Seguro contra o que?!

Uma das razões pelas quais é difícil começar uma conversa sobre segurança (em informática ou em geral) é que diferentes pessoas tem diferentes (pré-)conceitos do que seja segurança. O termo "segurança" significa coisas diferentes para diferentes pessoas, em diferentes momentos, situações e contextos. Pra gente poder começar a conversar, precisamos primeiro concordar sobre o que, exatamente, estamos falando – senão vira conversa de surdo.

Já cheguei em muitos clientes pra conversar sobre segurança do ponto de vista de "resistência a invasão", somente para descobrir que o que ele queria era "segurança contra o sistema sair do ar". Em outros casos, fui chamado a diagnosticar a segurança da infra-estrutura de rede, quando notei, pelas histórias que me contaram, que a verdadeira neura do cliente era segurança das aplicações web.

Sei que talvez esteja soando meio abstrato, mas é que a maioria dos exemplos concretos são longos demais pra citar aqui. Mas lembrei de um exemplo que é curto o bastante pra contar: nos idos dos anos 2000, quando Internet Banking ainda era novidade, eu pregava uma pequena peça quando vez por outra algum jornalista vinha me perguntar:

— "Esse negócio de banco via Internet é seguro mesmo?"
— "Claro que é!", eu respondia. "Menos perigo de assalto do que na agência".
— "Não, não," retrucava o jornalista, "quero saber é se tem como alguém desviar nosso dinheiro".
— "Aaah, então explique! Quando você me perguntar se algo é seguro, diga-me exatamente contra o que, exatamente, você quer saber se é seguro. Se você não disser, vou assumir o me der na telha."

É muito difícil discutir sobre segurança se não formularmos com clareza e de forma específica qual o tipo de segurança que queremos – do que, exatamente, estamos tentando nos proteger; o que de ruim, exatamente, nós não queremos que aconteça. A frase "Tal coisa é segura" é incompleta, ambígua, carente de complemento.

E em informática essa ambiguidade é o que mais acontece. Você já deve ter visto em alguns sites um selinho de "site seguro". Seguro contra o que? Contra eu pagar e eles não entregarem? Contra alguém descobrir minha senha e fazerem transações no meu nome? Contra o site sair do ar? Contra lojas impostoras? Contra o site ser invadido/pichado? Contra produtos falsificados? Contra descobrirem meus dados pessoais ou meu cartão de crédito? Contra alguém grampear a Internet e descobrir/manipular o que estou fazendo no site? Este último é mais próximo do significado correto do selinho "site seguro", que provavelmente não é o que a maioria das pessoas imagina.

É interessante observar como as pessoas falam de segurança, às vezes com um aparente conhecimento de causa, mas uma simples pergunta "sim, mas isso é seguro contra o que, exatamente?" consegue desmoroná-las por completo. Faça a experiência – toda vez que lhe disserem que algo é seguro, pergunte "contra o que". Garanto que as respostas enviesadas vão te divertir, as respostas bem embasadas vão te impressionar e o contraste entre as duas te ajudará a fazer escolhas de segurança em geral melhores.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.