Nilce
Ruiz Monografia
apresentada no curso de Organização, Sistemas
e Métodos das Faculdades
Integradas Campos Salles,
sob orientação do Professor Mauro
M. Laruccia (Disponível
na rede desde novembro de 2000)
Introdução "Durante
séculos as sociedades, cada qual de sua época,
procuram usar de todos os recursos disponíveis para
melhorar ou criar novas formas de comercializar os seus bens
e serviços. Em
nosso tempo não é diferente, somadas as
experiências do passado e unidas ao desenvolvimento
tecnológico, do rádio, da televisão, do
telefone, do fax, do computador e da Internet, criou-se uma
imensidão de novas técnicas e métodos
utilizados para facilitar as operações de
compra e venda, e fez surgir uma nova forma de
comércio: O Comércio
Eletrônico. Como
qualquer outra atividade, o comércio eletrônico
veio para ficar, ele trouxe vantagens evidentes se
comparadas com as formas tradicionais de comércio, a
expectativa é que comércio eletrônico
ofereça algo a mais, ou que seja melhor do que o que
já existe, e cative de vez os
consumidores. O
comércio eletrônico é para a
Revolução da Informação o que a
ferrovia foi para a Revolução Industrial - um
avanço totalmente novo, totalmente sem precedentes,
totalmente inesperado. Fazendo uma analogia com a ferrovia
de 170 anos atrás, o comércio eletrônico
está criando uma nova explosão, mudando
rapidamente a economia, a sociedade e a política. Um
exemplo: uma companhia de médio porte no Centro-Oeste
industrial dos Estados Unidos, fundada na década de
1920 e agora dirigida pelos netos do fundador,
possuía 60% do mercado de louça barata para
lanchonetes, escolas, refeitórios de empresas e
hospitais num raio de 160 quilômetros de sua
fábrica. A louça é pesada e quebra
fácil; assim, a louça barata normalmente
é vendida dentro de uma área restrita. Quase
da noite para o dia, a companhia perdeu mais da metade de
seu mercado. Em um de seus clientes, um refeitório de
hospital, alguém foi navegar na Internet e descobriu
um fabricante europeu que oferecia louça de qualidade
aparentemente melhor a um preço mais baixo.
Além disso, enviava por avião e a custo baixo.
Em poucos meses os principais clientes tinham preferido o
fornecedor europeu. Poucos deles, ao que parece, lembram ou
se importam que o produto vem da Europa. Na nova geografia
mental criada pela ferrovia, a humanidade dominou a
distância. Na geografia mental do comércio
eletrônico, simplesmente eliminou-se a
distância. Existem somente uma economia e um
mercado. Hoje
em dia muito se fala em e-business "electronic business" ou
"negócio eletrônico", que não deve ser
confundido com e-commerce ou "comércio
eletrônico". O e-business pode ser definido como uma
estratégia de inserção da empresa na
Internet, visando automatizar suas atividades em diversas
áreas, como as comunicações internas e
externas, a transmissão de dados, controles internos,
treinamento de pessoal, contatos com fornecedores e clientes
etc. O
e-commerce ou comércio eletrônico, por outro
lado, é parte integrante do e-business. É a
atividade mercantil que, em última análise,
vai fazer a conexão eletrônica entre a empresa
e o cliente, seguindo a estratégia estabelecida pelo
e-business. É um método moderno de
realização de negócios que compreende a
análise das necessidades das
organizações, dos mercados e dos consumidores
com o objetivo de reduzir custos, melhorar a qualidade dos
produtos e serviços, aumentar a
interação com o consumidor e otimizar o tempo
de distribuição de produtos. A
desburocratização é a
característica deste segmento, assim como a
viabilidade do acesso das micro e pequenas empresas em todo
o mundo, que operam sem a presença de atravessadores
e vendedores. No
estágio atual de re-elaboração das
estratégias de negócios das
organizações, o comércio
eletrônico se constitui numa ferramenta
imprescindível. Nas relações entre
empresas e consumidores, o comércio eletrônico
fornece ferramentas de relacionamento interativas mais
eficientes que garantem um feedback preciso nas
ações de comunicação como
propaganda, marketing e serviços on-line. Com
a expansão do comércio eletrônico a
concorrência não é mais local; ela
desconhece fronteiras. Toda empresa tem de se tornar
transnacional na maneira em que opera. Contudo, a
multinacional tradicional pode muito bem se tornar obsoleta.
Ela fabrica e distribui em inúmeras partes do mundo,
nas quais é uma empresa local. Entretanto, no
comércio eletrônico, não existem nem
empresas locais nem geografias distintas. Vários
fatores estão levando o Comércio
Eletrônico a um nível de
utilização muito mais amplo, por uma parte
muito mais abrangente da sociedade. Além disso,
comércio eletrônico inclui conexões
bussiness to bussiness que tornam compras mais fáceis
para grandes corporações. O
Comércio Eletrônico possui importantes
vantagens em comparação com o comércio
convencional, com o comércio face-a-face tradicional,
dentre elas o fato que dá ao cliente mais
opções de escolha e
customização; diminui o tempo e custo de busca
e escolha tanto para clientes quanto para fornecedores;
expande mercados locais e regionais para nacionais e
internacionais, com níveis mínimos de capital,
estoque e staff; facilita a produção e
pagamento just-in-time, reduzindo o overhead e estoque
através do incremento na automação e
redução dos tempos de processamento;
decrementa os altos custos envolvidos em transporte,
armazenamento e distribuição, bem como em
identificar e negociar com potenciais clientes e
fornecedores; melhora a eficiência em atender o
cliente, incluindo a entrega por demanda; de todas estas
vantagens, a de maior destaque é o fato do
comprador/vendedor encontrar-se no comando da
situação. De sua casa, sem interferência
de vendedores/compradores e no anonimato, você pode
fazer a sua pesquisa de preço no mercado
interno/externo e navegar por diversas empresas virtuais
optando pelo produto que melhor lhe convier em preço,
quantidade e qualidade a qualquer hora do dia ou da noite.
Com o Comércio Eletrônico mudam não
só a forma de comprar, mas também o que
comprar. Houve a mudança no comportamento do
consumidor, os padrões de poupança, a
estrutura industrial, em suma, toda a economia. Quem
imaginaria a 15 anos atrás que uma rede mundial de
computadores pudesse chegar na casa dos consumidores e
causar revolução na economia e nos
hábitos pessoais. Atualmente as compras na Internet
são efetuadas por pessoas que já tem uma
idéia, as vezes já definida, do que
está querendo encontrar ou adquirir. São
consumidores que para chegarem ao local desejado vão
abrindo caminhos no meio de emaranhado de
informações da rede, até encontrar o
que deseja. Mas uma compra pela Internet também pode
ser feita na base do impulso, como normalmente ocorre
diariamente no shopping center, Um dos fatores que
incentivam o consumidor a efetuar estas compras por impulso
são os chamados banners, são anúncios
atraentes, muitas vezes com recursos de
animação, que nos atiçam a curiosidade,
são acionados quando a pessoa clica com o mouse para
poder abrir e ler a informação que está
dentro. O
consumidor virtual tem a expectativa de que o produto sai do
computador logo após a compra ter sido efetuada. Como
as expectativas são altas e a operação
de compra e muito rápida, o nível de demanda
é muito mais intenso que no mundo
tradicional. Para
efetuar compras pela Internet é um processo muito
fácil, inicia-se com a busca de um determinado
produto, depois a colocação do pedido de
compra e última fase é o pagamento, neste
momento, na hora de escolher a forma de efetuar os
pagamentos on-line começam as
preocupações por parte do consumidor. A
segurança em transações
eletrônicas é realmente um dos aspectos de
maior preocupação de todos os envolvidos com o
Comércio Eletrônico. Desta forma, o
comércio eletrônico possibilita diferentes
métodos de pagamentos consistentes com o mercado e o
negócio da empresa. Apesar de todos os recursos
existentes voltados para criptografia,
autenticação e certificação,
ainda não existe efetivamente uma "Moeda da Internet"
adotada por todos. Aparentemente
parece que o processo está concluído,
porém, existe toda uma logística por
trás do clique, que fará com que o consumidor
receba o produto escolhido na residência, no trabalho
ou local pré-determinado. As empresas no mundo
físico que têm uma distribuição
bem elaborada, ao fazerem parte do mundo virtual acabam
tendo grandes vantagens competitivas em
relação as outras empresas ponto-com. Em uma
empresa no mundo físico, é possível
estabelecer uma rotina em que, por exemplo, os pedidos seja
consolidados à noite para serem enviados de
manhã. Na Internet, porém, a coisa é
diferente, normalmente as empresas têm grande
velocidade de tomadas de decisões, pois possuem
estruturas enxutas e na maioria dos casos acabam enviando o
pedido de compra para um centro de
distribuição, quando a empresa não
possui veículos ou uma frota especializada que atenda
a demanda. Não
podemos esquecer que além da logística existe
o fator tributário, pois, cada país ou
localidade possui uma variabilidade de taxas de impostos. A
cobrança de impostos e taxas na Internet é um
assunto polêmico. Em 1997 o governo americano criou um
programa para desenvolvimento do comércio
eletrônico (conhecido como "Framework For Global
Electronic Commerce"), declarando os negócios on-line
como zona de livre comércio, um "duty-free zone".
Isso tem como objetivo fomentar o comércio
eletrônico, tornando mais atrativa as compras pela
Internet. No Brasil, não existe nada de concreto para
fomentar o comércio eletrônico, encarando as
compras pela Internet como mais um canal de venda de
produtos. Os
Estados Unidos é o país que vem demonstrando
maior preocupação, pelo fato de ser o
líder na comercialização
eletrônica, há mais de 4 anos estão
sendo realizados congressos com a participação
de todos os setores da sociedade, dentre estes um
comitê formado por 43 Estados norte-americanos e a
american Bar Association (espécie de Ordem dos
Advogados), objetivando, em conjunto, a
elaboração do "UNIFORM COMPUTER INFORMATION
TRANSACTIONS ACT", a "lei para uniformização
das transações por computadores", que
lançará as bases para o desenvolvimento de
todas as potencialidades do comércio eletrônico
antes dos demais países. O
comércio eletrônico está sendo encarado
por especialista como uma verdadeira revolução
no modo de posicionamento das empresas no mercado, o que
poderá determinar mudanças profundas nos
modelos organizacionais vigentes. Cuidar
bem do cliente, antecipando-se com relação a
suas necessidades também é um dos valores
agregados ao Sistema de Comércio Eletrônico.
Regras de Negócio que automatizam a
condução do relacionamento com o cliente;
(já que não é possível
servir-lhe um cafezinho, faça-o realmente sentir-se
em casa)" (Sebrae, Comércio Eletrônico,
1998). O
Comércio Eletrônico Conceito "Podemos
definir Comércio Eletrônico como a capacidade
de realizar transações envolvendo a troca de
bens ou serviços entre duas ou mais partes utilizando
ferramentas eletrônicas e tecnologias
emergentes. Já
utilizado há muito tempo por grandes
organizações e Instituições
Financeiras, vários fatores estão levando o
Comércio Eletrônico a um nível de
utilização muito mais amplo, por uma parte
muito mais abrangente da sociedade. O
termo também se refere a transações de
estoque on-line, compra ou download de software sem a
necessidade de ir a uma loja. Além disso,
comércio eletrônico inclui conexões
bussines to bussines que tornam compras mais fáceis
para grandes corporações. E muitas pessoas
esperam que as denominadas microtransações
permitam pagar quantias pequenas (alguns centavos ou alguns
dólares) para ter acesso a conteúdos ou jogos
on-line. Centenas
de estudos, análises e projeções,
além da realidade atual, indicam que essa
será, realmente, uma enorme
transformação econômica. Nos Estados
Unidos, as aplicações de comércio
eletrônico já estão apresentando seus
desdobramentos naturais, subdividindo-se claramente em dois
setores: negócios entre empresas, ou business to
business e varejo, ou business to
consumer. O
relatório "The emerging digital economy", da
Secretaria de Comércio Eletrônico dos EUA
(www.ecommerce.gov),
indica, entre outras previsões, que o comércio
entre empresas norte-americanas deve movimentar mais de 300
bilhões de dólares em 2002. Embora esse
número possa impressionar, ele representará
apenas 3% do PIB norte-americano previsto para aquele ano, o
que, segundo o relatório, indica um grande potencial
de crescimento para esse tipo de transação
ainda por muitos e muitos anos. Outros
setores também vêm apresentando desempenho e
perspectivas fantásticas. Um dos setores com
aplicações mais significativas é a
indústria bancária. Apesar de alguns bancos
já estarem oferecendo os chamados serviços de
home banking via computador, no qual o cliente se conecta
diretamente à central de atendimento do banco, a
explosão do uso da Internet facilitou a
disseminação desse serviço, com uma
interface mais amigável, aproveitando a
própria conexão Internet do cliente"
(fortunecity.com). Breve
Histórico "Como
a Revolução Industrial dois séculos
atrás, a Revolução da
Informação até agora isto é,
desde os primeiros computadores, em meados da década
de 1940 - apenas transformou processos que já
existiam. Na verdade, o impacto real da
Revolução da Informação
não ocorreu na forma de informação.
Quase nenhum dos efeitos da informação
vislumbrados há 40 anos realmente se concretizou. Por
exemplo, praticamente não houve mudança na
forma em que são tomadas as decisões nas
empresas ou governos. A Revolução da
Informação apenas transformou em rotina
processos tradicionais de inúmeras
áreas. O
software para afinar um piano converte um processo
que tradicionalmente levava três horas para algo em
torno de 20 minutos. Há software para folhas
de pagamentos, para controle de estoque, para
programações de entrega e para todos os outros
processos de rotina de uma empresa. O projeto das
instalações internas de um grande
prédio (aquecimento, hidráulica e assim por
diante), de um presídio ou de um hospital antigamente
envolvia, digamos, 25 projetistas altamente especializados
durante 50 dias. Agora, existem programas que permitem que
um projetista faça o trabalho em alguns dias, a uma
fração ínfima do custo. Existe software
que ajuda as pessoas a preencher a declaração
de imposto de renda e software que ensina os residentes de
hospital a retirar uma vesícula biliar. As
pessoas que agora especulam on-line na bolsa de
valores fazem exatamente o que seus antecessores faziam na
década de 1920, quando passavam horas, todos os dias,
numa corretora. Os processos não mudaram nada. Eles
foram transformados em rotinas, passo a passo, com uma
tremenda economia de tempo e, freqüentemente, de
custos. O
impacto psicológico da Revolução da
Informação, como o da Revolução
Industrial, foi enorme. Talvez tenha sido mais forte na
maneira como as crianças aprendem. Já aos 4
anos (e às vezes até antes), as
crianças desenvolvem habilidades de
computação, logo ultrapassando seus pais. Os
computadores são seus brinquedos e suas ferramentas
de aprendizado. Daqui a 50 anos, talvez concluamos que
não houve nenhuma crise educacional no mundo, apenas
ocorreu uma incongruência crescente entre a maneira
como as escolas do século XX ensinavam e a maneira
como as crianças do fim do século XX
aprendiam. Algo semelhante ocorreu na universidade do
século XVI, cem anos depois da invenção
da imprensa e dos tipos móveis. A
Revolução da Informação,
até agora, simplesmente criou uma rotina para o
que sempre
foi feito. A única exceção é o
CD-ROM, inventado há cerca de 20 anos para apresentar
óperas, cursos universitários, a obra de um
escritor, de uma forma totalmente nova. Como o barco a
vapor, o CD-ROM não foi um sucesso imediato" (HSM
Management, Fev/2000). Moeda
Eletrônica "O
termo Eletronic Money (e-money), também chamado de
eletronic cash ou digital cash, ainda não tem uma
definição precisa. Refere-se a
transações efetuadas eletronicamente com o
propósito de transferir fundos de uma parte para
outra. Digital cash por si só é basicamente um
outro valor corrente e as transações
realizadas com ele podem ser visualizadas como uma troca de
moedas nos mercado estrangeiro. Isto porque antes de
utilizar o dinheiro digital é necessário
disponibilizá-lo de alguma forma e esse processo de
conversão é semelhante à
aquisição de moeda estrangeira. Segundo
alguns autores, o dinheiro eletrônico representa a
oportunidade de transformar totalmente o sistema de
pagamentos: novas moedas podem ser criadas e negociadas
pelas empresas, sem deixar de lado as premissas já
adotadas pelas instituições financeiras
tradicionais como segurança, confiabilidade e
sigilo. O
digital cash pode ser armazenado num chip e este colocado
num cartão de plástico semelhante aos
cartões de crédito tradicionais. Aos
cartões com essas propriedades é dada a
denominação de Smart Cards ou Cartões
Inteligentes. Os Smart Cards estão revolucionando o
comércio eletrônico e seu uso vem crescendo a
cada dia. O setor que mais se destaca é o da
telefonia, onde os cartões telefônicos vieram
substituir as fichas no pagamento de
ligações. Cuidados
devem ser tomados para garantir que as
transações efetuadas com dinheiro digital
sejam confiáveis. A duplicação indevida
de chips, permitindo o uso da mesma quantidade de dinheiro
mais de uma vez, a possibilidade de se transferir dinheiro
através de uma rede e de utilizá-lo em partes
são pontos a considerar num sistema de pagamento
eletrônico. Criptografia
Assimétrica torna o desenvolvimento do
comércio eletrônico possível, na medida
em que permite identificar usuários, bancos e
comerciantes numa transação, legitimando-os.
Outros protocolos criptográficos impedem
falsificações e são utilizados para
garantir a realização das
transações monetárias. Alguns
protocolos podem ser utilizados para o comércio
eletrônico, entre eles o IKP (Internet Keyed Payments
Protocol), o SEPP (Secure Eletronic Payment Protocol), o STT
(Secure Transaction Technology), Secure Courier e o SET
(Secure Eletronic Transaction). Existem,
por definição, dois tipo diferentes de
E-money: identificado e anônimo (conhecido como
digital cash). O E-money identificado contém
informações revelando o seu possuidor -
é semelhante ao cartão de crédito e
permite o rastreamento de todas as operações.
Utiliza um algoritmo geral para assinatura digital.
Já o E-money anônimo não permite que se
descubra o seu proprietário, possibilitando, no
entanto, a descoberta de todas as transações
efetuadas (existem pagamentos que são anônimos
relação ao negociante mas não ao Banco
e outros anônimos para todas as
transações). Utiliza um algoritmo de
criptografia de chaves públicas, como o
RSA. Ambos
E-money identificado e anônimo podem ser de dois
tipos: online e offline. Online impõe a necessidade
de comunicação com um banco, realizada via
modem ou rede de computadores, para efetuar uma
transação com uma terceira parte; offline
não implica na comunicação direta com o
banco. A forma offline anônima, que constitui o
verdadeiro dinheiro digital, é a forma mais complexa
de E-money devido ao problema de se garantir que os valores
armazenados sejam utilizados apenas uma vez (uma vez que o
e-money é apenas uma representação
eletrônica de fundos, torna-se muito fácil
duplicá-lo e utilizar mais de uma vez os recursos
disponibilizados originalmente -
double-spending). Para
impedir o double-spending, os sistemas online obrigam que o
comerciante consulte o banco a cada transação
para validar/verificar a existência de fundos. Os
sistemas offline implementam um tipo especial de smart card
com um chip contendo um mini banco de dados que registra
todas as transações realizadas pelo
cartão. Ao se tentar duplicar o e-money, o chip
detecta a tentativa e impede a transação. Uma
outra maneira é utilizar os protocolos
criptográficos envolvidos para revelar a identidade
do duplicador no momento em que uma peça do e-money
retornar ao banco" (Universidade de Brasília,
Pedro.A.D.de Rezende, 2000). Smart
Card - Aplicações do Dinheiro
Eletrônico "Smart
Card, também chamado de cartão inteligente,
é semelhante em tamanho aos cartões de
crédito tradicionais, que possui um chip com
memória suficiente para armazenar dinheiro. Com esta
propriedade, permite a aquisição e troca de
valores, possibilitando o comércio eletrônico.
Provê portabilidade de dados, segurança e
conveniência. Muitas
são as utilizações dos Smart Cards
atualmente: controle de acesso, pagamento de
ligações telefônicas, pagamento de
assinaturas de canais de TV, convênios médicos
ou simplesmente como porta-moedas
eletrônico. Os
cartões inteligentes diferem quanto à
memória e forma de contato. Quanto à
memória, dividem-se em cartões de
memória, cartões com microprocessador e
cartões híbridos: Quanto
à forma de contato podem ser com contato, onde o
acesso aos dados e aplicações do smart cards
se dão através do contato físico com o
dispositivo de leitura, que se comunicam por sinais
elétricos, ou sem contato (contactless), onde
não há necessidade de contato
físico. O
comércio eletrônico com cartões
inteligentes vem crescendo bastante a cada dia.
Proporcionalmente, aumentam as preocupações
dos usuários com a segurança com que suas
transações são feitas. Para
solucionar o problema, a Visa Internacional e a MasterCard
anunciaram, em parceria com outras empresas, o
desenvolvimento de uma norma de segurança para
pagamentos com porta-moedas feitas em redes abertas,
conhecida como SET (Secure Eletronic
Transaction). O
SET usa técnicas sofisticadas que tornam o
ciberespaço um local seguro para
manutenção da confiabilidade da
informação, e autenticação das
partes envolvidas na transação, através
de certificados digitais. O
comércio eletrônico e a sobrevivência do
e-money só são possíveis devido
à criptografia assimétrica e aos sistemas de
assinaturas digitais. Um pouco de criptografia será
visto no próximo item" (Universidade de
Brasília, Pedro.A.D.de Rezende, 2000). O
novo jeito de vender "Este
é um tema moderno (?) e ao mesmo tempo tradicional
(?) envolvendo televendas e teleatendimento. A principal
questão está centralizada na nova filosofia de
percepção da compra eletrônica, na
definição de um internauta e sua
percepção de realização da
compra através de um novo canal de
comunicação, a Internet. Para
podermos compreender a filosofia do comércio
eletrônico (E-Com) precisamos entender o mecanismo de
televendas e teleatendimento como sendo uma primeira
tentativa de vender "virtual" que surgiu no início da
década de 80 e procura incorporar os seguintes
conceitos: 1-Desmaterialização:
Substituição do movimento e contato
físico por informação telefônica
ou via catálogos (texto, áudio, vídeo,
imagem ou um filme) e um contato "virtual", via
telefone. 2-Desintermediação:
Eliminação de um ou mais
intermediários na cadeia de venda do produto na qual
deveremos questionar "Quem é de fato o
proprietário do bem?", e "Quem é o
proprietário do relacionamento com o
cliente?". 3-Grupo
de Afinidades: São produtos e serviços que
possuem similaridades (em termos de divulgação
e consumo) e que oferecem ao consumidor
soluções apenas visuais, cujas
características são inquestionáveis em
termos de qualidade, preço e garantia. Os
consumidores que adquirem esses produtos possuem
características afins. Algumas
empresas implementaram o conceito de infra-estrutura
necessária para operar um centro de atendimento ao
cliente, os chamados call-centers. Surgiram os sistemas de
informação, os bancos de dados, sistemas de
telefonia com unidades de respostas audíveis,
profissionais de teleatendimento e interação
entre comandos, dados e voz, que representa o ponto
máximo de evolução do atendimento
virtual, possibilitando uma interação com o
cliente do tipo: "Bem vindo, Sr.Xxx, o seu saldo é de
R$ yyy, caso queira continuar tecle...". O
uso dos recursos de telefonia integrados com o sistema e
bases de dados aliados a uma filosofia de televendas
proporcionou o início do comércio
eletrônico que "acoplou" os recursos de Internet, home
page, browser, servidor web e provedor de acesso. Este
"mundo" virtual, com filosofias de consumo próprias
ainda não claramente estabelecidas e compreendidas,
envolve basicamente a facilidade de
manipulação de um browser interrelacionado as
necessidades do cliente e a oferta de produtos e
serviços até a efetivação da
compra segundo: Learn: como os clientes aprendem e
adquirem informações gerais e institucionais
sobre a empresa; Shop: como os clientes consultam e
escolhem as ofertas de produtos e serviços; Buy:
como os clientes efetivam as transações de
compra; Support: como os clientes poderão ter
um suporte técnico e um serviço de
teleatendimento no pós-venda. Estou
certo que precisamos ir um pouco além da Internet e
da tecnologia, estamos tratando do relacionamento humano
inserido dentro do uso da Internet,
massificação da computação em
rede e um mecanismo de teleatendimento, ou melhor,
"Web-atendimento", isto é, Comércio
Eletrônico" (Nelson Hirano, Brasil Information Week,
2000:30). O
poder desta nova mídia Diferentemente
de outros meios de comunicação e
negócios, a Internet, particularmente a Web, possui
uma característica muito especial: nenhum outro meio
de comunicação possibilita que uma empresa
disponibilize seu catálogo de produtos, responda
solicitações específicas de
usuários e realize vendas com tanta facilidade e
flexibilidade. Por
um bom período de tempo, a Web foi encarada apenas
como um novo meio de comunicação, sem uma
clara aplicação para negócios. Se essa
vocação para negócios não
tivesse sido percebida e aceita pela comunidade de
usuários, a Internet não teria conseguido um
crescimento tão veloz. O impressionante número
de 130 milhões de pessoas conectadas no mundo
inteiro, alcançado em julho de 1998, segundo a NUA
Internet Surveys <www.nua.ie/surveys>, faz da Internet
uma ferramenta com alcance para um enorme mercado
consumidor. Além do número de pessoas com
acesso à Internet, também se percebe seu
crescimento observando o número de hosts
(computadores conectados à Internet com
Endereço IP fixo), que, segundo a Network Wizards
<www.nw.com> passou de 1.776.000 em julho de 1993 para
quase 20 milhões em julho de 1997. Os
especialistas apontam que todo esse crescimento é
apenas o início de um processo que irá
modificar sensivelmente a forma com que os negócios
são realizados no mundo. Os vários
desdobramentos ligados à Internet ainda estão
se sedimentando e alguns, como o comércio
eletrônico, ainda são incipientes,
especialmente fora dos EUA. Além do comércio
eletrônico, as áreas de treinamento,
desenvolvimento de sites, provimento de conteúdo,
telefonia via Internet, planejamento e montagem de
intranets, dentre outros, também deverão
apresentar um crescimento muito grande nos próximos
anos, consolidando uma nova economia nas próximas
décadas. Princípios
de Segurança Conceito "Os
ataques a famosos endereços da internet obrigam
empresas a fortalecerem suas defesas contra vândalos
cibernéticos. Hoje,
já está claro para muita gente que a
proteção de uma organização que
trabalha com a internet não pode ser feita somente
com antivírus e firewalls. É preciso ter
também aplicativos de detecção de
instrução, criptografia, help desk, sniffers e
uma política consistente e coerente de
segurança. Como
em qualquer guerra, nessa também existem
forças-tarefas, esquadrões de ataque e de
defesa, simuladores, estrategistas e ódigos
claramente identificados por nomes que reforçam a
idéia de proteção. Equipe
composta de especialistas mundiais em segurança,
altamente capacitados, responsáveis pela
documentação e codificação das
mais recentes vulnerabilidade e ameaças à
segurança. Montam um ambiente semelhante ao que foi
afetado, criam barreiras e
soluções. Na
verdade, tão importante quanto evitar um ataque
é nos recuperarmos rapidamente dos seus efeitos"
(Revista Ecomerce, Ago/2000:26). Principais
Problemas "Existem
diferenças fundamentais na segurança voltada
para o mercado corporativo onde nos deparamos com a
utilização de tecnologias avançadas com
alta capacidade de tráfego e gerenciamento de
estações quando comparadas à
segurança voltada para o mercado doméstico, do
usuário da internet ou da dona de casa que guarda
suas receitas no micro (microcomputador, não
microondas, ainda...). O
objetivo é ajudar a resolver os problemas do
usuário doméstico, aquele que lê seus
emails, faz sua pesquisa escolar ou consultas para seu
escritório e aquele que usa computadores por
diversão em bate-papos, jogos, paqueras etc. Neste
capítulo estaremos mostrando os principais atentados
à segurança que você pode sofrer usando
o seu computador pessoal. Estes
atentados se dividem em três grandes categorias que
muitas vezes estão interligadas, sendo
necessário um ataque à uma categoria antes de
se iniciar ataques as outras. São elas: (1) ataques
à privacidade, (2) destruição e (3)
obtenção de vantagens. Ataques
à privacidade - Este é o ataque direto
mais comum ao usuário doméstico. Assim como
muitas pessoas têm compulsão em ler
correspondência alheia ou observar vizinhos com
lunetas, hackers têm compulsão em "dar uma
olhadinha" na sua vida pessoal e a melhor maneira de se
descobrir coisas sobre a vida de uma pessoa é olhando
dentro do seu computador. Os principais alvos são os
seus emails mandados, recebidos e apagados, seu
histórico de visitação de sites ou seus
"arquivos.doc", onde podem conter cartas,
procurações, contratos e até aqueles
poeminhas que você fez e jurou jamais
mostrá-los a alguém. Destruição
- Apesar de ser perfeitamente possível para um
hacker, uma vez estando dentro do seu computador, destruir
seus dados, as estatísticas mostram que na grande
maioria dos incidentes nos quais há perdas de
informação a causa é a
ação de vírus ou programas com
funções semelhantes, que raramente são
implantados de forma proposital. Geralmente a
infecção ocorre com programas recebidos de
terceiros que muitas vezes também não sabem
que estão infectados. As conseqüências
podem ser as piores, pois os usuários
domésticos não têm o costume de fazer
backups dos dados do seu computador pessoal. Obtenção
de Vantagens - Para se obter vantagens causando
incidentes de segurança nos computadores pessoais
geralmente é necessária a
utilização de técnicas onde primeiro a
vítima será exposta a ataques de privacidade
ou destruição. As motivações
deste tipo de ataque são tão distintas quanto
seu próprio objetivo real. Por
exemplo, garotos podem invadir computadores de amigos para
obter informações ou destruir dados com o
único intuito de se vangloriar perante a
vítima derrotada, atitude normal nas
definições de status e liderança em
qualquer grupo animal. Outros podem ter objetivos
mórbidos, como o simples prazer na
destruição, sem importar-se com a sua tese de
mestrado na qual trabalhou quase dois anos. E, como
não poderia deixar de ser, as vantagens financeiras
estão presentes com uma fatia assustadora dos
objetivos de ataques a computadores pessoais. Faça
isso agora: classifique a informação presente
no seu computador pessoal. Não só a
informação que fica armazenada nele mas,
principalmente, a informação que "passa" por
ele. Você verá que a informação
armazenada, apesar de ter toda a sua atenção e
preocupação, corresponde a apenas parte do
problema no caso de uma quebra de segurança no seu
computador. Você pode não deixar gravado no seu
computador o número do seu cartão de
crédito ou a sua senha do internet banking, mas esta
informação, após ter sido digitada, faz
parte do seu computador temporariamente. O que alguns
hackers fazem é monitorar seu computador e esperar
por informações deste tipo. Com esta
informação na mão eles podem abandonar
seu computador e quem sabe até fechar a porta por
onde eles entraram para não levantar futuras
suspeitas. O último a sair apaga as luzes! Com
base apenas nestas informações, tente
responder às seguintes perguntas: Você usaria
hoje, em seu computador pessoal, um programa de internet
banking para fazer transferências de dinheiro?
Você faria compras na internet, mesmo sabendo que o
site/loja possui um servidor seguro, digitando seu
cartão de crédito no seu computador pessoal?
Você trataria de assuntos importantes na sua vida
pessoal e profissional, na qual se utiliza de dados
particulares, através de simples emails? Caso tenha
respondido "não" às três perguntas,
responda mais essa: Para que serve a internet? Felizmente
temos meios de impedir ou, pelo menos, de dificultar
enormemente as ações que põe em risco
nossa vida online. O risco sempre vai existir, assim como
existe na nossa vida fora dos bits e bytes. A questão
é trazer o "grau de risco" a um nível
aceitável, de modo que possamos evoluir na
utilização da tecnologia até um patamar
mais confiável e conseqüentemente mais eficaz,
porque, sem segurança, a internet não vai
passar de uma grande idéia ou de um caro brinquedo"
(UOL/Anti Hackers,2000). Modos
de Segurança "Uma
das sugestões mais dadas para garantir as
informações para realização de
qualquer transação comercial, é o uso
de encriptação com chaves públicas ou
não. Entretanto, isso traz sérios problemas.
Alguns seriam de ordem legal, com relação a
exportação e restrições de
patente de software. Outros seriam bem piores, se
relacionando com a interoperabilidade, pois não
há padrões. Corre-se o risco de limitar-se os
clientes a este ou aquele browser, por exemplo. Existem
também algumas sugestões no sentido de se
desenvolver software que encriptem e desencriptem os pacotes
sigilosos enviados. Só que se termina no mesmo ponto
da interoperabilidade, pois vendedor e comprador teriam que
ter o software de encriptação e
desencriptação. Vêm
se realizando cada vez mais estudos no sentido de se
determinar um padrão que diminuiria muito o problema
de interoperabilidade. Em última instância,
falhas de segurança sempre possíveis, mesmo se
usarmos meios extra internet para transmitirmos dados
sigilosos. Partindo disto e, principalmente, da
intenção de cada vez mais facilitar a
realização das comerciais, as pesquisas hoje
tendem cada vez mais a procurar meios mais seguros e
rápidos de concretização das
transações comerciais dentro da própria
Internet, sem a necessidade de meios externos" (Uraquitan
Sidney Cunha e Domingos Sávio Monteiro,
2000). Criptografia
- Tornando o Comércio Eletrônico
possível "Criptografia
hoje pode ser resumida como o estudo de técnicas e
aplicações que dependem da existência de
problemas difíceis de serem solucionados. Entenda-se
aqui problemas difíceis como aqueles cuja
solução depende de alguma
informação secreta como a
decriptação de uma mensagem ou a assinatura de
algum documento digital ou ainda aqueles que estão
relacionados a funções de hash. Encriptação
é a transformação de dados em alguma
forma ilegível, com o propósito de garantir
privacidade da mensagem. A decriptação
é o inverso: é a transformação
de dados ilegíveis numa mensagem
inteligível. A
encriptação e a decriptação
utilizam uma chave secreta. Alguns algoritmos utilizam a
mesma chave para encriptar e decriptar, enquanto outros
utilizam chaves diferentes para estas
operações. À criptografia que utiliza
as mesmas chaves para encriptação e
decriptação damos o nome de Simétrica;
quando chaves diferentes são utilizadas, a
criptografia é referenciada como Assimétrica e
as chaves denominadas privadas (para encriptar e/ou assinar)
e públicas (utilizadas para decriptação
e verificação de assinatura). Mas
a criptografia é mais do que
encriptação e decriptação.
É também a possibilidade de se garantir a
legitimidade de assinaturas eletrônicas. A
criptografia prevê mecanismos para a
autenticação. Uma assinatura digital relaciona
um documento ao possuidor de uma determinada chave privada e
um timestamp digital relaciona um documento a sua
criação num determinado tempo. Estes
mecanismos podem ser utilizados para controlar acessos a um
disco compartilhado, uma instalação de alta
segurança etc. Um certificado digital é um
documento eletrônico assinado por agente
confiável, cujo propósito é transferir
confiança na autenticidade por ele verificada de um
dado ali contido. Com
algumas pequenas ferramentas é possível
elaborar esquemas e protocolos que permitam o pagamento
através de moeda eletrônica. A
criptografia assimétrica e as assinaturas digitais
tornam possível a existência do E-money porque
garantem a integridade das mensagens e validam os
participantes da transação,
autenticando-os. Em
linhas gerais, os protocolos criptográficos funcionam
da seguinte forma: o banco e os usuários (compradores
e vendedores) possuem chaves públicas (conhecidas por
todas) e chaves privadas (conhecidas apenas por seus
possuidores). Eles utilizam essas chaves para
encriptar/decriptar mensagens (ordens de pagamento) e
também para assiná-las, garantindo a
identificação. O banco utiliza sua chave
privada para assinar as ordens de pagamento e os
usuários e comerciantes a validam através da
chave pública (amplamente divulgada). Os
usuários assinam depósitos e retiradas
utilizando sua chave privada e o banco utiliza a chave
pública do usuário para validar estas
assinaturas. Com a garantia de que comprador, vendedor e o
banco são realmente quem dizem ser, as
transações podem então ser
realizadas. Estaremos
conhecendo agora alguns protocolos de rede utilizados no
comércio eletrônico" (Universidade de
Brasília, Pedro.A.D.de Rezende, 2000). Protocolos
de Rede Algumas
considerações sobre o protocolo: a) Mensagens
entre o comprador e o vendedor devem ser trocadas
através da Internet; b) Mensagens entre o vendedor e
o banco podem ser mandadas pela Internet ou através
de uma rede financeira privada; c)As principais
proteções criptográficas são a
encriptação do slip com a chave pública
do banco e a assinatura do banco na
autorização de compra; d) Nem o vendedor nem
qualquer outra pessoa pode obter o slip de pagamento enviado
pelo comprador, então o número da conta do
comprador é mantido privado; e) Assinaturas do
vendedor e comprador são opcionais, provendo
proteção adicional contra
repudiação; f)O RSA é utilizado como o
algoritmo de encriptação e para
assinatura. SEPP
- Secure Eletronic Payment Protocol: É uma
especificação aberta para
transações seguras com cartões
bancários realizadas através da Internet,
desenvolvida pela IBM, Netscapes, GTE, CyberCash e
MasterCard. Utiliza o protocolo IKP direcionando-o para
transações HTTP e adaptando-o para pagamentos
com cartões bancários. Utiliza MIME para
transmissão de mensagens e o protocolo X.509
versão 3 para certificados. MIME
- Multipurpose Internet Mail Entensions. É o
padrão oficial proposto para mail eletrônico na
Internet. Um exemplo de SEPP: o sistema CyberCash para
pagamentos na Internet provê dois tipos de
serviços: comprador para negociante (customer to
merchant) e peer to peer. No primeiro caso, três parte
são conectadas à Internet: o comprador, o
vendedor e o servidor CyberCash. Os diálogos
realizados entre as três partes são semelhantes
aos descritos no protocolo IKP, onde o banco é
substituído pelo servidor CyberCash. O CyberCash
permite pagamentos Peer to Peer entre usuários que
possuam conta no servidor. Para abrir uma conta, o
usuário adquire o software e faz o pedido ao
servidor, gerando um par de chaves pública e privada.
A pública será informada ao servidor e
irá identificar a conta; a privada servirá
para assinar mensagens. O usuário pode, a partir
deste momento, movimentar sua conta e efetuar
transferências entre outras contas cadastradas no
servidor. O
CyberCash utiliza tecnologia de chaves públicas,
combinada com algoritmos simétricos e
funções de hash (RSA, DES e MD5),
respectivamente. Secure
Courier: É um protocolo proposto pela Netscape
para prover comércio eletrônico seguro na
Internet. Está no topo de um SSL (Secure Socket
Layer) ou protocolo semelhante. O SSL, que atua na camada de
transporte, prevê encriptação,
autenticação e MAC's (Message Authentication
Codes). Assim como o iKP, Secure Courier é baseado no
modelo de cartão de crédito, envolvendo uma
terceira parte, o banco. Mensagens são enviadas entre
o comprador e o negociante e entre o negociante e o banco.
Este protocolo é mais simples em alguns aspectos do
que outros protocolos de pagamentos que permitem que a
integridade da mensagem e a confidencialidade dos
serviços sejam entregues a um SSL ou a um
nível mais baixo. Por exemplo, um campo identificador
é suficiente para ligar mensagens numa
transação e impedir ataques por replay, uma
vez que a camada mais baixa garante que o campo não
será modificado. Em outros protocolos, o campo de
identificação precisa de
proteção criptográfica
explícita. O Secure Courier utiliza RSA para
encriptação e assinaturas digitais e
também o DES. STT
- Secure Transaction Technology: Protocolo desenvolvido
pela Microsoft e Visa Internacional. Utiliza o PCT (Private
Communication Technology). O STT, no entanto, não
pode ser colocado no topo de um PCT e pode rodar sobre TCP.
PCT é uma reprodução do SSL, tendo sido
desenvolvido para corrigir falhas e melhorar o protocolo
inicial. Como principais diferenças podemos
citar: Pretende
gerenciar produtos sobre redes, incluindo a Internet, onde
pagamentos são feitos por cartões
bancários. O STT inclui mensagens para gerenciar
mercadorias e serviços eletronicamente, solicitando
autorizações de pagamento, certificados
(credenciais) etc. Todas as partes envolvidas possuem um par
de chaves públicas e privadas. A
autenticação de todas as partes, baseada em
assinaturas digitais e credenciais, é o
propósito do protocolo. Utiliza
DES e RC4 para encriptação da maioria dos
dados; RSA é usado para autenticações,
e para encriptar o número do cartão
bancário. A credencial é definida pelo
protocolo, sendo diferente do padrão
X.509. SEPP
e STT foram unidos num outro protocolo denominado SET
(Secure Eletronic Transactions). Sendo
assim, existem dois tipos básicos de e-money:
anônimo e identificado, ambos podendo ser online ou
offline. O e-money anônimo offline constitui o
verdadeiro digital cash e é o mais difícil de
ser gerenciado devido à dificuldade de se impedir o
double-spending. Os
Smart Cards ou cartões inteligentes carregam um chip
com memória suficiente para armazenar dinheiro e
estão revolucionando o comércio
eletrônico ao possibilitar a execução de
pagamentos realizados através de uma rede de
computadores. O exemplo mais marcante é o dos
cartões telefônicos, que vieram substituir as
fichas no pagamento de ligações. O
crescimento do comércio eletrônico
pressupõe uma melhoria na segurança das
transações de pagamento realizadas
através da Internet. Vários protocolos
criptográficos foram desenvolvidos para garantir a
integridade e autenticidade das partes envolvidas em uma
transação. A
criptografia assimétrica é utilizada na
maioria dos algoritmos que provêem segurança no
comércio digital devido ao fato de poderem
implementar o conceito de assinaturas, primordiais neste
tipo de aplicação. Alguns algoritmos
importantes são o iKP, o SEPP, STT, o Secure Courier
e o SET, um merge entre o SEPP e o STT. A
escolha do algoritmo a ser empregado, o tipo de e-money a
ser utilizado e a forma como esse vai ser disponibilizado e
utilizado, constituem pontos importantes a serem discutidos
quando da implantação de uma
aplicação do comércio eletrônico.
Quanto maior a segurança fornecida, maior a
quantidade de pessoas a utilizar o produto, maior o sucesso
da aplicação. A
facilidade de efetuar pagamentos através de uma rede
de computadores aumenta a cada dia. É importante que
haja segurança nas transações para que
o número de usuários aumente ainda mais: o
desenvolvimento de métodos seguros de
transmissão é uma preocupação
das empresas de comércio eletrônico. O
surgimento de outras técnicas criptográficas e
o incremento das hoje existentes permitirá o
crescimento do comércio eletrônico, difundindo
ainda mais o uso do dinheiro digital" (Universidade de
Brasília, Pedro.A.D.de Rezende, 2000). Assinatura
Eletrônica "Os
Deputados dos EUA aprovaram quase por unanimidade (426 votos
a 4), e o presidente Bill Clinton promulgou em 30/06/00, o
MDCA (Milenium Digital Commerce Act), lei que valida
o uso de "assinaturas eletrônicas" em documentos
digitais. Segundo Lauren Weinstein, moderador do Privacy
Forum e membro do comitê para políticas
púbicas da Association of Computer Machinery,
tal legislação torna substituível a
assinatura de próprio punho em documentos assentes em
papel, por praticamente qualquer procedimento que as partes
envolvidas resolvam chamar de assinatura digital, sem
nenhuma salvaguarda requerida em termos de padrões
mínimos de proteção contra falhas -
intencionais ou não - ou embustes nesses mecanismos
autenticatórios, na esperança de criar assim a
utopia vislumbrada nas promessas do comércio
eletrônico. Além de omissa, é
também preemptora de leis similares. O
MDCA também exige compromisso do governo dos EUA em
se empenhar pela aprovação de
legislação semelhante em outros países.
No Brasil já podemos sentir o efeito dessa
política, quando o diretor jurídico da
Microsoft no Brasil vem a público criticar
o governo Brasileiro.
Temos também visto especialistas da
informática, como o professor Silvio Meira em sua
coluna do Diário da Tarde de 16/5/00, criticarem o
legislativo Brasileiro por sua morosidade em se engajar,
como os EUA, a Espanha, a França e outros
países, nesse açodado front legislativo, em
cuja motivação não sabemos ainda
distinguir o que pode ser miragem. Devemos relembrar que
não será por decreto que a natureza da
realidade última destas promessas será
decidida. Cautela não pode ser aqui confundida com
atraso. A
marcha da revolução digital tem trazido um
senso de urgência ao mundo da vida, quase
unânime, no sentido de que a sociedade precisa fazer
sua ordem jurídica acompanhar seu desenvolvimento
tecnológico, tido como veículo de
mudança de suas práticas comunicativas e
mercantis, de seus valores culturais e sociais, e do perfil
dos riscos a que está exposta e a que expõe
seus indivíduos. Esta urgência surge de uma
inapelável - embora tardia - desilusão
coletiva, reconhecida ou não como tal, com o suposto
papel da tecnologia como panacéia para a
segurança material e geral da humanidade. E nasce
pela percepção superficial e ingênua
sobre o que ainda falta para suas promessas poderem ser
concretizadas. Estamos
diante do dilema de Ícaro, que tendo voado tão
alto, passa a se preocupar com o efeito do calor do sol na
cera que prende as penas de suas asas artificiais. Ouvimos
opiniões doutas sobre a necessidade de leis mais
severas e tipificadas para coibir abusos dos que, dominando
habilidades nas tecnologias da informação,
disso se valem para fraudar e vandalizar o patrimônio
virtual da humanidade, no qual depositamos nossas
esperanças para uma sociedade mais eficiente e um
mundo melhor. Ouvimos sobre a necessidade de protegermos tal
patrimônio, de vencermos o medo do progresso e do
desconhecido decretando a legitimidade de procedimentos que
autenticam compromissos assumidos na virtualidade, antes
mesmo que se conheçam suas premissas de
eficácia e confiabilidade. Entretanto, precisamos
antes reconhecer a segurança pelo que realmente
é: um processo em que se administram riscos,
já que a eliminação de riscos gera
outros. Precisamos, enfim, evitar que a cera de Ícaro
se derreta em pleno vôo. A
dura realidade é que nem a tecnologia, nem a
decretação de sua legitimidade, aumentam nossa
segurança. O que a tecnologia faz aumentar é a
volatilidade no processo da segurança, beneficiando
quem tiver habilidade para usá-la em qualquer dos
lados do divisor moral desse processo. Fraudes
eletrônicas são mais difíceis de serem
detectadas, e mais ainda de serem provadas, pois documentos
eletrônicos independem de seus suportes
físicos. A melhor tecnologia conhecida para
autenticação digital, o uso de chaves
assimétricas, é incapaz de equiparar-se, como
sabem os criptógrafos, ao grau de irrefutabilidade
que a assinatura de próprio punho pode oferecer. A
falsificação ou reuso de uma assinatura de
próprio punho requer habilidade superior à da
perícia grafotécnica, envolvendo a
cognição de padrões pessoais de ritmo,
pressão e forma caligráfica, enquanto a de uma
assinatura digital -- inclusive as biométricas --
requer apenas o vazamento de uma sequência de bits (a
chave privada do assinante) e a correta sintaxe no seu
uso. Em
nome da eficiência e da falaciosa segurança na
ocultação de sintaxes, certa classe de riscos
está sendo apontada, em todo o mundo globalizado,
como justificativa para a adoção de certas
leis intencionadas a gerar confiança coletiva no
caminho para a sociedade da informação,
conforme a antevê o discurso daqueles que se julgam no
comando da revolução que está gestando
esta nova sociedade, enquanto outra classe de riscos
é sorrateiramente ofuscada ou menosprezada nesse
discurso. O caminho assim aberto irá levar, na
verdade, à consolidação do controle
sobre as formas e meios de acesso digital à
informação e ao conhecimento, pelos que se
arvoram construtores dessa sociedade do futuro. Tal
estratégia se explica pelo fato desta mesma
revolução ameaçar, por outro lado,
pulverizar os possíveis controles sobre a
produção da riqueza simbólica do
homem. Diante
desta confusão de interesses nos é pedida,
como alternativa à conivência com a fraude e o
vandalismo de varejo sobre este patrimônio, a
permissão para sua apropriação a
posteriori no atacado, sob justificativa da existência
de capacidades técnicas para tais controles. E como o
clima de insegurança e incertezas individuais do
momento contribuem, sob a lógica economicista, para o
sucesso desta manobra, temos agora leis, de fato e de
direito, gravemente míopes em relação
à classe de riscos que atingem a liberdade humana,
vigindo no berço da revolução digital.
Esta miopia tem ainda dois agravantes. O de se inserir em
ambigüidades semânticas abertas no
princípio jurídico da analogia, aplicado
às proteções constitucionais dessas
liberdades, e o de produzir efeitos extraterritoriais
indiretos, pela natureza diáfana dessa nova coisa
cibernética, conforme alerta o eminente jurista e
professor de direito constitucional em Harvard, Lawrence
Lessig, em seu magnífico livro "Code, and Other Laws
of Ciberspace", recem-lançado. Nelson Rodrigues disse
que toda unanimidade é burra. Se for mesmo, resta-nos
aqui procurar pela quase-burrice nesta quase-unanimidade.
Poderíamos começar com analogias ao profetismo
ficcional do "grande irmão" de George Orwell, mas os
fatos atuais são ainda mais gritantes. Nos
últimos dois anos aprovaram-se nos EUA a lei DMCA
(Digital Milenium Copyright Act), a UCITA (Uniform
Computer Information Transactions Act) e agora a MDCA.
Juntas, estas leis montam um cenário para o assalto
final do capital ao patrimônio virtual coletivo, e
cujo desfecho, junto com os ganhos reais de produtividade
oferecidos por tal revolução, geram toda essa
euforia com a nova economia. Ícaro continua
subindo. Em
que sentido elas ameaçam liberdades? Um ditado
americano diz que o diabo mora nos detalhes. O MDCA
não obriga substituições, mas ao
permiti-las, dá força ao argumento da
eficiência para empurrar os cidadãos, cada vez
mais, no sentido de transacionarem virtualmente seus valores
e compromissos. Assim o faz por meio de obstáculos
práticos à alternativa de
operações lastreadas em papel, caneta e punho,
como já ocorre com os serviços financeiros e
tributários (ex: banco e imposto de renda). E ao
permiti-las sem critérios de eficácia,
permitirá também que prestadores de
serviços cartelizados estabeleçam, por sua
própria conta, os níveis de custo indireto com
riscos de fraudes, conluios, falhas e
limitações a que estarão se expondo os
cidadãos, abrindo novos e prósperos mercados
para advogados especialistas, escrupulosos ou não.
Podemos imaginar a bonanza da defesa de um senador às
voltas com falcatruas, acusando o PT pela forja de provas
digitais. Já temos, no mundo da vida, amostras desta
privação da liberdade de confiar: Onde faltam
critérios de eficácia na
prestação do serviço de
segurança pública, o cidadão urbano
é exposto a níveis aviltantes de
violência, o que enriquece empresas de
segurança privada e acirra a competição
entre quadrilhas em sua ação
predatória, já excitadas pela decorrente
sensação de impunidade. A
cartelização na produção de
artefatos intermediadores da autenticação e do
acesso eletrônico a conteúdos digitais teve seu
caminho já aberto pela DMCA. Segundo esta nova lei do
direito autoral, formatos proprietários para
armazenamento de tais conteúdos são
classificados como "mecanismos de proteção
contra cópia ilegal". Tais "mecanismos" dão
proteção nula contra cópias, mas
controlam o acesso. Porém, o nome se explica, pois a
burla ou construção reversa de decodificadores
desses formatos são por ela considerados graves
crimes contra os direitos autorais. Camuflados como
tecnologia anti-pirataria, uma nova geração de
artefatos que se apropriam, sob a proteção do
DMCA, dos meios de acesso à informação
digital nos é oferecida. Quando um autor, nesse
regime, criar um documento, sua obra só poderá
ser acessada por quem tiver pago pelo uso de artefato
próprio, licenciado para manipular e traduzir o
formato secreto em que estiver armazenada. Vem aí o
e-Book da Microsoft. Ë pegar ou largar? Talvez
não, pois nosso espaço de escolha
estará sendo "protegido" contra dúvidas e
incertezas decorentes do "excesso de opções",
em um outro front. No
front de outra urgência, pela
uniformização dos modelos de negócio
das transações digitas e do software, o cerco
se fecha. A experiência que fez surgir a internet e o
Linux será bloqueada. O esforço de
cooperação científica e
tecnológica que, financiado pelo temor
ideológico da guerra fria, acabou por criar o mais
complexo e sofisticado artefato já concebido pela
humanidade, oferecendo ao seu patrimônio virtual os
padrões e softwares abertos que puseram em marcha uma
rede global de redes, não terá mais lugar no
mundo da UCITA. Em 350 páginas de hermetíssimo
legalês, esta jóia do pensamento
jurídico estabelece um modelo padrão de
negócio e empurra para a clandestinidade qualquer
outro modelo, como o que produziu protocolos e programas em
código aberto e de uso livre, que são a base
da internet. No
modelo da UCITA, segundo descreve a Fundação
do Software Livre <www.fsf.org>, a licença de
uso do software proprietário é
intransferível, a comparação de
performances, a engenharia reversa para
verificação de falhas, engodos ou embustes na
sua descrição ou implementação,
como também a divulgação desses
eventuais desvios, são criminalizadas. Além
disso, o produtor do software detém o direito
explícito de nele implantar gatilhos para sua
implosão remota, para serem acionados pelo produtor
em casos de alegada infração da
licença, sem nenhuma indenização
cabível por disparo acidental ou malicioso.
Não bastasse nas licenças atuais a
isenção de responsabilidades do produtor por
tais desvios e riscos decorrentes, com graves precedentes
cujas descobertas foram dificultadas pela
ocultação de código fonte, suas
denúncias pelo licenciado irão se tornar
criminosas sob tal uniformização. A
UCITA é fruto de um esforço de doze anos,
promovido pela National Conference of Commissioners on
Uniform State Laws nos EUA, com o apoio da American
Software Alliance, que congrega os maiores produtores
mundiais de software proprietário (Microsoft, IBM,
etc), além de alguns fabricantes de computador e
bancos. Proposta como emenda ao Uniform Commercial
Code, a UCITA é criticada e oposta pelo
American Law Institute, Federal Trade Comission,
Institute of Eletric and Eletronic Engineering, Association
of Computer Machinery, vários juristas,
advogados, professores de direito, e todos os grupos de
defesa do consumidor que já a analisaram. Porque
a UCITA? A indústria do software proprietário
está presa a seu modelo de produção,
onde precisa convencer usuários da perpétua
necessidade de novas funcionalidades nos seus produtos, para
poder manter seus fluxos de caixa. Isso aumenta a
complexidade - a maior inimiga da segurança - desses
produtos, inviabilizando o controle de sua confiabilidade,
que precisa então ser decretada. Carol Kunze,
coordenadora do comitê que elaborou a UCITA, nega que
seus efeitos alcancem o que propalam seus detratores. O
hermetismo desta lei não permite que advogados
concordem sobre seu teor, mas os políticos
legisladores, sensíveis que são à
necessidade de contribuições para suas
campanhas eleitorais, conseguem em geral nela enxergar
benefícios coletivos suficientes para
aprová-la nos estados americanos onde já foi
votada. Há também uma corrida por patentes de
algoritmos nos EUA, iniciada em 1981 com a
jurisprudência do direito de propriedade sobre algo
que, estando ambiguamente entre idéia
matemática e obra intelectual, é tida como
invenção. Esta corrida e a UCITA
ameaçam sufocar o movimento do software livre, o
único foco de resistência virtual às
ameaças do cerco que completam, além de
encarecerem e dificultarem a competição na
produção do software
proprietário. Há
urgências maiores que a de se saldar seletivos
débitos do ordenamento jurídico com a
tecnologia, pois não é a escassez de leis
tipificadoras de crimes cibernéticos do varejo que a
torna perigosa, e sim o seu descompasso com a
evolução moral e ética do homem.
Afinal, a tecnologia também instrumenta a
exacerbação de qualquer mazela humana.
Percebemos que propagandas como do cigarro e da bebida
são fantasiosas e subliminarmente racionalizadoras de
hábitos e dependências questionáveis,
mas poucos diriam o mesmo sobre a do software. Devemos,
entretanto, refletir sobre o fato das tres leis citadas
removerem impedimentos para que a propaganda do software
também possa sê-los, e de que já temos
testemunho a respeito na divulgação da "nova
geração de produtos" da maior empresa do
mundo, onde seu fundador e arquiteto-chefe anuncia a
capacidade desses produtos "anteciparem as nossas
necessidades". O uso do software, talvez mais que as drogas,
impacta profundamente a ordem social
contemporânea. O
barão de Montesquieu, grande pensador da
Revolução que foi berço da democracia
capitalista -- a Francesa -- afirma em sua obra magna (O
Espírito das Leis): "Num estado público,
há que haver uma instância a mais: a Virtude".
Porque ele diz isso? Por que não pode haver
segurança sem o exercício de duas virtudes
humanas: o reconhecimento e a aceitação de
responsabilidades. Tais virtudes são incongruentes
com a ideologia do egoísmo. Quando, no
neocapitalismo, o papel do conceito de virtude é
substituído pelo de eficiência e a ideologia do
egoísmo se faz doutrina, as pessoas passam a ter
enormes dificuldades em compreender o processo de
segurança. A virtude do exercício de
responsabilidades tem valor ético, e sua
substituição por incentivos ou
punições financeiras não
surtirá, nesse processo, o mesmo efeito que o de
mercado. Leis superficiais sobre a validade de assinaturas
digitais não poderão substituir as
responsabilidades que são imputáveis pela
assinatura de punho, mas que não o podem ser pela
eletrônica. A possibilidade irrestrita de
substituição de uma pela outra é, por
tudo aqui exposto, deveras perigosa. Não
foi por falta de leis ou riquezas que grandes
civilizações ruíram no passado, mas por
negação e refutação coletiva de
responsabilidades sociais. Coletivamente, a escassez de
responsabilidades se transforma em excesso de risco, que por
sua vez faz aumentar a fricção social, que
finalmente poderá, esta sim, derreter a cera de
Ícaro. A confusão entre o sentido da liberdade
do indivíduo e o da liberdade do mercado deixa
escapar do domínio ético os princípios
coletivos de responsabilização social. O que
poderá trazer, como alertam George Orwell em "1984" e
Isaac Asimov em "Fundação", funestas
conseqüências ao futuro da
civilização tecnológica" (Pedro A. D.
Rezende, Jornal do Brasil, 06/07/00). Como
confiar em certificados digitais "Sabemos
que existem casos passados de engodos, embustes e falhas
gritantes em softwares sensíveis, que usam
autenticação eletrônica. Na nova
legislação americana que pretende uniformizar
as licenças de uso de software (UCITA), a
investigação e divulgação de
tais desvios será criminalizada. Tudo isso ocorre ao
mesmo tempo em que a propaganda da maior empresa do mundo --
que produz software em regime de quase monopólio e
patrocina o esforço por esta
uniformização -- nos põe seu fundador e
arquiteto-chefe a nos dizer que seus próximos
produtos irão "antecipar nossas necessidades". O que
fazer? Estas questões nos inquietam, mas fingimos que
não são importantes, pois não gostamos
do sentimento de insegurança e impotência que a
atenção a elas nos provoca. O
uso de chaves assimétricas oferece uma técnica
de autenticação digital bem versátil e
prática, embora delicada, sendo a técnica
digital que melhor se aproxima em funcionalidade da
assinatura de punho, mas sem alcançar toda a
funcionalidade desta. Ao contrário do que possa
parecer numa leitura superficial, esta série de
artigos não promove a tecnofobia ou o neo-ludistismo,
nem combate o uso da assinatura digital. É
plausível que seu advento tenha sido profetizado
há quase 2000 anos. Qualquer outra alternativa para
autenticação digital apresenta riscos e
limitações sensivelmente mais graves, assunto
comentado em <http://www.cic.unb.br/docentes/pedro/trabs/biometrica.htm>.
É o conhecimento das premissas e nuanças da
autenticação digital que precisa ser
promovido. Não
parece justificado o tipo de simplificação
costurada para apresentar uma ou outra tecnologia como
solução mágica para a segurança
virtual e futura. Essas simplificações
são perigosas. Muito menos as
empulhações acerca da natureza dos riscos das
partes envolvidas no seu uso, principalmente quando emanam
de quem possa vir a lucrar com tais
simplificações. Essas são ainda mais
perigosas. A questão que deve ganhar foco não
é se, ou para quem, uma tecnologia é boa ou
ruim, mas como torná-la compatível com os
princípios de liberdade humana, conquistados a duras
penas por nossa civilização. Precisamos
saber onde estão os riscos no uso da assinatura
digital, ou de qualquer outro procedimento de
autenticação eletrônica, para,
ponderando as responsabilidades decorrentes, podermos
decidir em que situações aceitá-las
como alternativa ao processo de assinatura de punho. Ou ao
fio de bigode ou a outro mecanismo autenticatório com
suporte físico socialmente aceito. Precisamos evitar
o cerceamento do direito de decidirmos por nós mesmos
em que situações aceitaremos tais riscos, para
podermos influir, com nossas escolhas, no controle social de
tais riscos, principalmente em serviços facilmente
virtualizáveis e monopolizáveis. Precisamos,
enfim, evitar o ciberaparthied. As
confusões sobre o tema se tornam ainda mais
problemáticas quando se começa a falar de
certificados digitais. As autoridades certificadoras,
auto-proclamadas ou não, não podem gerar
crença na primeira premissa da
autenticação por assinatura, a saber, no
sigilo da chave privada de quem se disponha a usar uma.
Não protegem a chave privada de ninguém,
exceto a própria. O único serviço
coletivo que oferecem é algum tipo de suporte para
substanciar crenças na segunda premissa, a saber,
sobre como identificar titulares de chaves públicas,
usadas para verificação de assinaturas ou para
estabelecimento de canais sigilosos. Suporte:
e não certezas. Mas o que elas vendem? Um
serviço de autenticação digital de
chaves públicas de terceiros, e listagens de
revogação de certificados. Assinam
digitalmente documentos binários padronizados (em
formato x509) &endash; os chamados certificados digitais de
chave pública &endash; contendo a chave publica e o
nome de seu titular conforme apresentados, que é
então enviado a tal titular para ser por ele
redistribuído. Não vendem &endash; por
não estar à venda &endash; a confiança
em terceiros. Não podem vender a confiança na
primeira crença enquanto as complexas questões
sobre revogação, como as levantadas nesta
série e outras, não forem resolvidas, sendo
que algumas talvez nem possam. Não
é correto dizer que a chave privada "só
poderá ser lida por quem detiver uma chave
pública, como agencias estatais ou
órgãos regulamentadores", como afimou um
grande jornal (JB 06/07/00). A chave pública que
é par de uma chave privada não a lerá,
mas permitirá a inversão das
operações por ela efetuadas. Chaves
públicas não são programas, e sim
seqüências aleatórias de bits, mas uma
chave privada poderá ser lida &endash; e portanto
vazada &endash; por qualquer programa que a ela tiver
acesso. A afirmação acima parece referir-se a
exceções legais à premissa de sigilo de
chaves privadas, cuja crença é essencial para
a eficácia do procedimento autenticatório
nelas baseado. Tais exceções são
tentativas estatais de controle sobre o processo de
comunicação digital, classificadas na
literatura especializada como mecanismos de
caução de chaves (key
escrow). Houve
esforços de aprovação e
manutenção, nos EUA e na França
respectivamente, de leis sobre caução de
chaves privadas. Tais leis geram jurisprudência sobre
o direito de se possuir e pôr em uso um par de chaves
assimétricas, obrigando quem deseja exercê-lo a
abrir mão do sigilo de sua chave privada para alguma
autoridade judicial. Tal caução é uma
renúncia à única proteção
contra fraudes indefectíveis que um algoritmo
assimétrico pode oferecer a um titular de chaves, e
seria muito perigosa em um estado totalitário,
irresponsável ou megalomaníaco. Os EUA
não conseguiram ainda aprovar tal lei, e a
França acaba de revogar. O "grande irmão"
ainda não foi desta feita, mas é muito
perigosa a insinuação de que a
caução é necessária para a
eficácia dos protocolos de assinatura digital. E
é muito inquietante ouvirmos esta
insinuação no Brasil. Pode-se
ler sobre o tema em livros de criptografia atualizados, e
há até uma associação na
industria de segurança computacional, a Key
Recovery Alliance, dedicada à
promoção das tecnologias de
caução de chaves, como alternativa à
velha tática de guarda da senha em envelope lacrado
no cofre da empresa para o caso do proverbial
caminhão atropelar seu titular. A recente falha de
segurança no primeiro software a se utilizar de
criptografia assimétrica na internet, o PGP,
não tem nada a ver com falta de robustez da
criptografia assimétrica, mas com a funcionalidade
para caução de chaves que seu atual
proprietário, a Network Associates, resolveu
implementar para satisfazer preferências de grande
companhias e do governo americano, apesar da longa
história de oposição do PGP à
caução de chaves enquanto era software livre
(veja http://www.politechbot.com/p-01347.html)"
(Universidade de Brasília, Pedro.A.D.de Rezende,
2000). Hackers "Temos
visto o termo hacker ser utilizado na mídia
como sinônimo de Na
repetição deste engano, tais
traduções "simplificadas contribuem para
dificultar a compreensão coletiva das novas
dinâmicas sociais postas em marcha com os novos meios
de comunicação virtual, a internet. Quem atua
no ramo, sabe que no jargão da informática em
língua inglesa, o termo "hacker" (lenhador) foi
inicialmente empregado para qualificar quem possuindo
habilidades técnicas para explorar meandros e
nuanças em programas de computador, o faz. Um poete,
digamos, nas línguas intermediárias entre o
homem e a máquina. Hackear é esmiuçar.
Não significa, e nem mesmo é
condição para, piratear, vandalizar ou vender
serviços criminosos, como quer o jornalista. Para
designar tal Não
creio ser justificado o argumento da simplicidade (em
beneficio da compreensão do leitor), que alguns
jornalistas usam para insistirem no engano. Alguns fazem
até gracinhas com suas próprias
confusões, responsabilizando outros pela sua falta e
clareza com a língua, tais como a falta de
legislação adequada, a falta de
segurança, a falta de "especialistas", etc.
Além de banalizar a questão moral e
jurídica do dolo, essa preguiçosa
tradução esconde o problema dos riscos
crescentes que as tecnologias da informação
embutem. Hoje em dia, com a popularização das
ferramentas que exploram defeitos e falhas de
segurança de softwares na internet, um cracker
não precisa mais ser um hacker, e um novo
termo surge no jargão da informática em
inglês para designar os crakers que não
são hackers: são os "script kiddies"
(algo como 'garotos com receitas de bolo'). A
insistência nesse erro, aqui e ali, contribui
não apenas para confundir habilidade com má
intenção no mundo virtual, refletindo e
amplificando a tendência humana ao medo ante o
desconhecido, como também para encobrir a
complexidade do problema da segurança nele. As perdas
com fraudes eletronicas na industria financeira giram hoje
em torno de US$ 50 bilhões anuais, segundo algumas
estimativas que circulam em listas de discussão sobre
segurança na internet. Essas fraudes são
praticadas por quadrilhas altamente especializadas, e
não por script kiddies que buscam notoriedade
desfigurando páginas informativas na web. Os
hackers não podem ser coletivamente
classificados como criminosos indesejáveis, pois
alguns deles desempenham o papel semelhante ao da
evolução na natureza para o software,
descobrindo falhas de segurança nos softwares em uso
pelo mundo e reportando suas descobertas aos
desenvolvedores, às vezes sugerindo
estratégias de reparo. São também os
grandes responsáveis pelo enorme patrimônio
intelectual em Aos
olhos que conhecem a origem do termo, seu uso como empregado
por Aguinaldo Novo e Bruno Grattoni indica que o jornalista
não fez seu dever de casa ou não entende
suficientemente bem o assunto sobre o qual está se
oferecendo para traduzir. Gostaria que esta mensagem seja
recebida não como pedantismo, mas como
estímulo ao bom jornalismo, haja vista a
responsabilidade de veículos de massa do porte do
seus Aqui
Hacker não entra "Desde
a explosão da Internet comercial e das intranets,
companhias de todos os portes deixaram os velhos arquivos de
papel para trás e passaram a colocar suas valiosas
informações de negócios em bancos de
dados digitais. Com tanta novidade, não houve tempo
(e nem dinheiro) para pensar em um planejamento sério
da política de segurança dessas
informações. Com
ajuda de hacker ou não, o fato é que a simples
investigação das falhas na rede, não
é suficiente. "Se não houver comportamento
consciente por parte dos usuários, esqueça
qualquer projeto desse tipo", afirma Antônio Seita,
diretor de segurança de informações do
Banco Santos e especialista em conscientização
de usuários. Para Seita, há um pilar-mestre a
ser seguido por qualquer profissional que deseja implantar
um sistema de segurança de qualidade na empresa em
que trabalha: consciência e comportamento. Sem isso,
de nada adiantam os melhores softwares e equipamentos do
mercado. Há
empresas especializadas em segurança de redes de
todos os estilos, tamanhos e preços. As grandes
consultorias independentes pesquisam as opções
de mercado e tem visão ampla de seu negócio.
Costumam ser uma boa pedida, mas prepare-se para investir
uma fatia significativa de seu orçamento. A Segunda
alternativa pode ser contratar empresas especializadas em
segurança mas capazes também de analisar o
negócio do cliente para buscar a
solução mais adequada, chegando a
preços mais competitivos do que as primeiras.
Consultorias que vendem soluções de
segurança próprias também tem
preços pouco menores, mas costuma ser estritamente
técnicas. A mais barata das alternativas pode ser
contratar pequenas empresas, em geral novas no mercado,
muitas vezes formada s pelos chamados "hackers do
bem. "A
escolha dos profissionais que vão trabalhar na rede
depende de quanto valem as informações que
estão no seu sistema"., afirmam os consultores
especializados em segurança da
PricewaterhouseCoopers, Calil Chaar e Eduardo Campos.
Segundo recente estudo do instituto Forrester Research, o
ideal seria separar 5% do orçamento de
informática de sua empresa só para recursos de
segurança. "Mesmo com esse investimento, não
há uma rede totalmente segura", afirma Chaar. O
máximo que se pode fazer, como em qualquer outro
negócio de segurança é minimizar
riscos. Tanto Campos quanto Chaar são contra a
utilização de profissionais que já
invadiram redes de terceiros, ainda que de forma inocente e
que se tornaram éticos". "É como contratar um
ex-sequestrador para ser o guarda-costas dos
filhos?". Mas
o fato é que esse tipo de profissional sabe como
ninguém como funcionam as redes. Fernando Rosendo,
sócio da i.Web, redes especializada em projetos de
segurança de redes, costumam contratar hackers par
trabalhos mais delicados. " o termo hacker é
pejorativo. São especialistas em segurança que
preferem não aparecer publicamente", afirma
Rosendo. Dicas
para manter a rede protegida: O processo de segurança
deve ser contínuo . Estabeleça prazo para
refazer os testes; Deixe as regras de segurança da
companhia clara para todos os funcionários; Prefira
algoritmos públicos para criptografia, eles acabam
sendo mais testados; Desconfie de quem quer trocar todo o
sistema, prefira quem já se adapte ao que já
existe; Comece a pensar em adotar tecnologias que
serão obrigatórias daqui a alguns anos;
É bom ter funcionários de confiança
capazes de realizar testes de invasão; Procure se
munir de informações sérias sobre
invasão de redes, pesquise a fundo o assunto;
Trabalhe com profissionais que tenham visão do
negócio além de conhecimento técnico"
(Brasil Information Week, 1999:32). Consultores
Hackers "Para
obtenção do selo, emitido por duas entidades,
a American Institute of Certified Public Accountants (AICPA)
e a Canadian Institute of Chartered Accountants (Cica), as
empresas passam por uma avaliação rigorosa
para provar que o site é seguro. A Deloitte é
contratada para invadir os sites das empresas. Conhecidas as
portas de entrada ou falhas dos sistemas, os técnicos
promovem os ajustes. Nos laboratórios, sediados em
São Paulo e em Toronto, no Canadá, os
consultores utilizam as mesmas ferramentas para simular
ações como as praticadas diariamente pelo
hackers. Ou ainda empregam as mesmas técnicas para
burlar os sistemas de segurança criados para impedir
a perda de informações confidenciais, como
números sigilosos do cartão de crédito,
senhas para acesso às contas correntes e
transferências de fundos e outras
informações de banco de
dados."
(Consumidor
Moderno, 2000:54). Dicas
de Segurança Fechando
as portas do seu computador "Computadores
e equipamentos informatizados podem se comunicar uns com os
outros através de padrões estabelecidos que
ditam como cada participante da conversa deve se comportar.
O padrão utilizado na Internet (e na maioria dos
sistemas atuais) é o chamado "Cliente/Servidor".
Você certamente já ouviu falar disso mas,
afinal, do que se trata? A
comunicação em um ambiente cliente/servidor
é composta de dois módulos básicos: um
módulo que faz requisições de
serviços - cliente - e outro que recebe estes pedidos
para executar as tarefas pedidas - servidor- e,
eventualmente, retornar o resultado desta tarefa. Você
utiliza enormemente este esquema durante sua conexão
internet. Por exemplo, o seu navegador - que é o
programa cliente - fez um pedido ao programa servidor
instalado nos computadores onde estão hospedadas as
páginas deste site, que o recebeu e respondeu com a
página pedida - esta que você está lendo
agora. O mesmo acontece quanto você verifica seus
emails, baixa arquivos etc. Como
você já deve ter imaginado, a maior parte dos
programas utilizados no seu computador só precisa
fazer pedidos e esperar a resposta, ou seja, são
programas clientes. Teoricamente é isso o que deve
acontecer, mas nem sempre nossos computadores são
tão inofensivos. Os grandes vilões dos
últimos anos são programas que invertem este
papel, fazendo com que nossos computadores se tornem
servidores. A maioria arrasadora vem na modalidade de
'cavalos-de-tróia' (discutiremos sobre ela mais
tarde), por isso se convencionou a chamar este método
de 'invasão através de
cavalos-de-tróia'. O
que acontece, geralmente, é que um usuário
recebe um programa de alguém, através de
qualquer meio - por email, ICQ, fazendo um download ou por
disquete - e o executa em seu computador. Este programa,
após ser executado, instala um 'servidor' que passa a
responder aos pedidos de conexão pela Internet, ou
seja, seu computador adquire as características de um
'servidor internet'. Os tipos de pedidos que ele pode
aceitar e executar variam de acordo com o 'servidor'
instalado. Uma
característica presente neste tipo de
comunicação é a necessidade de se
atribuir 'portas de comunicação' por onde os
pedidos e as respostas irão passar. Todos os
programas para uso na Internet se utilizam destas portas que
geralmente são abertas com o intuito de fazer pedidos
a servidores remotos. Quando um computador está,
digamos, 'infectado' por um programa servidor, este abre uma
porta naquele, de forma a permitir que outros computadores
façam pedidos através dela. Com
base nesta explicação, percebemos que
não é necessário nem interessante
impedir que nossos computadores abram portas. Se isso for
feito, nenhum dos nossos programas irá funcionar. O
que precisamos fazer é impedir que programas
maliciosos abram portas para receber conexões!
Através delas é que hackers podem vasculhar
seu computador. E
como fechar as portas? Simples, vamos usar um exemplo: eu
vejo que meu computador tem uma porta aberta e sei que esta
porta é referente ao programa de email, pois eu estou
checando minha caixa postal no provedor e sei que é
necessário uma porta para isso. Se eu quiser
fechá-la, basta fechar meu programa de email. Parece
simples, mas o problema é identificar a que programa
uma porta está relacionada. Além desta
identificação ser complexa, caso encontremos
uma porta relacionada a um servidor malicioso precisaremos
ainda encontrar o próprio programa servidor, que na
grande maioria das vezes está escondido ou
inacessível. O
ideal neste caso é deixar a
identificação destes programas a cargo de
outros programas especializados nessa procura. Ao encontrar
e remover um programa servidor do seu computador, a porta
associada a ele será automaticamente fechada,
já que não há mais nenhum programa
responsável por abrí-la. Estes rastreadores
podem ser programas especializados em procura de 'servidores
maliciosos' conhecidos ou mesmo programas antivírus,
já que o método utilizado para se vasculhar o
computador é semelhante ao utilizado para se
encontrar um vírus. Para
se fazer um teste em seu computador ou, se apenas por
curiosidade, quiser verificar as portas que estão
sendo abertas, o comando que mostra estas conexões
é o 'netstat'. Executando este programa com o
parâmetro '-a', serão mostradas todas as
conexões ativas, por exemplo: (Iniciar
> Arquivos de Programas > Prompt do MS-DOS) c:\>netstat
-a Conexões
ativas Proto
Endereço local Endereço externo
Estado TCP
localhost:1249 www.uol.com.br:80 ESTABLISHED A
listagem original possui várias e várias
linhas como esta, cada uma relatando o estado de uma porta
de conexão. O exemplo acima nos diz que meu
computador (localhost) está se comunicando pela porta
1249 com o computador no endereço www.uol.com.br, que
está recebendo os pedidos pela porta 80. A
conexão foi estabelecida (Established). A porta 80
está especificada mundialmente como sendo a porta
padrão para a Web. Resumindo, estou navegando no site
do Universo Online. O
que muitos usuários fazem após a
execução deste comando é entrar em
desespero, pois mesmo em condições normais e,
dependendo da configuração do computador de
cada pessoa, muitas portas podem aparecer abertas. Elas
são responsáveis pelo funcionamento do
Windows, principalmente (mas não exclusivamente) em
rede. O método usado para se identificar servidores
maliciosos com base nas portas que eles abrem é
extremamente falho pois, além desta porta poder ser
alterada, existem muitos programas e muitas portas
disponíveis, e alguns deles utilizam portas que
não podem ser fechadas, pois afetaria o funcionamento
do sistema. Por
isso a recomendação é a de não
se preocupar com o relatório de portas e sim com os
programas instalados no seu computador. E, como já
foi dito, isto pode ser feito utilizando programas
específicos para estas tarefas, ou bons
antivírus atualizados. Dessa forma, estaremos
cortando o mal pela raiz" " (UOL/Anti
Hackers,2000). Identificando
vírus e programas maliciosas "A
grande maioria dos problemas relacionados a incidentes de
segurança em computadores pessoais é causada
por programas maliciosos, dentre os quais estão os
vírus (normais e de macro), os worms, os programas
servidores - muitas vezes chamados de cavalos de
Tróia, ver capítulo anterior - é
até mesmo simples instruções que,
quando executadas no seu computador, destroem o sistema ou
comprometem seu funcionamento. O
grande paradoxo é que boa parte da culpa por estes
estragos cabe à vítima, uma vez que em quase
todos os casos ela é inocentemente cúmplice do
ataque. É uma questão de
educação: siga sempre os velhos conselhos de
boa conduta com computadores, tome os devidos cuidados
blá blá blá e "não execute
programas estranhos". Assim fica muito mais difícil
ter problemas, mas em certas horas precisamos nos arriscar e
muitas vezes nem sabemos que estamos nos arriscando
tanto. Como
prova de que o conselho sobre não executar arquivos
de estranhos é eficaz, temos os muitos vírus e
worms que se propagam por email enviando cópias de si
mesmo para sua lista de amigos. Dessa forma abre-se uma
brecha na confiança da vítima, que pensa:
"Bom, se meu amigo está me mandando, deve ser coisa
boa!" Zapt! Pimba! Dançou... Pronto,
você executou um programa malicioso no seu computador,
e agora? Bom, se o programa for muito violento e apagar seus
arquivos, não há muito o que fazer
senão recomeçar do zero, instalando os
softwares novamente. Mas geralmente não são
tão destrutivos e ficam tão quietos que
você só percebe depois de bastante tempo,
exatamente quando for tarde demais. E o pior: um programa
desses pode estar destruindo seu computador agorinha mesmo,
sem que você saiba. O que fazer? Esses
programas, em especial os mais furtivos, são
catalogados de acordo com suas ações e
características do seu código. Programas
possuem uma assinatura, uma parte das suas
instruções internas que é única,
assim como nosso DNA e, fazendo uma busca em todos os
arquivos do seu computador podemos identificar,
através desta assinatura, se algum programa malicioso
"conhecido" habita seus discos. Veja
bem, eu disse "programa malicioso conhecido" porque, se um
programa novo é lançado, nós ainda
não somos capazes de reconhecer sua assinatura, pelo
menos até ele ser catalogado e cadastrado na nossa
lista de assinatura. Trazendo
tudo para a nossa linguagem cotidiana: nós não
vamos pessoalmente vasculhar cada arquivo do computador, que
geralmente passam de centenas de milhares. Vamos usar um
outro programa para fazer isso. Adivinhe o nome desse
programa? Um doce para quem respondeu "antivírus".
Resumidamente, o que os programas antivírus fazem
é, de posse de uma lista de assinaturas de programas
maliciosos, abrir cada arquivo do seu disco e comparar com
as assinaturas desta lista. Caso alguma coincida, ele
terá identificado um problema, algumas vezes
oferecendo a possibilidade de remover apenas o trecho
malicioso outras vezes apagando o arquivo
problemático. Este
método não está restrito aos
vírus, ele pode ser utilizado para identificar
qualquer tipo de programa devidamente cadastrado na lista de
assinaturas. Os fabricantes cadastram nesta lista todo
código que julgam prejudicial ao seu computador e
dependem dos seus laboratório de pesquisa, que
recebem e estudam estes programas, extraindo a sua
assinatura de identificação e colocando-a
disponível para a atualização da lista
de programas maliciosos. Certamente
você já deve ter percebido a importância
dos tais "antivírus atualizados". Se um
antivírus não possui uma lista de assinaturas
completa, pode ser que ele vasculhe um arquivo contaminado
mas, por não "conhecer" o vírus, deixa-o
ileso. Certamente o vírus não fará o
mesmo... A
forma como cada programa atualiza esta lista varia de acordo
com o fabricante mas, atualmente, este processo é
feito online e a verificação de novas listas
pode ser programada para uma determinada periodicidade. Como
a Internet tem um poder muito grande de
disseminação, uma atualização a
cada 3 dias ainda é considerada segura para um
usuário costumaz " (UOL/Anti
Hackers,2000). Atualizando
programas - Uma prevenção eficaz
! "Antigamente
os lançamentos de softwares no mercado eram, em sua
grande maioria, lançamentos de novas versões
dos programas, com adição de muitos recursos,
novas ferramentas e aperfeiçoamento das
características funcionais, principalmente a
interface com o usuário. Muitas dessas
atualizações não traziam uma vantagem
significativa para o usuário médio que, na
maioria das vezes, se limitava a utilizar as
funções básicas do programa como, por
exemplo, usar um editor de textos exclusivamente para editar
textos! Entretanto,
o usuário não estava interessado em "quais"
recursos eram adicionados na versão mais nova do seu
programa, ele queria se manter atualizado, a qualquer
preço, mesmo que fosse para adicionar um corretor
ortográfico em aramaico arcaico ou um acoplamento com
uma base de dados alienígena que ele jamais faria
funcionar. Atualmente
o cenário está um pouco mudado, os
lançamentos de novas versões continuam
existindo mas as principais novidades são
correções de problemas nas versões
atuais. O fabricante, ao ser notificado de um problema
interno no seu produto, escreve um pequeno programa que
corrige o defeito e o distribui aos seus clientes. Estas
atualizações são divulgadas e
recomendadas pelos fabricantes mas - eis o grande paradoxo -
os usuários não dão a
mínima! A
não ser que o defeito esteja impedindo o
usuário de utilizar alguma função
primordial para seu trabalho, ele será solenemente
ignorado. Este é um vício que adquirimos
durante a era medieval da computação, quando
as redes de computadores eram raridades e a Internet era um
brinquedo das forças armadas dos EUA. O
motivo pelo qual não tínhamos interesse em
corrigir uma falha é resumido neste pensamento: "Se
eu não uso esta função do programa,
para que vou perder meu tempo tentando consertá-la?".
Hoje, ao conectarmos milhares de computadores uns nos
outros, este pensamento se tornou muito perigoso, pois
não estamos mais sozinhos no mundo e, se você
não vai se interessar por aquela falha, alguém
com certeza a utilizará para obter alguma vantagem ou
causar problemas. Os
problemas de maior repercussão na área de
segurança, tanto no ramo empresarial quanto
doméstico, estão relacionados a alguma falha
em um software. Quanto mais utilizado o software, maior o
número de pessoas atingidas que precisam aplicar a
devida correção. Como a grande maioria dos
usuários não se importa com
aplicação de correções, podemos
imaginar o caos quando, por exemplo, começaram a
surgir os primeiros "nukes", ataques que exploravam um
defeito encontrado no próprio Windows! Exemplos
como este infelizmente são muito comuns. É
através de falhas não corrigidas em softwares
que quase todos os hackers invadem sites na Internet.
Algumas falhas encontradas nos programas de uso particular,
como navegadores, programas de email, de bate-papo, etc.
também possibilitam ações danosas, em
maior ou menor grau, dependendo do tipo de
problema. Ao
contrário do que pode parecer a princípio,
manter-se na "última versão" dos softwares
para Internet pode não ser tão seguro. Ao
lançar um programa novo - ou uma nova versão
com bastante mudanças - no mercado, os fabricantes
estão dando a largada em um enorme concurso no qual
vence o hacker que primeiro descobrir as novas falhas do
programa. Todos os programas têm falhas e mais do que
nunca se aplica o velho ditado: "Os pioneiros são
identificados pela flecha no peito!". Solução?
Manter contato com o fabricante dos softwares que você
utiliza. Com a Internet os problemas aumentaram mas o
socorro também chega muito mais rápido. Visite
regularmente o website do seu fornecedor e procure por
termos do tipo "security update", "patch", "service pack",
"service release" etc. Se você não se
registrou, pegue seu cartão de registro, ou
através da Internet, registre-se como usuário
legítimo e cadastre-se nas listas de
notificações. Os
responsáveis pelos seus programas estão
tão interessados em fornecer um software seguro
quanto você em recebê-los, então,
mantenha-se informado. Mais do que nunca, a
informação é o melhor remédio" "
(UOL/Anti Hackers,2000). A
verdade sobre seu número de IP "Está
se tornando cada dia mais comum o medo de invasões na
Internet. Pânicos causados por pseudo-hackers
têm atormentado centenas de pessoas e muitas vezes
simples ameaças destroem momentos de paz e
diversão de uma forma irremediável. O mais
impressionante é que estas ameaças, na maioria
das vezes, são completamente sem fundamentos,
não fazem sentido e algumas nem existem. Basta usar
uma meia dúzia de siglas para dizer que vai invadir
seu computador, e o que mais tem aterrorizado os internautas
é: "Vou descobrir seu IP!" Vão
descobrir seu IP? Oh, que espanto, mas e daí? Segundo
os terroristas, após descobrir o IP de uma pessoa,
sua alma estará completamente enterrada na
maldição eterna, pois poderão invadir,
derrubar, espionar, remover, sacudir, esculhambar, destruir
e remexer... Um
número IP é um endereço que todo
internauta, assim que se conecta na grande rede, recebe.
É através deste endereço que seus
programas se comunicarão, seu navegador, seu ICQ, seu
programa de email, etc. Este número não
precisa ser fixo &emdash; e geralmente não é
&emdash; e a cada conexão você recebe um
número diferente. IP
significa "Internet protocol", faz parte de um conjunto de
instruções que permite a
comunicação pela Internet. Ele é
responsável pelo encaminhamento correto dos pacotes
de dados que trafegam na rede, de forma que eles sejam
entregues corretamente ao seu destino. Descobrir
o IP de uma pessoa significa saber o "endereço
Internet" (não tem nada a ver com email!) do seu
computador naquele dia, ou durante aquela conexão.
Somente isso, nada mais. O que se pode fazer com o IP de uma
pessoa? Quase nada... Se o computador não estiver com
problemas do tipo "cavalos de Tróia" ou semelhantes
(ver capítulo 3), o número IP não vai
servir para mais nada além de terrorismo. Mesmo
assim, dá para esconder o número IP?
Não, infelizmente não dá! Se por algum
motivo seu computador não puder fornecer corretamente
seu número IP, ele ficará incomunicável
e sua conexão será desfeita. Ter um
número IP faz parte da vida socialmente ativa dos
computadores na Internet e a comunicação
depende disso. Alguns
sistemas escondem esse número de outros internautas
mas, pelo próprio bem da comunicação,
eles são revelados. Por exemplo, bater papo requer
que um computador se comunique com outro. Para isto ser
feito, é necessário que ambos conheçam
seus números IPs mutuamente pelo simples fato de
precisarem saber com quem estão "falando". É
claro, sempre há as exceções:
números IPs geralmente se mantém os mesmos em
redes físicas como escritórios e Internet
predial. Na maioria das vezes, estes números
são fixos mas "mascarados" durante a
comunicação externa por uma
aplicação conhecida como "gateway" ou "proxy"
e quase sempre para quem está de fora desta rede o
número é genérico e
inútil. Caso
queira saber qual o seu número IP durante a
conexão atual, um aplicativo distribuído com o
próprio Windows dá as
informações referentes. Vá em Iniciar
> Executar e digite "winipcfg" (sem aspas). Portanto,
na próxima vez em que for ameaçado com seu
próprio número IP apenas dê uma gostosa
gargalhada e volte para a sua tranqüilidade habitual.
Já temos problemas demais para ficar nos preocupando
com coisas que não existem" (CERT-RS - Centro de
Emergência em Segurança da Rede). Peguei
o hacker, mas e agora ? "É
cada dia mais comum o surgimento de softwares que cuidam da
segurança do seu computador pessoal e o mecanismo de
monitoração mais utilizado é a "escuta"
de portas de conexão (para maiores
informações sobre 'portas de conexão',
consulte o capítulo 3 deste curso
básico). Entretanto,
de que adianta a informação de que um hacker
tenta bisbilhotar nosso computador? O que podemos fazer no
momento em que descobrimos uma tentativa de ataque e
conseguimos informações básicas sobre o
hacker &emdash; como, por exemplo, seu número IP
&emdash; através dos relatórios destes
programas de proteção? Primeiro
vamos analisar os fatos: um aviso emitido por um destes
softwares de monitoração não significa
que você está sendo invadido. É apenas
uma notificação que houve uma tentativa de
conexão em determinada porta. Muito provavelmente o
hacker não obterá êxito pois os
softwares de monitoração fazem uma checagem
sobre as vulnerabilidade do computador, eliminando os
programas ou falhas que permitiriam o ataque. Ficar de olho
nas portas é uma medida secundária para quase
todos estes programas de segurança. Ao
identificar uma tentativa de conexão, os programas
registram dados importantes como hora, IP, tipo de ataque,
etc. e mostram estas informações à
você, usuário. Estes dados são
referentes ao computador de onde partiu o ataque e
identificam de forma bastante confiável o
responsável pela ação. De
posse destes dados, devemos, antes de qualquer outra
ação, identificar a qual "provedor" pertence
este número. Para isto basta utilizamos um comando do
próprio Windows, dentro da janela do "Prompt do
MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP
pelo número identificado no
relatório). Este
comando produzirá uma série de linhas
"percorrendo" o caminho de um pacote de dados do seu
computador até o computador do invasor. Cada linha
identifica um computador intermediário e as
últimas identificam equipamentos do provedor de
destino. Pelo nome destes equipamentos é fácil
deduzir a que provedor de acesso eles pertencem. Através
da página web do provedor, você pode conseguir
um endereço de contato para reclamar sobre incidentes
de segurança, geralmente abuse@provedor.com.br, mas
uma maneira de garantir o recebimento da sua mensagem
é enviar cópias para
postmaster@provedor.com.br e
root@provedor.com.br. Com
o endereço à mão, redija uma mensagem
relatando a tentativa de acesso não autorizado ao seu
computador pessoal partindo da rede sob a responsabilidade
desta empresa provedora de acesso à Internet. Repare
que é esta empresa que responde pelas tentativas de
invasão originadas na sua (dela) rede. O fato do
incidente ter sido provocado por um usuário é
um problema do provedor com seu cliente em particular e,
à você, cabe apenas a reclamação
aos responsáveis pela rede. Não perca tempo
tentando identificar o usuário. Provedores
sérios que se preocupam com sua imagem emitem uma
notificação ao seu usuário (eles
têm como identificar o usuário através
do número IP e hora) avisando sobre as condutas
aceitáveis dos seus clientes. Dependendo da
política de cada provedor, o usuário, se
estiver reincidindo nestas ações, pode ser
bloqueado ou excluído. Mas,
o que pode dar errado? Infelizmente muita coisa... Para
começar você pode não conseguir
identificar o provedor através do comando "tracert"
por causa de configurações específicas
de redes internas. Neste caso, peça auxílio ao
suporte técnico do seu provedor. Um outro problema
é ser ignorado quando enviar a mensagem relatando
seus problemas de segurança. Uma ótima
ferramenta contra esta atitude por parte dos provedores
irresponsáveis é enviar uma cópia da
mensagem ao NicBR Security Office (nbso@nic.br), equipe
brasileira que mantém um serviço de
auxílio e estatísticas sobre incidentes de
segurança" " (UOL/Anti Hackers,2000). Outras
dicas "Manter
o relógio do seu computador na maior sincronia
possível com o horário oficial do Brasil pode
ser imprescindível para a correta
identificação do usuário no provedor ao
qual está sendo feita a
reclamação. Muitas
alegações por parte dos provedores como, por
exemplo, não punir o usuário por medo de
perder o cliente ou alegar que "pura bisbilhotagem"
(portscan) não é considerado crime, pode fazer
com que a indisciplina na Internet aumente. Nestas
situações, notifique o descaso ao NicBr. Uma
lista dos provedores mais irresponsáveis com a
segurança é um argumento infalível para
se exigir uma ação repressora. Alguns
dos programas mais comuns para a identificação
de ataques são: Anti-Hack 2.0, TDS-2 e muitos dos
pacotes de segurança e firewalls pessoais dos grandes
produtores de software de segurança, como a Symantec
ou a McAfee. Você pode encontrá-los nos grandes
repositórios de softwares como, por exemplo, no
www.download.com ou na www.tucows.com"
" (UOL/Anti Hackers,2000). Conclusão "Uma
das características da nova economia são as
rápidas mudanças dos cenários de
negócios. A curva de mudanças dos ambientes
empresariais é exponencial, desafiando as empresas a
entrarem continuamente desenvolvendo mudanças na
forma de atuarem no mercado. As empresas precisam continuar
surpreendendo os clientes e os competidores continuamente
para manter suas posições no mercado. Hoje os
empresários sabem que o sucesso adquirido no passado
e o mesmo no presente não assegura o sucesso no
futuro. Nos negócios on-line as empresas não
se dividem em grandes ou pequenas, elas se dividem em
empresas rápidas e lentas. Só sobrevivem as
empresas rápidas, independente do tamanho que elas
tenham hoje. Uma empresa rápida caracteriza-se pelas
inovações que implementa e a capacidade de
mutação para atender as mudanças dos
negócios. Atualmente,
as empresas estão buscando crescimentos maiores
fatias no mercado, utilizando desta forma, serviços e
produtos que forneçam uma maior segurança aos
consumidores nas transações eletrônicas,
é um dos pontos segundo Salamon Benabou -
responsável pela área de e-services da HP
Brasil "Segurança é um dos pontos lembrados
por todos os que são questionados sobre barreiras a
uma implementação de comércio
eletrônico. Centenas de produtos e tecnologias de
segurança, voltados para os mais diversos ambientes,
buscam oferecer aos responsáveis pelos projetos de
B2C e B2B o grau de segurança necessário para
atender às necessidades dos usuários finais.
Nesse cenário, com um leque imenso de
opções, torna-se complexo identificar o que
faz diferença e o que é simplesmente
tecnologia." (Banas Qualidade, Fev/2000). "Invenções
como o automóvel, o avião a jato ou o
computador causaram mudanças radicais em nossa
civilização. Más nenhuma delas pode ser
comparada ao poder e influência que a Internet esta
tendo na sociedade e nos negócios neste final de
século. Muita coisa vai mudar no cenário
econômico e comercial, e a dança das cadeiras
já começou. Tão rápido quanto o
avanço da nova economia, diretamente influenciada por
uma sociedade ligada em rede, deve ser o posicionamento das
empresas em integrar seus negócios na cadeia de
suprimentos, usando sistemas de trocas de
informação via Internet. É a
integração que evitará a
desintegração dos negócios, e
permitirá que uma comunidade de empresas funcione
como organismo único" (Mário Persona,
1999:48). Ainda
assim, mesmo com toda tecnologia empregada atualmente e
especificamente a utilizada para segurança na
Internet, ainda não foi possível atingir
nível satisfatório de credibilidade para todos
nos, quando navegamos pela rede mundial. Vivemos uma
constantemente preocupação de estarmos sendo
'vigiados', tememos uma 'invasão de privacidade' e
'ataques' em nossos computadores pessoais ou das empresas
pelos 'hackers', procurando em nossas pastas e arquivos, os
números de nossas contas correntes, os números
de nossos cartões de credito e nossas senhas de
acesso aos bancos, arquivos de dados importantes ou mesmo
programas essenciais para o funcionamento do sistema
operacional. Uma
noticia nos chamou a atenção pelo aspecto de
segurança, no dia 28 de outubro de 2000, o jornal
Folha de São Paulo, no caderno dinheiro, na pagina
B7, Redação. 'Hackers' furtaram códigos
da Microsoft. 'Hackers'
invadiram os computadores da Microsoft e obtiveram
códigos fontes de alguns softwares, incluindo o
Windows e M. Office. Segundo a reportagem trata-se de uma
espionagem industrial, de empresas que querem tornarem seus
produtos mais compatíveis com os produtos da
Microsoft, ou por ativistas, que querem tornar essas
informações e diminuir o poder da
Microsoft. Porém,
nada se falou, o que causaria estes códigos fontes
nas mãos dos 'hackers' , nas facilidades em que eles
teriam para descobrir falhas nos softwares e criarem
ferramentas poderosas e tornar um 'caos' toda essa
tecnologia de segurança na Internet. Na
nossa opinião, se a 'Toda Poderosa Microsoft'
está vulnerável a invasões e permitiu
que códigos fontes de seus principais produtos sejam
roubados, imaginem 'Nós Simples Mortais'. Podemos
deduzir que esta invasão na Microsoft será um
'divisor de águas' que marcará o antes e
depois da Internet, do comercio eletrônico, do bisness
to bisness, do correio eletrônico (e-agora ? Corra que
o 'hacker' vem aí !!!!). Referências
Bibliograficas ANTI-HACKERS.
Online. Internet. <http://www2.uol.com.br/cgi-bin/anti-hackers>
INTERNET
SOCIETY. Online. Internet. <http://info.isoc.org/HMP/PAPER/181/abst.html> MASTERCARD.
Online. Internet. <http://www.mastercard.com/set>
RSA
SECURITY. Online. Internet. <http://www.rsa.com/rsalabs/>
REVISTA
ECOMMERCE. São Paulo: Segmento, ano 1 número
4, agosto de 2000. REVISTA
BRASIL INFORMATION WEEK. São Paulo: It Mídia,
ano 1 número 1, abril de 1999. REVISTA
BANAS QUALIDADE. São Paulo: Banas, ano 9
número 93, fevereiro de 2000. REVISTA
CONSUMIDOR MODERNO. São Paulo: Padrão
Editorial, ano 6 número 37, agosto de
2000. REVISTA
HSM MANAGEMENT. São Paulo: HSM, ano 4, número
18, fevereiro de 2000. REVISTA
CARDNEWS. São Paulo: n.d., número 26,
março de 1998. REVISTA
EXAME. São Paulo: Abril, ano 34 número 34,
agosto de 2000. SEBRAE.
Novas perspectivas para seu negócio na era da
Internet . Brasília, 1998. SEBRAE.
Online. Internet. <http://
www.sebrae.com.br> UNIVERSITY
OF EXETER. Online. Internet. <http://www.ex.ac.uk/~Rdavies/arian/emoneyfaq.html>
Otavio
Lourenço
Robson Freitas
Rogério
Augusto Geneole
Sandra Tabuti
"IKP
- Internet Keyed Payment Protocol: Desenvolvido pela IBM e
pela Zurich Research Laboratory, este protocolo define
transações de natureza semelhante aos
cartões de crédito, onde um comprador e um
vendedor interagem com uma terceira parte, por exemplo um
banco, que irá autorizar a transação.
É baseado em criptografia
assimétrica.
pirata digital, invasor, vândalo, entro outros termos.
Porém existem alguns equívocos
comum na mídia leiga e que vem contribuindo
negativamente para a evolução do
vernáculo do nosso país. Quando oferecem ao
leitor uma simplificada tradução para o
anglicismo "hacker", entre parêntesis após a
primeira ocorrência do vocábulo no corpo de
seus textos do tipo: pitaras de computador e piratas de
internet (sic).
conduta existem outros termos, como "lamer" ou
"cracker", por exemplo. Como referência, posso
indicar uma reportagem especial da CNN em http://www.cnn.com/TECH/specials/hackers/,
ou o dicionário "Wired style: Principle of English
usage in the Digital Age", da editora Constance Hale,
1999.
software livre que circula pelo mundo hoje, e do qual todos
engajados
na revolução digital estão se
beneficiando. Chamar a estes de "hackers
éticos", como fazem alguns para atenuar o erro de
tradução, apenas agrava tal confusão,
pois assume a desonestidade como condição
preliminar e natural à ação associada.
E há muito software ruim por ai, acredite-me,
precisando de hackers normais (quero dizer
honestos)
para corrigi-los ou denunciá-los. (como
referência, posso indicar o site http:\\www.badsoftware.com).
Além disso, é possível que por
trás desta onda difamatória estejam interesses
da indústria do software proprietário,
procurando minar a confiabilidade pública no software
livre, como deixa transparecer seu lobby legislativo pelo
UCITA. Sob o manto do combate à pirataria e o
argumento da uniformização de leis, esta nova
legislação americana sobre licença e
uso do software poderá sufocar o movimento por
liberdade na produção e uso de
software.
jornais em relação à nossa
língua" (Pedro Antônio Dourado de Rezende,
2000:56).