Author: Olga Macedo

*Jack Pouchet é Vice-Presidente Global de Desenvolvimento de Novos Negócios da Emerson Network Power.

Lançado no Japão no início de julho e disponível no Brasil a partir de 03 de agosto, o jogo de realidade aumentada Pokémon Go tornou-se instantaneamente uma febre global. Hoje mais de 40 países estão dentro do jogo. Segundo o instituto de pesquisas norte-americano App Annie, a aplicação já foi baixada mais de 100 milhões de vezes. Quer seja por causa de tantos acessos simultâneos, quer seja por ataques de negação de serviços que inundam o servidor de falsos acessos, impedindo que o portal seja acessado por usuários legítimos, os serviços do Pokémon Go têm frustrado muita gente.

Diante das falhas do Pokémon GO, a Niantic Labs garante que não sofreu ataques DDoS de negação de serviços. A empresa justifica a instabilidade do sistema pelo excesso de acessos. Dois grupos de hackers – o OurMine e o DDoSers –, por outro lado, assumiram a autoria de ataques que, segundo a Niantic Labs, nunca aconteceram.

Independentemente das razões por trás das falhas, o caso Pokémon Go serve de farol para prevenir problemas semelhantes enfrentados pelas corporações usuárias de TIC.

Vamos investigar, inicialmente, as especificidades do caso Pokémon Go:

Jogos online são tremendamente sensíveis a problemas de latência e disponibilidade – isso faz de uma aplicação como o Pokémon Go um alvo ideal para ataques de negação de serviços. Mitigar esse tipo de ataque num servidor de jogos, ainda mais jogos de realidade aumentada, é uma tarefa bastante complexa. O ataque efetivamente consegue atingir os jogadores, que se incomodam muito com problemas de latência. Diante de qualquer problema, as redes sociais ficam imediatamente repletas de posts cheios de reclamações em diversas línguas e intensidades.

Como a aplicação em questão é um jogo, parece que os hackers potencialmente envolvidos veem toda esta questão como uma brincadeira ou uma provocação. Os dois grupos de hackers que se dizem responsáveis pelos ataques contra o Pokémon Go afirmam que tudo foi feito para “ajudar a Niantic Labs a resolver seus problemas de segurança digital”. Na minha visão, esse tipo de afirmação apenas tenta esconder as verdadeiras intenções de hackers teoricamente “do bem” que, ainda assim, cobram resgates para resolver os problemas criados por eles mesmos.

Hackers do bem colaboram com empresas, não expõem empresas

A verdade é que se esses hackers desejassem realmente ajudar a Niantic Labs, eles atuariam como outros pesquisadores de vulnerabilidades que, quando se deparam com um problema potencial, imediatamente avisam a empresa responsável pela aplicação Web. É comum que esses “hackers do bem” entreguem relatórios detalhados de falhas, trabalhando ombro a ombro com os desenvolvedores do sistema original para resolver todas as vulnerabilidades.

Acredito que todos fariam melhor em desistir de esperar misericórdia de hackers como os grupos OurMine e DDoSers. O caminho da segurança passa pela adoção de novos parâmetros em infraestrutura de TIC e desenvolvimento de aplicações.

Supondo, por exemplo, que a Niantic Labs tenha sido incapaz de fazer frente à demanda de seus usuários, isso poderia indicar um problema de planejamento de capacidade. Poucos indícios apontam nesta direção. Como esse jogo utiliza serviços na nuvem, teoricamente contaria com toda a escalabilidade de que viesse a precisar. Para que os ganhos da escalabilidade da nuvem se façam tangíveis, porém, é necessário que a aplicação Pokémon Go tenha sido construída para ser escalada de forma infinita por meio de toda a infraestrutura da nuvem. Se, por outro lado, o sistema Pokémon Go foi construído de modo tradicional, ou, então, adaptado de um sistema antigo, poderia enfrentar problemas para fazer bom uso da escalabilidade que a nuvem traz. Naturalmente a mesma lógica também se aplica às áreas de TI das empresas.

Outro fator que não pode ser esquecido: a inclusão de um serviço de balanceamento de carga deve ser uma exigência em qualquer arquitetura de aplicações. Um serviço de balanceamento de carga não apenas supre a necessidade de “equipar-se para as falhas” devido ao seu inerente suporte a failover entre duas instâncias de aplicação. É importante destacar que isso é feito, sempre, de modo a preservar a qualidade do serviço oferecido ao usuário final da aplicação, independentemente do sistema ser o Pokémon Go ou um ERP como o SAP.

Pode ser que o erro da Niantic Labs tenha sido não se planejar para o sucesso planetário e instantâneo do Pokémon Go. Pode ser que a empresa tenha sido alvo de ataques DDoS. De uma forma ou de outra, uma história como essa nos lembra que as mesmas métricas de qualidade de serviços exigidas por jogadores de um sistema de realidade aumentada também são valorizadas por usuários corporativos. Para evitar que sua aplicação distribuída ou Web cause frustrações é bom trabalhar a partir de três premissas básicas: preparar-se para a falha, preparar-se para escalar, na nuvem ou com recursos próprios, mais infraestrutura de rede e, finalmente, realizar o balanceamento entre diferentes elementos do sistema de modo a não interromper nem o jogo, nem os negócios.

Um dos setores da economia com as maiores comunidades de usuários são as universidades. Somente a Kroton, por exemplo, tinha em 2015 1 milhão de alunos – desde cursos de Educação Básica até Graduação e Pós-Graduação. Somem-se a isso os responsáveis por alunos, os colaboradores desta instituição e os profissionais terceirizados e estaremos diante de um mundo de usuários, aplicações e demandas. As requisições desta vertical para os times de TIC e Segurança de Informação ficam ainda mais complexas quando se observa o forte movimento de consolidação entre as universidades privadas, em que instituições centenárias ou de atuação regional podem se fundir com grandes grupos baseados em capital estrangeiro ou nacional. Outro vetor de mudança neste segmento do mercado é a mescla entre aulas presenciais e EAD (Ensino a Distância). Virtualmente todos os principais players estão trabalhando para construir cursos e grades que dosem com sabedoria o espaço de sala de aula com várias atividades remotas, passíveis de serem executadas a partir de dispositivos que variam de um PC a um smartphone. Alinhados com a geração Millenium, as universidades investiram nos últimos 5 anos em novas infraestruturas de TI e Telecom – com ênfase na farta oferta de Wi-Fi nos campi – que propiciem a plena integração dos usuários com aplicações digitais.

Se não forem bem equacionadas, todas essas mudanças podem aumentar a vulnerabilidade do ambiente de TI da instituição educacional.

A cola em provas e trabalhos acadêmicos, por exemplo, é uma das fraudes mais comuns. A diferença é que muitas ações acontecem em meio digital – há casos de cola por Whatsapp, por exemplo – e somente avançadas soluções de segurança podem dar cabo dessas fraudes. Outro alvo preferencial de ataques são aplicações para o acompanhamento acadêmico dos alunos – sistemas que controlam presença, notas, matrícula, etc. Uma segunda frente de batalha, talvez ainda mais crítica do que a primeira, é a proteção dos sistemas que mapeiam o fluxo do dinheiro dentro da instituição. Isso inclui aplicações de controle de pagamento de mensalidades a folhas de pagamento, controle de custos, etc.

Ações políticas destroem a credibilidade da instituição

Para piorar o quadro, além de pessoas que buscam penetrar nos sistemas em busca de vantagens pessoais (da alteração de uma nota baixa a desvio de verbas), é comum que instituições educacionais também sejam alvos de ataques políticos. Recentemente, por exemplo, uma universidade pública viu seu sistema de e-mail corporativo ser utilizado de forma fraudulenta para divulgar mensagens contra o sistema de cotas para grupos minoritários.

O ataque dos hackers prejudica a universidade porque toda instituição educacional vive de sua credibilidade. Mais do que transmitir informações dos professores para os alunos, o ambiente acadêmico forma pessoas e dissemina valores.

Para evitar problemas como este, vale a pena analisar algumas soluções de segurança de TI que efetivamente podem proteger a reputação e os dados de uma universidade.

A luta contra as avassaladoras ondas DDoS

Portais educativos derrubados por avassaladores ataques DDoS (ataque de negação de serviço) são uma realidade. Cada vez que isso acontece, a instituição perde credibilidade. Um fenômeno global, os ataques DDoS cresceram 132% no mundo entre 2014 e 2015, segundo o portal Statista. Para vencer este desafio vale a pena buscar soluções de “limpeza” de tráfego DDoS. Trata-se de soluções escaláveis e flexíveis que podem entrar no ar em minutos. Este tipo de serviço de segurança atua como um escudo que atrai para si mesmo os ataques DDoS, ao mesmo tempo em que libera a infraestrutura de TI da universidade. Isso preserva a oferta de serviços de TIC aos usuários, permitindo que a instituição educacional funcione como se o ataque DDoS não estivesse acontecendo.

Tráfego criptografado pode ocultar ameaças

Tem crescido muito, também, o uso do tráfego criptografado SSL para ocultar ameaças digitais. Segundo o instituto de pesquisa Gartner, 50% das novas ameaças chegam por meio do SSL. Isso acontece porque dispositivos de segurança perimetral tradicionais são incapazes de identificar a intrusão que acontece por meio do tráfego SSL. Os poderosos mecanismos de encriptação tornam um grande desafio a missão de visualizar, no tráfego SSL, os ataques que chegam disfarçados. Em alguns casos as soluções de verificação de tráfego SSL podem tornar todo o ambiente acadêmico e corporativo lento ou até travado. Diante desta realidade, o melhor é adotar uma solução que traga visibilidade ao tráfego SSL e, ao mesmo tempo, proteja a qualidade dos serviços digitais entregues aos usuários da instituição educacional.

Firewall de aplicação Web protege sistemas na nuvem

Foi-se o tempo em que um firewall tradicional resolveria as demandas de segurança de uma universidade. A inteligência, a pesquisa, o desenvolvimento de projetos avançados por meio da colaboração entre empresas e faculdades tem levado hackers a penetrar nos sistemas para roubar informações que, em alguns casos, chegam a ser enviadas a empresas e universidades de outros países. Dentro desta realidade, é fundamental utilizar um firewall de aplicação Web que traga suporte nativo e sempre atualizado a um grande número de protocolos de aplicações. Outro critério importante é a capacidade desta plataforma de dar vazão a um grande número de acessos a variadas aplicações Web – algumas soluções chegam a 30 Gbps, marca que pode garantir a segurança e rapidez de resposta da TI de uma grande universidade. O correto trabalho de configuração desta poderosa ferramenta irá liberar o gestor de TI e Segurança da universidade de lidar com um dos pesadelos da luta contra ataques digitais: os falsos positivos.

Controle de acesso alinhado à política de segurança de TI

É fundamental, também, controlar o acesso de diferentes perfis de usuários, com diferentes direitos e diferentes proibições, às aplicações missão crítica da universidade. Soluções de gerenciamento de políticas de acesso podem resolver as demandas de um universo tão diversificado quanto uma faculdade. A disseminação do uso de smartphones como ferramenta de ensino e de trabalho viabiliza uma nova forma de acesso às aplicações. Dentro deste quadro é fundamental que o controle seja realizado com base nas políticas de segurança da instituição. Isso deve ser feito de modo a agregar ao ambiente de TI a flexibilidade de localização do usuário, eliminando assim os limites do perímetro tradicional da TIC, a rede local.

A digitalização dos serviços educacionais traz inúmeras vantagens aos estudantes, às universidades e ao Brasil. Mas implica, também, em uma visão de segurança de TI que garanta a integridade das aplicações da universidade, quer estejam no data center, na nuvem ou migrando para a nuvem.

Qual o perfil da sua empresa? Você acredita que possa virtualizar seus servidores em nuvem mantendo o mínimo de infraestrutura interna ou prefere investir em um ambiente próprio de TI e de Telecomunicações? De uma forma ou de outra, as respostas a essas perguntas passarão por um data center, uma infraestrutura integrada e inteligente de dados, armazenamento e comunicação. Sob outros nomes (CPD, Server Room), o data center existe há dezenas de anos. Desde o início da década atual, no entanto, a face deste ambiente mudou, com a evolução da computação em nuvem. Micro, pequenas, médias e grandes empresas podem agora contar, num modelo flexível baseado na venda de serviços, com uma impecável estrutura de data center.

Estamos falando de data centers que oferecem toda a infraestrutura crítica para a continuidade dos processos de negócios das empresas que atendem. Para isso, mantém um ambiente cuidadosamente projetado e monitorado que conta com geradores de energia, chaves de transferência, nobreaks/UPS, climatização de precisão e espaço físico. É um mundo de alta tecnologia que permite que empresas clientes insiram seus servidores, informações e serviços dentro do espaço do data center. Este serviço ofertado é chamado de Colocation e é o modelo mais seguro e econômico de dispor serviços na Internet sem se preocupar com questões de infraestrutura, disponibilidade, segurança e monitoramento. O Colocation reduz a necessidade de espaço físico próprio, custos de manutenção e investimentos iniciais.

Para entender melhor como funciona este tipo de serviço, vamos usar como exemplo uma loja virtual. Imagine que essa loja gere muitos dados e transações de compra e de venda. Se seu site b2c ficar indisponível, a loja deixa de operar. Ao invés de construir seu próprio data center, essa empresa de varejo pode optar por instalar seus servidores dentro de uma infraestrutura confiável – inclusive do ponto de vista de fornecimento de energia –, preparada para ficar disponível 24 horas por dia. Para usufruir deste ambiente e desses serviços, a loja online pagará um custo mensal. Para a loja, o benefício é que não será necessário fazer um grande investimento para ter sua própria infraestrutura. Ganha-se também na velocidade da implementação da infraestrutura que suporta o negócio. Outro resultado é a conquista da disponibilidade e da confiabilidade adequadas para os negócios ao custo de uma espécie de aluguel, sem a necessidade de se imobilizar capital em uma estrutura própria de data center (modelo OPEX). É importante destacar que, mesmo sendo o data center compartilhado com outras empresas ou até mesmo outras lojas virtuais, como um condomínio, o ambiente garante que os dados da empresa que utiliza o Colocation estarão seguros e terão sua privacidade assegurada. Essas são as vantagens para as empresas usuárias de data center na modalidade de Colocation .

Já para o data center que oferece o serviço de Colocation , a vantagem é que sua infraestrutura será autossustentável e gerará renda a partir de seu serviço de data center. Isso será feito sem produzir ou acessar nenhum dado de terceiros. A preocupação maior para as empresas proprietárias de data center é sempre garantir a disponibilidade dos serviços. Para isso, é fundamental que os gestores deste ambiente se assegurem de que estão utilizando os produtos que podem suportar sua operação. Isso vale para os geradores de energia, UPS, ar condicionado de precisão, monitoramentos, soluções de transferências e softwares para configurações e acompanhamentos.

Se compararmos um data center com uma fábrica, estaríamos falando de uma fábrica que opera 24 horas por dia. Imagine que essa fábrica dependa exclusivamente da disponibilidade e não possa parar. No caso do data center, esta alta disponibilidade produz como resultado não produtos, mas serviços que garantem a continuidade dos negócios de seus clientes. Na maioria das vezes, o valor agregado oferecido pelo data center a seus clientes é centenas de vezes maior do que as vantagens oferecidas por uma fábrica aos clientes dos produtos ali fabricados. Para entender um pouco as perdas que podem ser causadas se o data center parar, leia nosso post “Quanto Custa um Data Center Parado?”.

É fundamental, no entanto, estudar a nuvem e serviços como o de Colocation no data center sem pensar apenas na redução de custo. Segundo o estudo Harvard Business Review: Business Agility in the Cloud, 70% das empresas entrevistadas para este relatório já adotaram o armazenamento em nuvem. Os fatores decisivos para isso foram a agilidade das respostas (32%), busca de inovação (14%) e de redução de custos (14%), além de outros apontamentos. Este é o cenário da revolução para empresas que não tomam os serviços de data center como sua atividade fim, mas, por meio da contratação de serviços de terceiros, desejam usufruir das vantagens propiciadas por este ambiente.

Outro modelo de data center é o criado sob medida, com grandes investimentos, para uma determinada empresa ou grupo. É muito comum que esse modelo seja adotado por players do mercado financeiro. São empresas que precisam alinhar seus processos, inclusive de TI e Telecom, a normas e regulações que necessariamente devem ser seguidas. A empresa tem que mostrar sua compliance (alinhamento, obediência) a essas normas. Em alguns casos, a norma estabelece de forma clara que é necessário organizar e manter uma infraestrutura própria de data center para garantir a privacidade dos dados de clientes, correntistas, etc. Diante desta realidade, muitas instituições financeiras preferem ter sua estrutura própria de data center para manter controle total de suas operações. Na era do Big Data, do BYOD e do Analytics, o data center que pertence à instituição financeira tem de estar preparado para uma quase diária explosão de dados digitais.

Uma prova disso é a diferença de porte entre a área que um data center voltado para Colocation ocupa e o espaço que um data center de um único banco pode demandar. O data center do banco pode ser de 6 a 10 vezes maior do que o data center que atende clientes variados. Vale destacar também que, para alcançar mais agilidade de resposta, além de seus próprios data centers, os bancos criaram suas próprias nuvens. Conta-se com nós centrais, data centers gigantescos, mas, também, com pequenas estruturas de dados em agências bancárias. O objetivo dessa estratégia é espelhar na ponta as informações que também são processadas na sua estrutura de data center principal. É uma prática saudável e comum ter ambientes de servidores menores, como mini data centers dentro das agências bancárias. Essa arquitetura ajuda a instituição a diminuir as chances de latência na rede, algo que aconteceria caso todas as agências se conectassem de forma direta e diária ao data center principal. Isso causaria um significativo aumento de tráfego de dados e a resposta seria abaixo do esperado pelos usuários das redes bancárias. Daí a necessidade de que as agências contem com pequenos data centers, fáceis de administrar e sempre disponíveis para atendimento.

Como conclusão, podemos definir que, se de um lado a maior parte das empresas do mercado poderia se satisfazer com serviços de Colocation , seguem existindo empresas e setores que sempre investirão em data centers próprios. É que o tipo de centro de dados que sua empresa irá utilizar depende tanto de sua atividade quanto de sua demanda de mercado e do impacto desses fatores sobre o crescimento de espaço físico para armazenamento dos dados. Quem quiser ter uma resposta mais exata, sob medida para a sua realidade específica, encontra no nosso playbook de planejamento do crescimento fórmulas de cálculo que podem indicar qual o melhor caminho a seguir na hora de escolher o melhor modelo de datacenter para seu negócio.

A digitalização de serviços de todas as verticais da economia é uma realidade e seguirá crescendo de maneira massiva. O que resta decidir é qual modelo de data center adotar.

O WhatsApp tem no Brasil 100 milhões de usuários e já foi bloqueado 3 vezes desde 2015, sempre por ordens judiciais. Ontem o Facebook – a empresa que controla o WhatsApp – recebeu uma intimação ordenando que a empresa interceptasse e entregasse a autoridades do Rio de Janeiro mensagens de supostos criminosos sendo investigados. A juíza Daniela Barbosa Assumpção, responsável por esta notificação, exige que a criptografia das mensagens WhatsApp seja quebrada e os conteúdos das mensagens sejam entregues às autoridades. Neste e nos outros episódios, o Facebook/Whatsapp disse que não poderia realizar o que a notificação pedia por motivos técnicos.

Os responsáveis pelo WhatsApp estão falando a verdade.

Desde abril deste ano que qualquer usuário desse serviço/aplicação recebe a mensagem: “As mensagens que você envia para esta conversa e as chamadas de voz são, agora, protegidas com criptografia de ponta a ponta. Toque para obter mais informações”.

Este curto recado é, na verdade, o topo do iceberg de uma era em que quase todas as principais aplicações do mercado são criptografadas e trafegam em sistemas SSL/TLS. A maior parte dos serviços que está na nuvem é criptografada – isso vale para o Office 365, para as Oracle Applications, para a plataforma Totvs, etc.

No caso específico do WhatsApp, a tecnologia usada por essa plataforma garante que nem o próprio Whatsapp nem ninguém – governo, empresas, pessoas comuns, criminosos – conseguirão ouvir ou ler algo enviado de um usuário a outro – o que inclui mensagens, fotos, vídeos, mensagens de voz, documentos ou chamadas de voz.

O WhatsApp não ter acesso a esses dados é algo muito importante.

A criptografia é muito comum em toda a Internet. Se um usuário faz uma compra online ou visita Google.com, um cadeado e HTTPS são visíveis no navegador, o que significa que os dados enviados via Internet são criptografados ou ocultados de quem quer que possa tentar bisbilhotar ou roubar a informação, tal como um número de cartão de crédito. O WhatsApp levou isso adiante, devido a ser a maior aplicação multiplataforma de troca de mensagens do mundo, uma aplicação que funciona em um grande número de diferentes dispositivos. A criptografia de ponta a ponta é a diferença entre enviar um cartão postal em papel, em que qualquer um – incluindo o carteiro — pode ler a sua mensagem, e fechar esse cartão postal em um envelope, algo que garanta que somente você e o destinatário conseguirão ler a mensagem.

É importante ressaltar que uma mensagem enviada por WhatsApp é criptografada desde o momento em que sai do dispositivo do remetente até o momento em que é recebida pelo destinatário. Nenhum intermediário, incluindo o WhatsApp, pode ver o conteúdo da mensagem, mesmo se capturada em trânsito. Com isso, os usuários podem ter a certeza de que as mensagens e chamadas de voz estão protegidas contra qualquer pessoa que tente interceptá-las.

O fato de nem mesmo o WhatsApp ser capaz de ver as mensagens ou escutar as chamadas significa que, se a empresa receber um pedido judicial de acesso aos dados pessoais ou mensagens de alguém, o WhatsApp não terá acesso a eles e não terá como entregar o que quer que seja. Devido à maneira como o WhatsApp implementou isso, será muito difícil que as agências policiais e governamentais consigam acesso legal a dados que poderiam ser necessários para auxiliar nas suas investigações.

Discutiu-se se as agências governamentais tentariam proibir isso – a criptografia –, mas rapidamente percebeu-se que seria muito difícil realizar esse feito. Proibir a criptografia poderia causar enormes danos à economia digital. Necessitamos de criptografia para manter seguros os nossos dados pessoais. Por outro lado, seria sim importante encontrar um equilíbrio no qual as forças policiais pudessem obter acesso judicial a dados do WhatsApp para auxiliar as suas investigações.

Estamos vivendo uma interessante disjuntiva. Somos muito livres com os nossos dados pessoais e seu compartilhamento online. Junto com a liberdade, exigimos garantias de não sermos monitorados, algo que roubaria a nossa privacidade. A grande questão, porém, é que criptografia e privacidade andam juntas tanto para pessoas honestas, que nada têm a esconder, como para criminosos, que muito têm a esconder. A tecnologia não é “pessoal”, tratando uns e outros de forma diferente.

O que define este quadro é que o mundo deseja que o WhatsApp ofereça garantias de privacidade e proteção de dados. Com bloqueio ou sem bloqueio, isso continuará acontecendo.