O Brasil é o paraíso dos scriptkids
- Segurança na internet!
- Mim não falar seu língua.
É como me sinto acessando diariamente sites de organizações, empresas, lojas e do Governo Federal. É irritante quando se trata de uma loja. Extremamente irritante. Preocupante quando se trata do Governo. Extremamente preocupante. Mas que diabos acontece com a internet brasileira?
No ano passado 62 milhões de brasileiros foram vítimas de golpes cibernéticos. Juntos, tomaram um prejuízo estimado em US$ 22 bilhões. Isso significa metade da população brasileira com acesso à internet tendo seu suado dinheirinho roubado na internet, na maciota. Não acredito que seja resultado apenas do péssimo hábito que as pessoas têm de usar a mesma senha para tudo e deixar todos os dados possíveis salvos nos navegadores.
Desconfio que parte desse problema seja a imensa dependência dos desenvolvedores brasileiros do Stack Overflow e do WordPress. Boas práticas de segurança passam longe do manual da maioria das empresas que “fazem sites”. É o paraíso dos scriptkids.
São milhares de sites inseguros, com versões desatualizadas do WordPress, com plug-ins suspeitos alegremente instalados, e muito mais. Mais de 50% dos ataques registrados oficialmente no Brasil são tipo scan, em que os garotos fazem varreduras em busca de falhas de segurança. É um playground para a garotada que está aprendendo a explorar vulnerabilidades de segurança.
É inadmissível que, em 2018, ainda tenhamos tantos sites sem HTTPS ou com erros de implementação do certificado de segurança. Há quase quatro anos o buscador do Google rebaixa sites sem HTTPS, a importância disso já está até nos blogs com dicas mágicas de SEO. Mas nem com a possibilidade de pegar um certificado seguro, reconhecido pelos navegadores, de graça, anima os meninos do site a fazerem isso direito.
E loja online? Eu nem faço cadastro se não tiver certificado ou se estiver com erro. Mas aí as empresas fazem atualizações porcas nos seus sites e acabam com a paciência de usuários interessados em manter sua segurança online. Precisei ligar para o SAC de uma loja para pedir a reposição de um produto que comprei e veio com defeito. Quando devolvi a peça com defeito, a loja me deu um código promocional para realizar usar na loja virtual. Lindo.
Mas a loja online está com problemas justamente no processamento desse código promocional. Nem mesmo desabilitando a proteção do Firefox eu consegui concluir a compra. É inacreditável a quantidade de erros “invisíveis”. A solução da atendente no SAC foi me pedir para solicitar o envio do produto por e-mail.
Mas o pior de tudo são os sites de serviços do Governo Federal. Aposto que 99% dos brasileiros, ao tentarem fazer download do programa para declaração do IRPF simplesmente adicionam a exceção de segurança e segue, faceiros, para a jaula do Leão.
COMO ASSIM?!?!
Você realmente acha normal ter que adicionar uma exceção de segurança para baixar o programa do Governo Federal onde serão inseridos todos os seus dados cadastrais e informações de renda? Não há nenhuma explicação que vá me convencer de que isso não é um problema sério. Na verdade, dois problemas sérios.
O primeiro é que as principais empresas de tecnologia — Google, Mozilla, Microsoft, Red Hat, Canonical, Oracle — não reconhecem os certificados de segurança do Governo Federal em suas cadeias de confiança. Ou seja, eles não são “lidos” automaticamente pelos navegadores decentes, como Firefox e Chrome. Então você precisa descobrir onde estão os certificados brasileiros e salvá-los no seu navegador antes de seguir usando o site. É uma novela. Ninguém sabe fazer isso. E, dos que sabem, metade perde a paciência.
O segundo problema é que quem administra o site da Receita Federal não se dá ao trabalho de atualizar todos os certificados de todos os serviços. De modo que há serviços com certificado vencido.
Tive esse problema tentando acessar minha DIRF no final do ano. Toda a cadeia de certificado utilizada nesse serviço está vencida desde 2014. E qual foi a resposta que obtive do serviço de atendimento quando questionei como acessar a declaração sem ter que aceitar um certificado vencido? Acesse em dias e horários diferentes ou de outro computador.
Ficamos escandalizados com o caso Cambrigde Analytica. Para mim, os problemas de segurança na internet brasileira são ainda mais graves.
