Comitê Gestor põe segurança dos gratuitos na berlinda
Arquivo do Clipping 2000
Veículo: Canal Web
Data: 03/03/2000
Assunto: acesso gratuito
Provedores de acesso gratuito à Rede reagem aos resultados de testes comandados pelo CGI.br e exigem mais transparência em avaliações de segurança
A última reunião do Comitê Gestor da Internet brasileira, que aconteceu no dia 17 de fevereiro, foi marcada por uma decisão polêmica. Depois de realizar diversos testes para avaliar se os usuários dos provedores gratuitos do país podem navegar anonimamente pela Rede, o grupo de trabalho do CGI.br especializado em segurança chegou à conclusão de que, mais do que uma conexão sem custos, os gratuitos estariam oferecendo a seus internautas uma conexão perigosa.A bombástica declaração do CGI.br, que apenas aprovou as condições de segurança oferecidas pelo NetGratuita, pegou de surpresa a confiante classe de técnicos de segurança dos cerca de dez provedores gratuitos do país. A maioria destes profissionais, responsáveis pela tecnologia que visa a assegurar uma navegação sem riscos aos usuários, considerou parciais tanto o relatório quanto os critérios levados em consideração na avaliação. Para eles, faltou transparência por parte do Comitê. Já para o CGI.br, faltou responsabilidade nos procedimentos de segurança dos provedores. Armou-se o rebuliço na Internet brasileira.
O teste polêmico - A tão questionada e comentada avaliação feita pelo Comitê Gestor analisou três aspectos de segurança dos provedores gratuitos: a forma como é feito o contrato, a modalidade de acesso e os procedimentos usados para a identificação dos possíveis invasores. Os testes foram liderados pelo representante da comunidade acadêmica no CGI.br e coordenador da Rede Nacional de Pesquisas (RNP), José Luiz Ribeiro Filho.
Para comprovar os riscos oferecidos pelo anonimato dos usuários dos provedores gratuitos, José Luiz procedeu comportando-se exatamente como um anônimo: adotou username e senha genéricos e agiu de forma maliciosa, simulando uma invasão a um computador da RNP. Segundo ele, os testes comprovaram a impossibilidade de se revelar a identidade de hackers que conduzem ataques a sistemas e computadores porventura desprotegidos. "O problema é que, na medida em que não é possível identificar quem está navegando, essa pessoa pode praticar ações ilícitas sem correr o risco de ser identificada e, dessa forma, a segurança da Rede fica comprometida", afirmou José Luiz à equipe do Canal Web.
Após os testes, o NetGratuita saiu como único a passar na avaliação, por pedir dados dos usuários - como números de documentos - no momento do cadastro, facilitando a identificação dos internautas. Entretanto, segundo informações da RNP, os testes realizados antes da última reunião do Comitê Gestor foram preliminares, e continuarão a acontecer. Dessa forma, seus resultados não podem ser considerados definitivos, o que demonstra que ainda há mais aspectos a serem analisados em termos de segurança em todos os provedores gratuitos.
O que diz o restante do CGI.br - o representante do Ministério da Ciência e Tecnologia do Comitê Gestor, Ivan Moura Campos, confirma que a avaliação da segurança na Internet brasileira terá prosseguimento nos próximos meses e vai além. Segundo ele, "o Comitê não é contra o provimento de acesso gratuito no Brasil. O que nos preocupa é o anonimato que este tipo de acesso proporciona, o que ameaça a integridade da Internet no país". Para discutir mais a fundo essa questão, em parceria com os provedores gratuitos, para que não haja injustiças ou insatisfação, o representante dos provedores junto ao Comitê Gestor, António Tavares, deve reunir todos os provedores brasileiros e colher propostas e informações sobre mercado de provimento no país.
A informação é do presidente da Anui (Associação Nacional dos Usuários de Internet) e representante dos usuários no CGI.br, Raphael Mandarino. Ele explica que "a idéia é que o mercado nacional de Internet se auto-regule, assim como acontece com o de publicidade. Deve ser criado algo como o Conar, para que os problemas da Internet brasileira possam ser resolvidos entre a própria classe de provedores". Esta proposta de auto-regulamentação deve ser apresentada na próxima reunião do Comitê, em meados deste mês.
Mandarino ainda lembrou que as falhas de segurança apontadas pelo CGI.br serviram de alerta aos provedores gratuitos. "Agora, eles estão mais atentos a aspectos importantes dos procedimentos de segurança, como detalhes no contrato de oferecimento do serviço e outros furos que podem causar problemas, como senhas fáceis de ser descobertas e quebradas por hackers. Muitos provedores já estão colaborando e incrementando seus mecanismos de segurança", conclui.
Reação dos gratuitos - Colaborar e procurar corrigir eventuais falhas é o que tem feito o BRFree, provedor mineiro que soma 120 mil usuários desde sua inauguração, no início de janeiro deste ano. Também desde o momento que entrou em operação, o provedor sempre deu prioridade à segurança. É o que diz o diretor administrativo, financeiro e técnico do provedor, Leonardo Malta Leonel. "Temos duas preocupações principais. Primeiro, com a identificação dos usuários. Nunca aceitamos logins e senhas únicas, comuns a todos os clientes. Segundo, no contrato de adesão, deixamos claras as penalidades aplicadas ao mau uso da Internet, como hackeamentos. Finalmente, monitoramos os cadastros dos usuários, para checar informações".
Segundo Leonel, a confirmação dos dados do internauta é feita através de um sistema de chave de validação. Ao se cadastrar para usar o serviço, o usuário preenche um formulário que, entre outras informações, pede seu endereço. "No endereço indicado, o navegante recebe, pelo correio, uma senha que é validada na página do BRFree. Se o código for enviado e o assinante não se manifestar no site, ele recebe um e-mail notificando-o. Assim, quando o endereço fornecido for falso ou o usuário simplesmente não der atenção à senha que valida seu login, o direito ao serviço é perdido imediatamente", explica Leonardo, acrescentando que o CGI.br generalizou ao afirmar que todos os provedores permitem que usuários naveguem anonimamente. "É bom deixar claro que o padrão de segurança do IG não é adotado por todos os provedores", alfineta.
Após a análise do relatório feito pelo Comitê Gestor, o BRFree já está tomando algumas providências. Uma empresa de auditoria deve verificar a forma de cadastro dos usuários do provedor, para atestar a qualidade e o grau de confiabilidade da segurança destes dados. "Também já entramos em contato com a TRUST.e, uma empresa norte-americana de certificação de qualidade, que deve analisar a forma como tratamos as informações de nossos clientes", conta Leonardo Leonel. Para o diretor do provedor, Jean Michel Guillaume, não foi tão simples aceitar o veredito do Comitê. "O resultado foi injusto, pois o BRFree sempre se preocupou em seguir as normas de segurança vigentes e mais alguma coisa. Merecemos conhecer melhor os critérios de avaliação. O teste foi parcial", reclama.
Os argumentos do BRFree encontram respaldo entre representantes de outros provedores gratuitos. O diretor técnico do C@tólico, Fabrício Peruzzo, por exemplo, garante que o provedor tem mecanismos para rastrear seus usuários. "Temos bina em nossas linhas e cada usuário tem seu próprio login e senha. Portanto, para a questão da identificação do internauta, tão importante para o Comitê Gestor, apresentamos boas soluções", diz. Apesar disso, o C@tólico está analisando o relatório do CGI.br para verificar em que pontos houve falhas. "Já estamos providenciando, por exemplo, colocar um aviso na nossa página inicial orientando para que os usuários escolham senhas que mesclem letras e números, para dificultar a ação de programas que decifrem códigos de acesso".
Em resposta às críticas do Comitê, o presidente-executivo do Super11.net, Nagib Mimassi, defende o provedor de forma semelhante. "Desde o dia 24 de fevereiro nossos novos usuários já estão se logando por meio de login e senha diferenciados, criados no momento de cadastramento. Os usuários mais antigos estarão sendo informados da novidade e serão obrigados, gradativamente, a deixar de usar o login único", alega. O mesmo é dito pelo diretor executivo do Terra Livre, o braço gratuito do provedor Terra, lançado por aqui no início de fevereiro. Sérgio Pretto conta que "as afirmações do Comitê Gestor são genéricas e contundentes. Estamos fazendo de tudo para proteger a Rede e ter informações de todos os usuários, incluindo CPF e endereço. Entretanto, se o Comitê achou alguma falha em nossa segurança, ótimo: queremos é melhorar e modificar este sistema". Pretto ainda rebateu outra acusação do CGI.br, de que os provedores gratuitos não oferecem o mesmo grau de segurança. "Conheço os mecanismos de segurança do Terra pago e do serviço gratuito e garanto: não há diferença alguma entre eles", esclarece.
E não é só o Terra que afirma isso. O IG, provedor que parece ter inspirado toda a análise do Comitê Gestor, também discorda de que as brechas de segurança encontradas nos provedores gratuitos não estão presentes nas empresas que cobram pela conexão. O diretor de novos negócios do provedor, Aleksandar Mandic conta que "se quiser, posso me inscrever num provedor pago com um nome que não é o meu, endereço e CPFs inventados ". Mandic revelou ainda que, quando era proprietário de um provedor pago - que levava seu nome -, enfrentava os mesmos problemas para identificar internautas. "Se o usuário estiver mal intencionado, é claro que ele vai se inscrever com um nome falso e é impossível checar a veracidade dos dados de todos os usuários", diz.
Futuro da segurança - Enquanto o Comitê Gestor não define regras a serem seguidas para garantir a segurança na Rede, resta aos provedores esperar e ficar atentos a qualquer nova norma que possa guiar seus mecanismos de proteção. Em breve, o CGI.br pretende estabelecer, junto aos provedores, novos critérios de segurança, de forma mais democrática e, para isso, tem o apoio da Anatel (Agência Nacional de Telecomunicações). No evento "Internet e a defesa da concorrência", promovido pelo Cade (Conselho Administrativo de Defesa Econômica), o interesse da Agência ficou claro nas palavras do conselheiro Luiz Tito Cerasoli. "Falta uma legislação clara para definir o que é ou não crime na Internet. Nossa preocupação principal é com a questão do anônimo na Rede", declarou o conselheiro.
E os internautas também estão preocupados com a divulgada falha de segurança dos gratuitos. Em enquete realizada pelo Canal Web esta semana, 70,87% dos leitores acreditam que o comunicado do Comitê Gestor vai aumentar a insegurança dos internautas na Rede. E a polêmica ainda promete continuar.
