Independentemente de qual seja o seu dispositivo preferido ou odiado com base em problemas de segurança, os técnicos e o software por trás deles devem ter em conta uma preocupação chave: "segurança desde a concepção (e por padrão)". Embora seja uma frase forte, segurança desde a concepção – impulsionada pela Consumer Trust Alliance (CTA), nos Estados Unidos, e agora popularizada na União Europeia através do GDPR - é muito mais do que um simples tema de interesse.
A privacidade e a segurança desde a concepção aplica além de informações obrigatórias e práticas de privacidade, processos e provisões exigidas pelo GDPR. Além disso, também é responsável por notificar fornecedores de hardware e software a fim de que fortaleçam sua segurança. Para nós do WeLiveSecurity, incidentes como o Meltdown e o Specter deslocaram o nosso foco no malware e exploits de software, obrigando-nos a repensar o que entendemos sobre o que os fornecedores de hardware fazem para tornar nosso mundo digital mais seguro.
Regulamentos x Boa Fé?
Embora alguns possam ver esses incidentes como uma consequência inevitável de nossa dependência da tecnologia, como a contaminação causada por resíduos fósseis, muitas empresas e consumidores expressaram sua indignação através de processos judiciais coletivos. E o que isso representa isso quando nos referimos a análise que as tecnologias antigas enfrentarão no futuro?
Deixando de lado as demandas e considerando como as comunicações e a troca de dados se tornaram algo central no mundo de hoje, devemos não apenas nos perguntar se os fornecedores de hardware fizeram a devida diligência, mas também se os usuários estão preparados para obter uma consciência e educação sobre o assunto, limitando seus investimentos em produtos/serviços diante de vulnerabilidades graves.
Enquanto alguns especialistas em pesquisa e desenvolvimento (R&D, sigla em inglês) de hardware ou de cibersegurança puderam antecipar o impacto da digitalização nas empresas ou na sociedade até 1995, atualmente todos os usuários desempenham um papel no momento de resolver esse desafio, enquanto a indústria procura alcançar objetivos de mercado em termos de obter um equilíbrio rápido entre o acesso e a segurança na transformação digital.
Em termos gerais, o crescimento da área de TI nos últimos vinte anos ocorreu imediatamente após algumas melhorias prometidas em produtividade, colaboração ou conectividade, mas nem sempre em segurança. No entanto, nos últimos cinco anos mostraram uma mudança acentuada, com praticamente todos os serviços web mutando para HTTPS, criptografia presente em quase todos os aplicativos de comunicação e a maioria dos softwares com atualização automática. Nos últimos dois anos, também ocorreram discussões intensas entre os governos que procuram parar a criptografia ou ter backdoors.
Esses desenvolvimentos mostram que a tecnologia de segurança está acompanhando ou avançando junto com outros desenvolvimentos tecnológicos e regulatórios. Portanto, enquanto o que os usuários desejam tende a continuar ofuscando sua avaliação de riscos, a indústria tem respondido e, em muitos casos, está à frente da demanda popular. E com exceção do início de 2018, protagonizado por Meltdown e Specter, algumas melhorias podem ser vistas nas ferramentas que usamos para proteger o software, o hardware e a Internet. A tecnologia blockchain (corrente de blocos, em tradução literal) é uma solução milagrosa?
Bockchain é responsável por dar as cartas?
Junto ao lineup formada pelo duplo fator de autenticação e a criptografia está a blockchain - popularizada através de sua criptomoeda mais famosa. Apesar de diversas publicações sobre a segurança das criptomoedas, não nos aprofundamos muitos na tecnologia blockchain.
Talvez, devido a um cenário de ameaças tão intenso como o atual, existem fortes evidências de que se preocupar com aspectos básicos da segurança de forma mais ampla podem trazer melhores resultados ao longo do extenso ambiente online. Mas, certamente, a blockchain, mesmo não sendo uma nova tecnologia, é a vanguarda de algo maior, a Criptografia das Coisas (EoT, por sua sigla em inglês). Essas coisas (dispositivos), é claro, existem sem o seu software central e, em muitos casos, a segurança pode ser inserida em seus próprios ossos. No entanto, o que existe na interface do smartphone?
Bem, vamos tentar encontrar alguns dispositivos bastante seguros! Com exceção de dispositivos para uso militar e dispositivos de comunicação para empresas especializadas, e telefones criptografados por satélite, as opções são poucas. Isto se deve, em primeiro lugar, ao baixo custo para o uso de ferramentas como a dupla autenticação e a criptografia com base em softwares ou aplicativos (o BitVault é um exemplo interessante) em relação a dispositivos especializados. Ironicamente, esses últimos ainda dependem de atualizações e de melhores dos softwares.
Vamos em frente!
Depois de realizar algumas buscas no Google, podemos encontrar o smartphone Solarin da Sirin Labs. Este primeiro produto, com um valor de US$ 14.000 em 2016, introduziu um smartphone seguro baseado em blockchain para o mercado. Este dispositivo enfrentou um lançamento hostil, agora que uma nova encarnação do telefone foi apresentada. O telefone Finney (nome derivado do Hal Finney - pioneiro em bitcoin) tem um preço mais realista de US$ 1000 na chegada ao mercado. Mas deixando de lado os preços, um sistema operacional com a segurança da tecnologia Blockchain ainda apresenta alguns desafios. Tendo em conta o alto consumo de energia necessário para processar transações de criptomoeda, imagine a energia que exigiria apenas alguns bilhões de telefones segurados com a Blockchain. Isso pode ser dimensionado?
Os dispositivos FINNEY previstos estão apresentados no site da Sirin como "os primeiros celulares e PCs com proteção cibernética que permitem blockchain", e destaca que os dispositivos - que também incluem computadores desktop - "formarão uma rede independente de blockchain, com uma base de dados distribuída, extensível e leve".
O telefone Finney da SIRIN possui uma grande quantidade de medidas de segurança, algumas conhecidas pelos fornecedores de cibersegurança. Vejamos, por exemplo, o sistema de prevenção de intrusos com base no comportamento ou na autenticação multifator. O jogo começa com o interruptor de segurança (proteção de carteiras), Comunicações Seguras (VolP, texto, e-mail) e sua funcionalidade central - o sistema operacional Android inviolável baseado na blockchain.
Longe demais?
Eu já mencionei a extensibilidade, mas enquanto o produto tenta alcançar o verdadeiro espírito de segurança desde a concepção, esse nível de segurança é necessário ou mesmo prático?
O mundo dos dispositivos móveis, tão dinâmico quanto é, enfrenta um paradoxo. Só pode ser tão seguro quanto o permitido pela consciência pública e as boas práticas, uma vez que o fator humano é fundamental para a segurança. Por exemplo, se as pessoas usam carteiras protegidas com RFID (identificação por radiofrequência), quanta utilidade pode ter a criptomoeda? Para não ir tão longe, se os usuários deixam a configuração padrão que vem com seus roteadores domésticos, para que investir em dispositivos com tanta segurança?
Celulares seguros com a blokchain: um negócio que nasceu em 2017?
A intenção dos dispositivos protegidos é clara: a criptografia distribuída resulta em melhorias significativas na segurança. Com a ICO (oferta inicial de moeda, por sua sigla em inglês) da Sirin concluída em 26 de dezembro de 2017, a produção parece ter conquistado a luz verde.
As características são uma coisa, mas prever quais fatores permitirão ao telefone ciberseguro da Finney ter sucesso no mercado é um enigma. Outra barreira pode ser a aceitação de serviços como o Apple Pay e outras plataformas seguras de pagamentos móveis como um tipo de criptomoeda, por exemplo, o dinheiro nunca é trocado e os dados do cartão nunca são transmitidos. Esta maneira de abordar os pagamentos também tem a estabilidade e o apoio dos bancos e dos governos em todo o mundo. É uma segurança prática que os usuários comuns provavelmente não teriam diante de péssimas práticas.
Considerando tudo o que foi dito, a segurança desde a concepção e o telefone Finney podem ter encontrado o seu momento. O ano de 2017 nos apresentou o(s) custo(s) do nosso mundo conectado através de uma variedade de ameaças para tudo, desde infraestrutura crítica na Ucrânia, à empresas através do devastador surto global do WannaCryptor.D e a pandemia de destruição de dados do DiskCoder.C.
Agora, com ataques contínuos à infraestrutura das criptomoedas, o malware móvel e os dispositivos IoT zumbis aumentando os riscos, a ansiedade será intensificada. Não é de admirar que, antes do Natal, o preço e o interesse por bitcoins (e blockchain) foi algo que explodiu. Para a tranquilidade da Sirin Labs e seus concorrentes, nos últimos 12 meses foi possível ver um mercado se materializar em torno desses temas. Vamos ver o que acontece nos stands dos fornecedores de hardware no Mobile World Congress que começa hoje.