APACS, o pessoal da associação de pagamentos do Reino Unido, é geralmente um bom grupo de pessoas, mas talvez compreensivelmente eles tendem a não ser da opinião, pelo menos em público, de que existem problemas importantes com a segurança dos bancos online. Não foi nenhuma surpresa saber com eles sobre o número crescente de pessoas que fazem transações bancárias on-line, o que representa um aumento apedrejando 500% em apenas sete anos – eram cerca de 3,5 milhões de pessoas, mas agora são cerca de 21 milhões, segundo a APACS. Este número não me surpreende porque as pessoas que têm conta bancária e acesso à Internet, mas não combinam as duas coisas, são tão raras que nunca conheci nenhuma.
O que eu não esperava, porém, era que essa estatística otimista fosse seguida por outra muito mais pessimista. relacionado ao número de incidentes de phishing relatados, que aumentou 180% em apenas seis meses. Houve um pouco de açúcar polvilhado nesta notícia amarga, na medida em que as perdas por fraude bancária online diminuíram 33% entre 2006 e 2007 e representam agora “apenas” 22 milhões de libras. É claro que não demorou muito para que a APACS transformasse esta estatística em uma luz mais positiva através do raciocínio que esta queda nas perdas foi uma demonstração de quão bons são os sistemas de segurança bancária on-line dias.
Agora, alguns pontos surgiram na minha cabeça neste momento, o primeiro é que o número de incidentes de phishing relatados nunca vai aumentar. será igual ao número de ataques que realmente acontecem aqui no mundo real, que provavelmente será de várias ordens de magnitude mais alto. A segunda foi que, se os sistemas bancários on-line são tão seguros, por que a Universidade de Michigan acaba de publicar um estudo que conclui que 75% dos sites bancários pesquisados tinham pelo menos uma falha que poderia deixar os clientes vulneráveis a perda. Essa perda pode ser de identidade ou de dinheiro, embora muitas vezes as duas andem de mãos dadas.
Professor Atul Prakash (www.pcpro.co.uk/links/169online2) do Departamento de Engenharia Elétrica e Ciência da Computação da Universidade de Michigan liderou o estudo, que investigou mais de 200 instituições financeiras online. O que mais surpreendeu a ele (e a mim) é que as falhas que ele encontrou provavelmente estavam no que você poderia chamar de “nível de design”, em vez de coisas que podem ser corrigidas por um simples patch de software. O estudo, denominado “Analisando sites em busca de falhas de design de segurança visíveis ao usuário” (www.pcpro.co.uk/links/169online3) descobriu, por exemplo, que quase metade dos bancos analisados tinham caixas de entrada de login localizadas em páginas inseguras, um caso típico de uma má decisão de design que deixa a porta da frente aberta para hackers e criminosos entrarem.
Segurança estúpida nº 14 (em uma série de milhares)
Já mencionei antes que ninguém nunca lê EULAs, exatamente por causa do tipo de linguagem jurídica gobbledegook que apareceu enterrado na cláusula número 8 do site Apple iTunes 7 e QuickTime 7 Contrato de licença. Isso inclui, e cito, o compromisso de que o “Licenciado também concorda que o Licenciado não usará o Software Apple para quaisquer fins proibidos por Lei dos Estados Unidos, incluindo, sem limitação, o desenvolvimento, projeto, fabricação ou produção de armas nucleares, mísseis ou produtos químicos ou biológicos armas”.
Agora eu sei que o iPhone foi apelidado de Jesus Phone por certos setores da mídia, e estou mais do que ciente de que existe podcasting, bem como a capacidade de reproduzir vídeo no iTunes. No entanto, suspeito que isso esteja empurrando o barco da realidade para mares bastante agitados, sugerindo que o seu terrorista comum vai distribuir um vídeo “fazendo coletes suicidas carregados de TNT para manequins” via iTunes. E mesmo que um cenário tão improvável acontecesse, quais são as chances, você acha, de que os terroristas perdessem a coragem e desistissem, em vez de enfrentarem o perigo de violar o EULA da Apple?
