é que exista uma “backdoor” que, em caso de um atentado à segurança nacional, seja possível que se ceda as conversas de um cidadão específico a pedido da agência governamental.

Muitas empresas querem ver tudo o que fazemos, sempre com o objetivo de aumentar a velocidade do serviço, melhorar a nossa segurança como cidadão, ou até prestar um serviço personalizado e centrado em nós. Contudo, será suficiente o que nos oferecem em troca da nossa privacidade?

Information Security Manager/Auditor da Multicert