Segurança do home banking
Entrevista à Jornalista Cristiane Bonfim,
Para publicação no jornal Diário do Nordeste
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
02 de Abril de 2004
Cristiane Bonfim: 1.O sr. considera que o usuário facilita as fraudes ao não ser criterioso no acesso a internet?Pedro Rezende: Sim. Trata-se de uma questão cultural. O usuário médio não se dá conta de quantas camadas de linguagem e condificação existem entre o que ele vê na tela do computador, e o valor representado pela informação que ele pode manipular a partir dessa tela. E, mais importante, de que cada uma dessas camadas é capaz de abrigar intenções ocultas de quem conheça os meandros. Não há proteção à prova d'água quanto à má fé. Nisso, o mundo virtual não difere do mundo da vida, mas nele a situação é pior, devido ao desconhecimento das possibilidades pelas potenciais vítimas.
CB: 2. Que critérios são fundamentais que o internauta observe no site do banco para realizar transações pela internet com segurança?PR: O grande problema em uma rede aberta, como é a internet, é o problema da identificação. Qualquer técnica de proteção, como as criptográficas, supõem que o processo de identificação das partes tenha onde se ancorar, tenha algum ponto de confiança para lhe dar partida. A identificação é essencial para que as leis possam usar seus dentes, para que autorias de ilícitos possam ser determinadas intersubjetivamente.
Identificar que o site visitado é mesmo o do banco, no caso, é o critério fundamental que deve nortear o internauta. Ele não deve acessar o site a partir de nenhum link em página ou mensagem de origem incerta. Ele deve, de preferencia, digitar na caixa de localização o endereço do banco, ou usar o link armazenado nos favoritos, tendo-o ali armazenado antes com as devidas cautelas. Ele não deve manter páginas de outros sites abertas em outras janelas do navegador enquanto visita o site do banco. Isso apenas para diminuir as chances, que sua navegação não esteja sendo desviada para uma página clonada do banco, e não para garantir.
CB: 3- Que cuidados o usuário da internet deve ter para fazer com que seu micro esteja apto a realizar operações bancárias sem problemas?
PR: Sem problemas, não haverá. Com risco aceitável, como por exemplo, no nível que eu consideraria equivalente ao de se sair de casa para ir fisicamente ao banco e voltar com dinheiro no bolso, aqueles que citei acima, mais uma escolha criteriosa de softwares, com vista à segurança do usuário. Não se deve confundir a segurança do usuário de software com a segurança do negócio de quem licencia software caixa-preta.
Eu uso o navegador mozilla ou o netscape, e a distribuição mandrake do sistema operacional gnu/linux, que são softwares auditáveis. Mesmo que eu não conheça em detalhes a lógica desses softwares, tenho o direito de conhecê-los, e construir minha instalação a partir deste conhecimento.
E mesmo quando tenho que usar o windows, evito o navegador que vem nele embutido, o internet explorer, por se tratar de um software praticamente improtegível. As vulnerabilidades desse navegador, que por sinal é o mais usado hoje, são estruturais, e não vão ser resolvidas por uma série interminável de patches, que nem sempre funcionam a contento.
Essas vulnerabilidades decorrem de decisões estratégicas de projeto de confecção do navegador, que tiveram impacto devastador na sua arquitetura e que só beneficiaram a empresa que o licencia. A pior dessas decisões, do ponto de vista do impacto negativo para a segurança do usuário, foi a de incluir um dialeto da linguagem de controle de processos do sistema como linguagem de conteúdo ativo do navegador, o VBScript.
Um grave problema em relação à autonomia do usuário para decidir sobre o nível que considera aceitável na sua exposção aos riscos cibernéticos, é que alguns bancos escolhem plataformas proprietárias de programação para confecionarem seus sites, obtendo, com isso, páginas que só funcionam direito no internet explorer.
Ficar culpando os hackers pelas consequencias é, em certo sentido, como culpar as armas de destruição em massa pela invasão do Iraque.
CB: 4 - Há outros golpes além dos que utilizam o truque do recadastramento por e-mail ou os keylogs? Quais são os mais comuns?
PR: Existem vários tipos de ataque onde a navegação em si é desvirtuada, como por exemplo, ataques aos chamados programas proxies, perpetrados em redes conectadas à internet que monitoram a navegação dos internautas.
CB: 5 - A segurança no uso do home banking tem aumentado nos últimos anos? O sr. considera que o volume de fraudes no Brasil é pequeno em relação ao número de operações bancárias realizadas?
PR: Tanto os usuários, quanto os programadores dos bancos, quanto os ciberbandidos, vão se sofisiticando. Um dos problemas é que os últimos tendem a aprender mais rápido, pela troca de informaões entre si, do que os programadores, que geralmente trabalham sob condições controladas, onde as discussões de vulnerabilidades não podem ser públicas devido ao efeito negativo na credibilidade da instituição atingida. E aprendendo também mais rápido do que os usuários médios, que raramente tem tempo para "se aculturarem".
Esta estratégia de sigilo em relação a vulnerabilidades dos bancos, pode ser vista refletida no fato de que não há dados públicos confiáveis sobre o volume de fraudes. Temos estimativas e indícios indiretos, como por exemplo, as taxas cobradas por serviços. Se pegarmos as taxas de juros sobre empréstimos, por exemplo, e sua exorbitância em relaçãoaos juros pagos nas aplicações, o chamado spread bancário, veremos que a justificativa oficial, que é a alta taxa de inadimplência, não é suficiente para justificá-la.
A taxa de inadimplência vem se mantendo relativamente constante nos últimos anos, enquanto o spread vem aumentando. Se considerarmos que o lucro dos bancos também vem aumentando, junto com os spreads, podemos deduzir que a preocupação deles em relação a fraudes não está propriamente no volume, coberto pelos custos dos serviços. A preocupação maior talvez seja com o crescimento constante deste volume. Essa leitura condiz também com a atitude dos bancos perante os impasses regulatórios que lhes atribuem responsabilidades por falhas e perdas no serviço prestado.
CB: 6 - O sr. avalia que os bancos têm investido o suficiente para garantir segurança aos clientes que dispõem do home banking? Hoje quais são as principais "armas" dos bancos para evitar a ação doshackers?
PR:Os bancos garantem o que o usuário está disposto a aceitar como risco. Tal garantia não é absoluta, mas uma posição de equilíbrio entre risco e conveniência. Os bancos investem bastante em segurança computacional, mas raramente para aumentar a dos serviços informatizados que já disponibilizam. Quase sempre, para poderem oferecer novos serviços sobre os quais supõem poder controlar seus próprios riscos, numa competição acirrada com concorrentes, na corrida da modernidade.
CB: 7 - Por que as fraudes eletrônicas têm sido cada vez mais comuns no noticiário nacional? A polícia brasileira está preparada para lidar com esse tipo de crime? Por quê?
PR: A polícia vem fazendo o que pode, com o pessoal e com a competência que tem. Acho que as fraudes estão mais no noticiário justamente porque isto é parte do processo de aculturação de que falei antes. Os problemas a serem resolvidos não são simples, pois são, no fundo, de natureza semiológica, e não técnica. A semiologia é o estudo das práticas comunicativas, não necessariamente intermediadas pela linguagem humana, e de como elas podem estabelecer consenso sobre significados.
CB: 8 - O sr, considera que a insegurança pode frear a tendência de crescimento no número de acessos a bancos pela internet? Ou a comodidade vai fazer com que a quantidade de operações bancárias pela internet continue aumentando, apesar dos hackers?
PR: Como já disse, trata-se de um processo dinâmico pela busca de equilíbrio, em dois eixos. Riscos e responsabilidades, conveniência e segurança. É claro que, na busca deste equilibrio, quem estiver mais organizado na sociedade tende a levar vantagem. E o cidadão comum, nesse nosso mundo de hoje, anda cada vez mais desarticulado e subrepresentado. Ao contrário do poder econômico.