Quando a Internet chegou ao mundo dos negócios, o …



VI SEMEAD Ensaio

M.Q.I.

COMÉRCIO ELETRÔNICO E A SEGURANÇA DA REDE: UMA VISÃO TECNOLÓGICA.

Wanderson Roberto Ferro [1]

COMÉRCIO ELETRÔNICO E A SEGURANÇA DA REDE: UMA VISÃO TECNOLÓGICA.

RESUMO

Este trabalho aborda aspectos de segurança nas transações efetuadas através da Internet, assim como as tecnologias mais utilizadas pelos sites de comércio eletrônico, para garantir a sua própria segurança, bem como a de seus clientes. Trata de aspectos considerados importantes, do ponto de vista de usuários de comércio eletrônico, no momento de decidir-se por utilizar, ou não, a Internet para efetuar uma transação. Conclui ainda que apesar da resistência imposta pela aparente insegurança da rede, os usuários têm aderido cada vez mais a esse instrumento de compra e venda, em prol da comodidade por ele oferecida.

INTRODUÇÃO E CONTEXTUALIZAÇÃO

Quando a Internet chegou ao mundo dos negócios, o mercado em geral já assistira à revolução provocada pela onda dos cartões magnéticos. Na ocasião, fora difícil proporcionar a aceitação do mecanismo, uma vez que era difícil acreditar que aquelas máquinas pudessem atender a qualquer solicitação, por mais simples que fosse, simplesmente apertando um determinado conjunto de botões.

Depois, o tempo e o uso acomodou os anseios dos mais céticos que passaram a utilizar sem maiores problemas o mecanismo. Mesmo aqueles que estavam acostumados a um mundo praticamente desprovido de tecnologia, onde se costumava conferir assinaturas contra cartões previamente preenchidos, ou mesmo atestar a veracidade de documentos através de autenticações feitas em cartórios, se adequaram ao uso modesto de seus cartões e senhas eletrônicas.

No entanto, uma garantia se tinha: sem o cartão e a senha, conjuntamente, nada poderia ser feito em suas contas bancárias.

A Internet chegou, primeiramente proporcionando apenas a troca de correspondência eletrônica e o acesso à informações previamente formatadas. Seu uso restrito não dava a noção exata da grandiosidade de oportunidades que seriam oferecidas a partir de sua correta exploração comercial.

Com o crescimento da grande rede e com o avanço tecnológico, a exploração comercial do meio teve início. Foi um grande revolução quando as pessoas puderam à distância, sem contato verbal explícito, comprar os mais variados itens, ou então efetuar movimentações financeiras em suas contas bancárias.

Conforme publicado pelo Chigago Fed Letter, periódico informativo do Federal Reserve Bank of Chicago, em edição de número 163, de Março de 2001, a Internet trouxe para a indústria financeira, principalmente a bancária, serviços que antes não eram oferecidos, como por exemplo, puderam oferecer agregação de informações, organizando em um único lugar todos os dados de um determinado cliente sobre suas relações financeiras com companhias de seguro, corretoras, bancos, entre outras.

Claro que o início do uso da Internet para a indústria financeira foi extremamente modesto, mas desde então surgia uma preocupação que se tornaria ponto central e fator crítico para o sucesso dos negócios baseados nessa tecnologia: A segurança.

Como é que um cliente ou comprador teria a garantia de que ninguém além dele próprio poderia efetuar transações em sua conta bancária, ou até mesmo efetuar compras em seu nome. Pior do que isso: caso esse tipo de crime acontecesse, como seria pego o bandido? A quem se deveria recorrer para solucionar problemas dessa natureza?

Certamente, essa preocupação refreou o avanço galopante que o meio teria se não fosse o receio que envolvia toda a comunidade em relação à Internet.

Desde então, muito foi feito no sentido de propiciar à Internet a segurança desejada. Se por um lado o meio proporciona a seus usuários uma facilidade extrema de permitir que não seja necessário o deslocamento físico, por outro lado traz a preocupação relacionada à segurança das transações que são realizadas.

Assim, faz-se necessário conhecer o ambiente da Internet, o quanto se pode confiar no meio e o quanto se tem feito para garantir a segurança e aumentar a confiabilidade desse meio, que sem dúvida nenhuma, revolucionou totalmente o mundo dos negócios, ampliou mercados, e colocou dentro da casa dos consumidores as mais diversas lojas e bancos.

Ainda falando de segurança de transações na Internet, deve-se lembrar que não faz muito sentido tratar de segurança de transações na Internet, uma vez que essa segurança está intimamente ligada e depende fortemente da segurança que a própria rede oferece, mesmo antes de se falar em transações comerciais. Esse aspecto da segurança sempre remete ao princípio da criação da rede, quando se poderá verificar que a Internet não é um ambiente com segurança de 100% atualmente, pois esse não era um conceito importante quando da sua concepção.

Por outro lado, a preocupação com segurança da informação se tornou muito pungente depois do crescimento da Internet. No entanto, o nascimento dessa preocupação data de períodos muito anteriores ao da existência da rede.

Uma transação comercial era válida anteriormente ( e em inúmeros setores ainda o são), somente com a validação da assinatura de ambas as partes. Por exemplo: qualquer contrato somente tem validade depois de atestadas que as assinaturas apostas ao final, dando concordância ao seu teor, após a autenticação das mesmas em cartório, considerado, um órgão neutro na transação comercial que estava sendo realizada. A necessidade de um terceiro se justificava para validar que nenhuma das duas partes acordadas estava sendo lograda pela falsificação de assinatura pela outra parte. Esse procedimento garantia a autenticidade do documento, mas como na época a preocupação com procedência e destino não eram grandes em razão de se restringirem a documentos físicos, estava atendendo às necessidades da época.

A INTERNET

Quando a Internet foi projetada, não se tinha muita, ou quase nenhuma, preocupação com segurança da informação da forma como é encarada hoje. A utilização a ser feita da rede de computadores era a de simplesmente tornar mais fácil e ágil a comunicação entre as pessoas além de disponibilizar informações de uma forma mais amigável do que os recursos existentes na época, conforme destaca o artigo de Antonio Figueiredo, publicado na revista Unicamp na seção de Administração de Sistemas e Segurança.

A história da Internet remonta a década de 60, quando o mundo vivia em meio a forte pressão causada pela guerra fria. Naquele contexto o mundo receava o ataque nuclear que um dos pólos que se opunham podiam provocar. Pensando nessa possibilidade o Departamento de Defesa dos Estados Unidos, encomendou uma rede que não pudesse ser destruída por ataques destrutivos, uma vez que todos os pontos da rede assumiriam o mesmo status, diferentemente da arquitetura existente até então, que dependia de um computador central. Assim, se poderia ligar pontos estratégicos sem receio de que um único ataque destruísse toda a inteligência militar dos EUA, pois como a informação poderia percorrer inúmeras vias entre seus destinos, mesmo que se destruísse um dos pontos, a informação continuava trafegando entre os pontos não afetados.

O projeto foi liderado por nomes importantes da área da computação como Robert Taylor e J. C. R. Licklider e foi financiado pela Advanced Research Projects Agency (ARPA). A grande mudança ocorrida é que os dados caminhariam dentro da rede em diversas rotas alternáveis.

O primeiro ambiente de internet interligava 4 pontos, dentre os quais a Universidade de Utah e a Universidade da Califórnia. O primeiro teste, segundo matéria publicada pelo jornal o Estado de São Paulo em caderno especial intitulado "Internet", foi realizado em 21 de novembro de 1969, quando pesquisadores da UCLA (Universidade da Califórnia) enviaram uma mensagem para o Instituto de Pesquisas de Stanford, situado a cerca de 450 quilômetros da Universidade.

As conexões à rede de computadores cresceu bastante, tendo em 1971 interligado cerca de 24 redes, e em 74, cerca de 62. Entretanto durante muito tempo o acesso à Internet ficou restrito às instituições de pesquisa e às Universidades. Quando na década de 80 os microcomputadores passaram a ter um custo mais acessível, qualquer pessoa pedia se conectar à rede desde que se filiasse a um provedor de acesso.

Até então a Internet era exclusivamente um meio de transmissão de informações entre computadores. Na década de 90, a rede passou a ter além dos propósitos de interligar redes, o propósito comercial. Já que se podia enviar mensagens para usuários através da rede, o que poderia impedir que se pudesse realizar transações comerciais através do mesmo canal?

Se por um lado o comércio na rede ampliava enormemente os horizontes de utilização da Internet, por outro, desviava a rede de seus propósitos iniciais. No entanto, essa preocupação não foi tão marcante quanto a necessidade de se estabelecer padrões para a utilização da internet. Por essa razão surgiu em 1992 a Internet Society (ISOC) com a função de criar, distribuir, supervisionar e atualizar padrões para a Internet.

Outro aspecto importante a ser considerado é a criação do Mosaic, que revolucionou a Internet também. Até sua criação a troca de informações era basicamente realizado através de correio eletrônico ou por transferência de arquivos (FTP - File Transfer Protocol), que requeria do usuários grandes conhecimentos, uma vez que necessitava a digitação de longas linhas de comando.

A vida do usuário de Internet foi muito facilitada pelo surgimento do Mosaic, conforme ressalta Luis Octávio Lima, em sua reportagem para o caderno especial "Internet" para o jornal O Estado de São Paulo, pois o Mosaic trazia a funcionalidade de um visualizador de imagens e gráficos além de textos nos mesmos moldes de uma página de revista.

Ainda segundo Luis Octávio Lima, o Mosaic proporcionou a explosão da internet, uma vez que o número de usuários ao final do primeiro ano de existência do produto, o número de usuários da rede era seis vezes maior. Além disso, no primeiro semestre de 1993, o número de hosts (pontos ligados à Internet com oferta de serviços) comerciais era maior que o número de hosts acadêmicos. Isso fazia os estudiosos da época predizerem que a internet estava deixando o mundo acadêmico, que até então fora seu principal usuário para crescer para o mundo.

No Brasil, se pode dizer que o acesso a Internet chegou por uma necessidade dos meios acadêmicos. Segundo Luis Octávio Lima, a necessidade dos estudantes que retornavam do doutorado no exterior de manter contato com os centros de pesquisa internacionais, fez com que em 1989, por intermédio da FAPESP (Fundação de Amparo à Pesquisa do Estado de São Paulo), que é ligada à Secretaria Estadual de Ciência e Tecnologia, se conseguisse o acesso a grande rede, que no primeiro ano, se restringia a e-mail e retirada de arquivos, o que no entanto, era bastante avançado para a época. A partir de então a rede só tem crescido no país.

A internet, para estabelecer uma comunicação entre os diversos pontos que a formam, dispõe de uma ferramenta chamada protocolo de comunicação conhecido como TCP/IP - Transmission Control Protocol/Internet Protocol.

Esse protocolo de comunicação funciona convertendo as mensagens a serem transmitidas em blocos de informações, ou pacotes compatíveis com a rede de comunicação e encaminhando ao computador com um determinado endereço na internet. O protocolo garante que as informações transmitidas entre computadores não contenham erros, pois se um dos pacotes apresenta problemas, é retransmitido.

1 TRANSAÇÕES NA INTERNET

As oportunidades de negócio que surgiram com o advento da Internet foram inúmeras. Desde simples propaganda, que anteriormente circulava por outros meios, como a TV, revistas, jornais e outdoors, passou a ser veiculada pela grande rede, até mesmo anúncios de compra e venda. Talvez tenham sido esses anúncios as primeiras iniciativas de se implementar um comércio que era auxiliado pela Internet. As transações comerciais, continuavam sendo feitas pessoalmente, mas as pessoas se encontravam através dos anúncios publicados.

A evolução dessa ferramenta foi muito rápida, fazendo com que logo as pessoas estivessem transacionando através da Internet. Surgiram então os sites de compra e venda de mercadorias usadas, leilões, e até mesmo os bancos virtuais.

Especificamente esses últimos, foram os mais colocados em dúvida pela comunidade virtual. Atualmente, no entanto, é possível realizar qualquer operação financeira que não requeira a presença na agência, tais como transferências, pagamentos, contratação de serviços e operações financeiras como câmbio, importação e exportação, etc.

Os bancos enxergam a Internet como uma ferramenta muito promissora para o futuro de seus negócios. Uma grande vantagem da Internet para os bancos é o barateamento do custo das transações, que são em grande parte realizadas apenas pelos sistemas sob comando direto dos clientes/usuários, sem nenhuma intervenção de qualquer funcionário.

Sob esse aspecto a Internet traz melhorias para os clientes, pois também é repassado para eles um percentual do barateamento do custo das transações. Mas no entanto, muitas vezes o cliente prefere estar presente na agência bancária quando o assunto envolve suas finanças. Esbarra-se novamente no problema da segurança.

Mas na verdade, do que os clientes têm medo? Quais são seus maiores receios?

Há quem diga que todos os problemas de segurança em uma transação bancária através da Internet, se resumem em um só: não poder provar que a transação tenha sido realizada pelo próprio cliente.

Esse aspecto traz dois pontos de vista conflitantes quanto aos interesses. Se por um lado o cliente não pode provar que uma transação não foi realizada por ele próprio, as instituições tampouco (claro que há exceções) podem provar que o autor da transação foi o próprio cliente.

Por outro lado existem atualmente bancos que são exclusivamente virtuais. Muitos desses bancos, conforme o que relata o Chicago Fed Letter de número 163, têm se preocupado em focalizar uma fatia específica de mercado e oferecer todos os serviços bancários para essa fatia. Por exemplo, o iVantage Bancorp foca especificamente estudantes universitários e seus pais; o deseja estabelecer relações duradouras com parcelas da população que tradicionalmente não se relacionavam com bancos; o deseja fazer empréstimos e oferecer serviços e gerenciamento de caixa para proprietários de pequenos negócios. Toda essa especialização foi possibilitada pela Internet, pois os bancos tradicionais, precisariam de uma capilaridade bastante grande de sua rede de agências para focar esses grupos especificamente, o que poderia não compensar-lhes o investimento.

Enquanto isso os bancos tradicionais (brick and mortar) aventuram-se em uma corrida para oferecer aos seus clientes um ambiente web para transacionar. Assim como era difícil conceber um banco que não trabalhasse com Auto-atendimento há algum tempo atrás, hoje é difícil imaginar um banco que opere sem um website.

Existe até quem afirme, como por exemplo, Rob Lee, Vice Presidente Executivo da Alltel RLS, eu seu discurso de 31 de outubro de 2000, publicado no Vital Speeches of the Day, que a Internet propiciou um ambiente muito sadio de transações bancárias, que acabou inclusive com a discriminação racial, ou religiosa, uma vez que o atendimento ao cliente é uniforme, sempre.

2 PROBLEMAS DE SEGURANÇA NA INTERNET

Quais são os problemas de segurança enfrentados quando se transaciona através da Internet?

Inúmeras são as causas desses problemas. Antonio Figueiredo da UNICAMP procurou sintetizar esses problemas em seu artigo publicado na Revista da Unicamp de Nº 6, seção de Administração de Sistemas e Segurança, de setembro de 1999, conforme demonstra-se abaixo:

|  |Integridade |Confidencialidade |Negação de Serviço |Autenticação |

|Ameaças |- modificação de dados do |- eavesdropping |- bloqueio da conexão |- personificação |

| |usuário |- roubo de info/dado do |- inundação da máquina|de usuários legítimos |

| |- browser cavalo de Tróia |servidor/cliente |com solicitações bogus|- falsificação de dados|

| |- modificação de   memória|- informação da configuração da |- isolamento da | |

| | |rede/máquinas...  |máquina por ataques a | |

| |- modificação de   |- informação de qual cliente  |DNS | |

| |mensagens em  trânsito |"conversa" com servidor em trânsito | | |

|Consequências |- perda de informação |- perda de informação |- interrupção |- má representação do |

| |- compromete a máquina  |- perda de  privacidade  |-aborrecimento |usuário |

| |- vulnerabilidade para | |- impedir usuário |- crença que    |

| |outras ameaças | |realizar seu trabalho |informação falsa é |

| | | | |verdadeira |

|Medidas |- checksums   |- encriptação, Web proxies |- difícil prevenir |- técnicas |

| |criptográfico | | |criptográficas |

Os problemas indicados na tabela acima referem-se aos principais problemas relacionados a segurança encontrados na Internet. Sua classificação pode ser feita em quatro grupos:

Integridade, que consiste em alterações nos dados dos clientes, como mensagens, arquivos, ou até mesmo memória do computador, o que pode trazer conseqüências catastróficas para o usuário atacado.

Confidencialidade, que consiste em trazer ao conhecimento de terceiros as informações, inicialmente privadas, do cliente, o que pode revelar seus hábitos, ou trazer ao conhecimento público informações confidenciais.

Negação de serviço, consiste em impedir que o usuário acesse o serviço que pretende, ou muito pior do que isso, fazer com que acesse um determinado site, normalmente uma cópia fiel do site que pretendia acessar, e realize operações com outra instituição ou pessoa que desejava inicialmente. Esse tipo de ameaça é uma das mais difíceis de prevenir.

Autenticação, que consiste em roubar as senhas de usuário válido e acessar os serviços que seriam direcionados a ele. Esse tipo de ataque se faz pela interceptação e captura de senhas inicialmente não criptografadas que trafegam pela Internet.

CERTIFICAÇÃO DIGITAL

A Certificação Digital surge no mundo da Internet como meio de validar a autenticidade de um documento. Na verdade, a intenção é a de garantir a validade de um documento que trafega pela rede, e por esse motivo é passível de alterações e pode ser mal utilizado por pessoas de má fé.

Segundo a revista brasileira PC World, em edição de 07/11/2001, a grande missão dos certificados digitais é tornar cada pacote de dados que trafega pela Internet, seja ele de transações eletrônicas ou de informações genéricas, um documento passível de ser autenticado e com firma reconhecida, como no mundo real.

Essa tarefa, sobremaneira é fácil, uma vez que um conjunto de dados que trafega pela grande rede, é passível dos mais diferentes tipos de ataques, desde interceptação por terceiros, cópia, etc.

A tentativa de se garantir segurança para esses documentos se faz no mundo comercial e acadêmico por meio de certificados digitais. Esses certificados nada mais são que ferramentas baseadas em criptografia, que tentam manter indecifráveis as mensagens que trafegam na Internet.

Um certificado nada mais é do que um arquivo de computador que tem a função de identificar os usuários na Internet.

Segundo a empresa Certisign, que é a maior empresa do setor no Brasil, um certificado digital normalmente contém:

• Uma chave pública (que será discutida em detalhes na seção que trata da criptografia.)

• O nome e endereço de e-mail do usuário;

• A data de validade da chave pública;

• O nome da empresa certificadora que emitiu o Certificado Digital;

• O número de série do Certificado Digital;

• A assinatura digital da Autoridade Certificadora.

Existem no mercado uma série de empresas atuando no ramo dos certificados digitais. A procura por certificados cresce na mesma medida do crescimento da oferta de serviços e transações pela Internet. Dentre as empresas que atuam nesse mercado pode-se destacar algumas como sendo as que possuem a maior parte desse mercado, tais como a Certisign, a Verisign, a Thawte, a GlobalSign, a Nlsign B.V., a UniCERT e a Excon. Todas elas oferecem esse mesmo serviço com pequenas variações. Existem desde certificados gratuitos para pessoas físicas, até certificados com chave de 128 bits para corporações cujo fluxo de acessos ao site é muito grande, passando por outros modelos de certificados menos poderosos, para sites que possuem um nível menor de acessos.

Um certificado digital permite ao site que o possui algumas facilidades, dependendo de seu uso. É importante destacar que o mesmo certificado pode ser utilizado para todas as facilidades, que são a própria criptografia, a autenticação de clientes (que em resumo é a maneira pela qual uma corporação como um banco se certifica de que a pessoa que está utilizando seu Internet banking é o próprio cliente) e a assinatura digital.

A crescente busca pelos certificados digitais ampliou o mercado para essas empresas que vêm crescendo juntamente com a demanda para essas soluções viabilizadoras do comércio através da Internet.

Essas entidades desempenham um papel fundamental em relação aos aspectos de segurança de transações. São atualmente conhecidas como Autoridades Certificadoras. Essas empresas são, basicamente, empresas de tecnologia que a aplicam nesse campo específico, especializando-se em garantir a segurança no ambiente Web que, como já foi mencionado, não foi criado pensando na segurança que necessita-se atualmente.

As entidades certificadoras são assim chamadas pelo fato de emitirem certificados digitais, que até pouco tempo atrás, apesar de garantirem a veracidade, autenticidade e integridade de documentos no ambiente Internet, não eram reconhecidos legalmente.

Essa questão é antiga e versa que o ambiente Internet tem segurança muito frágil para que seu conteúdo seja considerado instrumento legal. No entanto a pressão social sobre o governo e principalmente a necessidade fez com que em julho de 2001 o Governo aprovasse a Medida Provisória 2200, que cria e institui a Infra-estrutura de Chaves Públicas Brasileira - A ICP-Brasil. A partir dessa Medida Provisória documentos digitais passam a ter valor legal, desde que respeitados diversos aspectos relacionados à segurança, dentre os quais se destaca a Certificação Digital por Autoridades Certificadoras.

A questão da segurança é tão amplamente debatida que além das entidades certificadoras para emissão de certificados digitais, surge também no mercado, à exemplo das certificações ISO9000, um selo de qualidade de transações eletrônicas realizadas pela Internet.

Segundo a Deloitte Touche Tohmatsu, uma das empresas de auditoria e consultoria que auxiliam na implantação do selo de qualidade conhecido como Webtrust, as rígidas regras para obtenção do selo são determinadas pelas companhias norte-americana AICPA (American Institute of Certified Public Accountants) e canadense CICA (Canadian Institute of Chartered Accountants).

A busca da segurança é tão necessária no mercado da Internet que as iniciativas para incrementar segurança no ambiente surgem de diversos lados e com ritmo acelerado, ampliando ainda mais o foco de atenção do mercado para o fenômeno da Internet.

A CRIPTOGRAFIA

Criptografia, como já mencionado acima, é a ciência que busca manter indecifráveis os conjuntos de dados que trafegam pela Internet. Ela se baseia em um esquema de algoritmos e funções matemáticas para converter um documento ou conjunto de dados interpretáveis em um outro conjunto indecifrável. Cada algoritmo precisa de um outro conjunto de dados, conhecido como chave de criptografia para a transformação dos documentos.

As chaves de criptografia mantêm e garantem a autenticidade de um documento, como também sua privacidade. Existem alguns tipos de criptografia que se abordará adiante.

1 CRIPTOGRAFIA COM CHAVE SIMÉTRICA

Os casos em que o emissor e o receptor do conjunto de dados utilizam-se do mesmo código, ou mesma chave de criptografia, são conhecidos como algoritmos de criptografia com chave simétrica.

Esse esquema é mais rápido que os demais, entretanto, exige que as partes envolvidas combinem um código a ser utilizado previamente, o que dá margem a vazamento de informações, uma vez que, em geral, os algoritmos são de conhecimento público, nestes casos.

Sendo assim, a chave de criptografia nos modelos simétricos é tão mais segura, quanto maior for, uma vez que quanto maior a chave, maior o número de possibilidades para conversão. Existem algoritmos de criptografia que utilizam chaves de diversos tamanhos.

[pic]

Fonte: Site do Governo do Paraná - Celepar.

2 CRIPTOGRAFIA COM CHAVE ASSIMÉTRICA

A Criptografia com chave assimétrica surge para solucionar o problema de compartilhamento e multiplicação das chaves no modelo de chave simétrica.

Nesse processo, utiliza-se sempre duas chaves, uma pública e uma privada que são ligadas entre si matematicamente. Qualquer uma das duas chaves, pública ou privada pode cifrar um documento, entretanto, um documento que tenha sido cifrado com a chave privada somente poderá ser decifrado utilizando-se a chave pública e um documento que tenha sido cifrado utilizando a chave pública, somente poderá ser decifrado utilizando-se a chave privada.

Esse processo parece solucionar o problema das chaves simétricas, mas no entanto cria outros problemas, como por exemplo, se um documento é cifrado utilizando-se a chave privada, ele somente poderá ser decifrado utilizando-se a chave pública correspondente. Neste caso a autenticidade do documento, uma vez que o receptor tenha a chave pública, ele saberá quem realmente foi o gerador do documento, já que ele seguramente foi cifrado pela chave privada.

Por outro lado o sigilo do documento não está garantido nesse modelo, uma vez que qualquer pessoa que possua a chave pública poderá decifrar o documento e acessar o seu conteúdo.

Pode-se também optar por fazer o contrário: cifrar o documento utilizando a chave pública e decifrá-lo utilizando a privada. Neste caso está garantido o sigilo, pois certamente somente quem possuir a chave privada terá acesso ao conteúdo do documento, mas a autenticidade foge do controle, pois qualquer pessoa de posse da chave pública, poderia ter cifrado o documento.

[pic]

Fonte: Site do Governo do Estado do Paraná - Celepar

A dificuldade de utilização do modelo de chaves assimétricas é que ele garante o sigilo e também garante a autenticidade, mas não ao mesmo tempo.

FUNÇÃO HASHING

A Função Hashing surge para resolver uma série de questões, conforme ressalta o artigo Infra-Estrutura de Chaves Públicas de Stefano Kubiça e dentre elas está a de garantir a integridade do documento recebido e em segundo lugar, agilizar a decodificação de um documento, já que esse era um processo extremamente lento para a criptografia com chaves assimétricas.

A garantia de integridade se dá pelo fato de que a função hashing calcula para o documento em questão, uma espécie de resumo único, sendo que se qualquer coisa for alterada no documento, o código Hash (como é conhecido) será totalmente diferente do anterior. Outro ponto importante para o código Hash é que deve ser impossível recompor o documento inicial através de seu código Hash. Assim, não é possível obter o mesmo código Hash a partir de 2 documentos diferentes e nem é possível compor o documento original utilizando apenas o seu código Hash. É uma espécie de impressão digital do arquivo a ser transferido.

Assim, para utilização do código Hash, deve-se enviá-lo juntamente com o documento. O receptor, por sua vez, calcula novamente o código Hash e compara com o código Hash recebido, e se forem iguais se tem a garantia de que o documento não foi violado.

Ao utilizar somente o código Hash, não se pode garantir totalmente a integridade de um documento, uma vez que é possível interceptar o documento, alterá-lo e depois disso, calcular o código Hash, para depois dar seqüência na transmissão. Assim, torna-se necessário combinar a Técnica da Função Hashing com outras conhecidas, para se ter uma garantia de autenticidade e integridade.

PREOCUPAÇÃO COM SEGURANÇA E COMPRAS

Conforme artigo de Mariana Ciscato publicado no jornal O Estado de São Paulo em 31/10/2001, sob o título de "Preocupação com segurança não inibe compras na Net", o consumidor , apesar de preocupar-se com as questões de segurança na realização de transações comerciais na Internet, não se limitou a utilizar-se dos serviços disponíveis na grande rede. As conclusões são baseadas em breve estudo realizado pela empresa de consultoria Pricewaterhouse Coopers em parceria com a E-bit (empresa especializada em pesquisa, marketing e tecnologia).

O estudo baseou-se em um levantamento realizado em um universo de 1172 consumidores do e-commerce no período de 1º a 10 de outubro, considerando usuários experientes na faixa etária de 25 a 50 anos, predominantemente pertencente às classes A e B.

A pesquisa mostrou informações extremamente importantes para análise do mercado de Internet no país. Por exemplo, dentre os entrevistados, 89% transacionam na grande rede, mesmo que isso coloque em risco sua privacidade. As informações financeiras são as mais protegidas pelos internautas, por exemplo dados de conta bancária são protegidos por 68% dos usuários, dados de cartão de crédito, por 61%.

As entidades consideradas mais confiáveis na preservação da privacidade pela pesquisa, são as instituições bancárias, com 47%. A pesquisa aponta ainda a marca da empresa como principal fator para determinar a confiança. Mas ainda assim, o consumidor declara-se cuidadoso na realização de compras na Internet. Segundo a pesquisa, 69% dos entrevistados declaram ler as cláusulas de privacidade do site e 62% afirmam que já deixaram de fornecer informações pessoais após a leitura das referidas cláusulas.

A Febraban (Federação Brasileira de Bancos) publica em seu site dados de um levantamento anual que mostra o grande crescimento dos usuários de Internet que acessam transações bancárias ao longo dos últimos anos. Os dados mostrados são os mais recentes, pois os dados referentes ao ano de 2002 ainda não foram publicados.:

| |(em milhões) |Variação |

| |1998 |1999 |2000 |2001 |99/98 |00/99 |01/00 |

|Clientes com Internet/home banking |2,6 |4,3 |6,8 |2,4 |65,5% |58,14% |-64,09% |

|Clientes com Internet/office banking |0,5 |0,6 |1,5 |1,3 |24,0% |141,94% |-13,25% |

|Clientes com Internet Banking |- |- |8,3 |13,0 |- |- |56,63% |

|Clientes com acesso a Centrais Telefônicas de |40,4 |42, |52,4 |57,4 |5,3% |23,00% |9,54% |

|Serviços | | | | | | | |

|Consultas às URA (Unidade de Resposta Audível) |598,7 |744, |1.164, |1.328,4 |24,3% |56,45% |14,12% |

Fonte: adaptado de FEBRABAN - site na internet no endereço , acessado em 20/01/2002 e 10/01/2003

Notar que o crescimento de usuários de home banking (pessoas físicas) tem ultrapassado sempre a casa dos 50% de ano para ano, e que ao final de 2000 o número de usuários de internet banking chegava próximo dos 7 milhões de pessoas.

Fato interessante acontece também com a utilização de office banking (pessoa jurídica). O crescimento que do ano de 1998 para 1999 foi muito modesto (da ordem de 20%), do ano de 1999 para 2000, cresceu a cifra de 141%, o que representa um percentual de 200% em relação ao ano de 1998. Um crescimento bastante grande e que representa a adesão das empresas a esse canal de negócios.

CONCLUSÕES

Tendo em vista as informações analisadas por este trabalho, e pelos dados apresentados em relação aos usuários, pode-se perceber que o usuário de Internet, que transaciona pela rede, preocupa-se em não disponibilizar suas informações, principalmente quando são financeiras.

Apesar de apresentar preocupação com o sigilo, a privacidade de suas informações, bem como com a integridade e autenticidade das informações que recebe, não deixa de efetuar suas transações pela Internet.

O que se observa é que cada vez mais a preocupação com segurança de informações, dá lugar à comodidade oferecida pelas empresas que trabalham na Internet e que o critério de seleção dos clientes passa por diversos fatores e dentre eles está a imagem da empresa.

O aspecto da segurança no ambiente Internet abre cada vez mais horizontes e oportunidades de negócios para empresas de tecnologia, consultoria e auditoria.

O mundo digital é uma realidade da qual não se pode fugir, pois os que são contrários a esses avanços tecnológicos, acabam sendo levados pela grande massa que adota as inovações oferecidas, considerando o universo de pessoas que atualmente acessam a rede e que têm potencial de efetuar transações por ela.

REFERÊNCIAS BIBLIOGRÁFICAS

□ CERTISIGN - Empresa do ramo de Certifcação Digital, disponível na Internet pelo endereço , consultado em 05/01/2003.

□ CISCATO, M., Preocupação com segurança não inibe compras pela Net, em O Estado de São Paulo de 31/10/2001, disponível na Internet pelo endereço , consultado em 10/01/2003.

□ Deloitte Touche Tohmasu, "Bancos começam a adotar selo que atesta segurança nas transações bancárias pela Internet", disponível na Internet pelo endereço: , consultado em 11/01/2003.

□ De YOUNG, R., The Internet's place in the banking industry, in Chicago Fed Letter, nº 163, Março/2001.

□ FAGUNDES, E., Perguntas e Respostas sobre Internet, disponível na Internet pelo endereço , consultado em 03/01/2003.

□ FEBRABAN - Federação Brasileira de Bancos, Dados sobre Tecnologia, disponível na Internet pelo endereço , consultado em 20/01/2002 e 10/01/2003.

□ FIGUEIREDO, A., Revista Unicamp - Administração de Sistemas e Segurança, nº 6, Setembro de 1999, disponível na Internet pelo endereço , consultado em 10/01/2003.

□ HAMANN, E. M., HENN, H., SCHÄCK, T., SELIGER, F., Securing e-business applications using smart cards, in IBM Systems Journal, vol. 40, nº 3, 2001, pág. 635 - 646.

□ KUBIÇA, S., Documentos com Segurança na Internet, Companhia de Informática do Paraná - CELEPAR, disponível pela Internet no endereço , consultado em 10/01/2003.

□ LEE, R., Keeping Freddie Krueger in the Closet - Internet Security and Online Banking, in Speeches of the Day, vol 67, issue 7, 15/01/2001, pág. 210 - 213.

□ LIMA, L.O., O Estado de São Paulo - Caderno Especial Internet, disponível na Internet pelo endereço , consultado em 05/01/2003.

□ STANTON, M., O Estado de São Paulo - Tecnologia de 09/07/2001 sob título "Assinatura Digital: Falta pouco agora", disponível na Internet pelo endereço , consultado em 10/01/2003.

□ ZABEU, S.B., Certificação Digital: a sua firma reconhecida na Internet, em PCWorld, de 07/11/2001, disponível na Internet no endereço , consultado em 27/12/2002.

-----------------------

[1] Licenciado em Matemática pelo Instituto de Matemática e Estatística da Universidade de São Paulo e atualmente, aluno do programa de Pós-Graduação Administração em nível de Mestrado pela Faculdade de Economia, Administração e Contabilidade da Universidade de São Paulo - E-mail: wrferro@.br .

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download