Responderam as perguntas: 

Carlos Henrique Vieira de Souza - MCT, MCSE, MCPInternet, 4 anos de experiência na área de tecnologia da informação. Estudante formando da Universidade de Brasília em Ciências da Computação, trabalha atualmente como Analista de Segurança com soluções de criptografia em PKI (Public-Key Infrastructure) para a Modulo Security Solutions S.A  

Sidnei Yokoyama - Sou especializado na área de sistemas Uni e roteadores, mas com bom conhecimento de produtos Microsoft. Atuo na Informática ha cerca de 20 anos profissionalmente, tendo trabalhado desde os 13 anos. Especificamente na área de Segurança, atuo ha dez anos mais ou menos. Atualmente sou consultor de Segurança da Módulo Security Solutions S.A.

Alexandre Vargas - Profissional com experiência no mercado de tecnologia da informação, Analista de Sistemas, cursando Pós-Graduação em Gestão em Tecnologia de Informação pela UnB. Certificado como MCP pela Microsoft e CCNA pela Cisco. Atuou durante anos como consultor em diversos projetos ligados à sistemas de informação e conectividade: automação, cabling, redes, Internet, Intranet, Unix e Comércio Eletrônico. Atualmente pesquisa tecnologias como criptografia, VPN, PKI e é Consultor Técnico de Segurança da Informação na Módulo Security Solutions S.A 

Módulo Security Solutions S.A

Dedicada a desenvolvimento de software e a consultoria em Segurança da Informação desde 1985, a Módulo é a empresa brasileira com maior tecnologia e experiência em soluções para Segurança de Redes, Internet e Intranet. Atuando exclusivamente neste segmento, a Módulo é responsável pelos principais projetos de Segurança da Informação desenvolvidos no país, entre eles a segurança dos computadores das Eleições Brasileiras - a maior eleição informatizada do mundo; a Certificação de Segurança da Entrega do Imposto de Renda via Internet, além de dezenas de outros projetos de segurança em grandes empresas privadas e multinacionais, bancos e órgãos de governo. 

1 - A que riscos se expõe o internauta ao efetuar compras online? E em relação a operações bancárias?

R - Dependendo do nível de segurança existente na comunicação entre o servidor (máquina servidora) de compras online - E-commerce - e o internauta, as informações fornecidas por este podem ser capturadas por outras pessoas, estando elas conectadas à Internet  ou à rede onde se encontra essa máquina. Portanto, a preocupação inicial do usuário deve ser a verificação da existência de alguma proteção dessa comunicação, indicado pela presença de uma figura de um "cadeado" fechado ou uma "chave" inteiriça no rodapé do seu programa de navegação (browser). Essa figura simboliza a encriptação da comunicação entre o browser do usuário e o servidor de compras online, dificultando a captura dos dados.

Outro aspecto importante é a não-realização de compras on-line através de servidores PROXY, característica ajustável na conexão do internauta com a Internet. Essas máquinas podem armazenar os dados trafegados entre o browser e o servidor de compras online.

As operações bancárias através da Web - E-banking - processam-se em um cenário similar. Porém, a grande maioria das entidades bancárias com serviços na Internet investiram em soluções de criptografia e autenticação mais fortes, tais como implementação de PKI  Public Key Infrastructure e certificados de confiabilidade.

Por fim, é importante ressaltar que as empresas que fornecem os serviços de E-banking e E-commerce devem possuir, além desses mecanismos de conexão segura, seus próprios parques tecnológicos interno e público seguros, bem como políticas fortes de segurança.

2 – Além da chave ou cadeado existem outros "sinais" num website que possam indicar uma maior ou menor segurança na transação comercial ou bancária? Por exemplo o protocolo https... Dá para saber se é mais ou menos seguro? 

 R - A existência de HTTPS (Secure Hyper Text Transfer Protocol), símbolos como "cadeado" e "chave" e certificados digitais de segurança são sinais indicativos de sites com os quais as comunicações são criptografadas e, consequentemente, sigilosas.

A confiança não se resume, porém, ao "cadeado" ou ao uso de HTTPS.

Um usuário malicioso pode montar um site embusteiro "seguro" - um espelho de um site bancário, por exemplo - utilizando HTTPS com certificados, e capturar uma parcela de tráfego do site verdadeiro.

Como dito antes, símbolos como "cadeado" e "chave" são indicativos de comunicação criptografada e, portanto, feita com sigilo. Através de um clique nesses símbolos, é possível verificar quem está "certificando" a autenticidade do website.

A questão da confiança é bem mais complexa. Em um outro exemplo, um usuário poderia com segurança real identificar o site embusteiro através da verificação do emissor do certificado utilizado no website (não apenas pelo nome, mas através de uma "impressão digital" de conhecimento público). Isto evitaria que o usuário malicioso certificasse e delegasse confiança para seus próprios servidores web de E-commerce.

  3 - É comum a comparação entre uma compra online e uma tradicional com cartão de crédito em que o cartão é entregue a um funcionário da empresa e o processamento da operação é feito fora das vistas do cliente, além disso ainda existe a compra por telefone em que o número do cartão é ditado ao funcionário e a operação é concluída sem a necessidade de assinatura do cliente. Quais são os riscos envolvidos nessas modalidades de compra? 

R - Em termos práticos, as comparações existem. Porém, a segurança de ambas as transações devem sempre obedecer a determinados padrões mínimos. Qualquer pessoa pode ter o número do cartão com o nome do titular e a data de validade receptados por terceiros com má intenção. De posse dessas informações, podem ser efetuadas diversas compras sem a presença ou anuência do titular do cartão.

Na compra via telefone, deve existir um controle de bina para as chamadas efetuadas, com controle e conferência da origem das mesmas.

Na compra via cartão nas lojas, as pessoas responsáveis pelas vendas devem se ater ao fato da necessidade da conferência da assinatura do cartão e de algum documento hábil de identificação do detentor do cartão.

É muito comum as pessoas fornecerem o cartão de crédito e simplesmente assinarem de forma diversa da presente no verso do cartão ou da identidade, sem problemas de aceitação.

Outro caso corriqueiro e igualmente perigoso a ser citado: o usuário faz o preenchimento manual através de boletos e descarta a cópia carbonada com as informações contidas no mesmo.

Essa parte inclui a segurança baseada na Engenharia Social. Ela depende de ambas as partes, sendo a conferência feita pelos vendedores e a garantia da integridade e sigilo dessas informações feita pelo detentor do cartão.

A compra eletrônica, além de poder prover a autenticidade do comprador e do lojista, pode garantir o sigilo da transação entre ambas as partes.

4 - Alguns websites com conteúdo pornográfico exigem o número do cartão de crédito do usuário alegando que é "apenas para confirmar sua maioridade", isso é confiável?

R - A confiabilidade é discutível, fato reforçado pela dificuldade de revogar débitos indevidos em transações internacionais. Contato direto com a empresa responsável pelo débito é uma exigência invariavelmente feita pelos escritórios regionais locais.

A prática de comprovação da maioridade apenas uma única vez por esses sites especializados colabora apenas para utilização desses cadastros para envio de propagandas de associados ou clientes, sem a garantia efetiva de sigilo e integridade dos dados informados.

 5 - É correto afirmar que as operações bancárias via Web são mais seguras que as efetuadas por telefone ou home banking (software cedido pelos bancos)? Porque? 

R - Não necessariamente. Com as devidas medidas, uma transação via web pode ser muito mais segura que o phone banking ou home banking. Uma transação web pode prover sigilo, autenticação de ambas as partes, garantia de integridade dos dados, além de garantia e registro de transações efetuadas.

O uso da criptografia quando bem gerenciada acarreta grandes benefícios para a segurança, em qualquer um dos meios utilizados para operações bancárias.

A segurança de transações por telefone e home banking dependerá ainda de como são implementados os serviços e das garantias de sigilo que o usuário possui ao utilizá-los.

 6 - Já "ouvi" numa lista de discussão que "o pessoal do e-commerce só quer vender e não se preocupa com a segurança", aliás já ouvia algo assim bem antes de existir a Internet... Isso acontece? A segurança das operações online poderia ser efetivamente melhor?  

R - Há um tempo atrás, para muitos a presença na web era muito mais importante que a segurança do website. Entretanto, com o crescimento desse segmento, a segurança se tornou uma forte propaganda para os sites que estão na Internet, conquistando clientes, aqueles que identificam e transmitem o significado de credibilidade e sigilo de informações.

As operações online poderiam se tornar efetivamente melhores com a conscientização dos usuários sobre segurança nas transmissões e também das próprias empresas que possuem transações que necessitem de privacidade nas transmissões, não somente quanto às páginas de acesso, mas ao banco de dados e às demais estruturas de sua rede de computadores. Ou seja, desde o computador do usuário, o próprio usuário, passando pela provedora de acesso, pelo provedor de backbone, chegando à estrutura do servidor de E-commerce ou E-banking e os demais recursos humanos envolvidos, todo o processo de segurança precisa estar garantido.

7 - Em breve teremos uma grande onda de acesso à Internet via telefones celulares, alguns bancos já estão disponibilizando serviços... Com isso outras tecnologias entrarão no processo como por exemplo o protocolo WAP. As operações por telefone celular serão mais, menos ou tanto quanto seguras em relação às operações via telefone fixo? Os riscos continuam os mesmos ou serão outros?

R - Alguns riscos permanecem os mesmos, como, por exemplo, o tráfego de informações sensíveis em redes públicas e consequentemente terão soluções semelhantes. Alguns riscos são agravados como o da escuta passiva ou ativa de informações com a clonagem de aparelhos e sinais ao ar livre. Outros impedimentos podem apresentar-se para a implementação de segurança como a velocidade e continuidade de comunicações.

8 - Quais as novidades que deverão aparecer para reforçar a segurança e a confiabilidade das operações comerciais e bancárias online?

R - Além de estruturas de hardware cada vez mais robustos e tolerantes a falhas, implementações de outras formas de autenticação, como leitoras de smart cards e dispositivos biométricos nas estações dos usuários. Além disso, o uso integrado de soluções de PKI com a autenticação por estes dispositivos.

Para os servidores críticos, ferramentas de Business Intelligence permitem a identificação de tendências e padrões de forma integrada através do processamento de logs de acessos e atividades em sistemas operacionais, aplicativos e dispositivos de comunicação além da geração de estatísticas detalhadas.

Necessitam ser citadas ferramentas de IDS (Intrusion Detection System), uma tecnologia já em franca utilização, que permitem uma resposta rápida de sites de E-commerce e E-banking a possíveis ataques incluindo indisponibilização de serviço.

9 - Que conselhos dão aos leitores do AQUI! para que possam fazer suas compras e operações bancárias online tranqüilamente?  

R - * Verificar se o site utiliza HTTPS, ou seja, se o mesmo é certificado;

* Verificar o certificado emitido para aquele site e a confiabilidade do emissor deste   certificado;

* Consultar nos termos e garantias de uso do serviço as responsabilidades sobre as transações e gerenciamento de senhas ou chaves de acesso;

* Identificar quais são as garantias de estorno oferecidas pelo site;

* Certificar-se quanto à integridade da conexão junto ao provedor de acesso;

* Periodicamente verificar a existência de programas maliciosos, como os trojan horses, no sistema que está sendo utilizado para acessar o site em questão;

* Manter atualizado os programas utilizados, tais como sistema operacional e navegadores;

* Não acessar através de servidores Proxy.