Empreendedor e desenvolvedor na internet desde 1998. Meus projetos incluem o Central da Música (em 2000, duas vezes premiado no iBest), o Flogao.com.br (co-fundador em 2004, vendido em 2007) e Filtrie (2009). Graduado em Ciência da Computação pela UFES.
Lição aprendida com o Flogão: usuários são frequentemente hackeados. Por culpa deles e por culpa sua! Parte 2
Conforme prometido, segue a continuação do post “Usuários são frequentemente hackeados. Por culpa deles e por culpa sua”. A primeira parte pode ser lida aqui.
Falhas da equipe de suporte
Por ter acesso às ferramentas de administração de um site, os colaboradores da equipe de suporte são uma potencial fonte de brechas de segurança, mesmo que as ferramentas de suporte tenham sido desenvolvidas tomando os cuidados básicos mencionados no post anterior. É fato, corroborado pelos maiores especialistas em segurança, que a maioria dos ataques e invasões em sistemas de um site ou empresa partem de ou são originados por descuidos de pessoas que trabalham nestes sistemas. Prestar atenção a este fato, e tomar algumas medidas de precaução é importante para garantir a segurança das contas dos usuários de seus sites.
Nunca deixe que os colaboradores escolham o login e a senha que usarão para acesso às ferramentas. Crie para eles um login e uma senha seguindo as boas convenções de segurança de senhas, e não deixe que eles as troquem. O ataque ao Twitter, por exemplo, foi potencializado pelo fato de a colaboradora usar uma senha simples (happiness – felicidade em português), que foi quebrada com um ataque de dicionário.
E, é chato ter que sugerir isso, mas monitore os colaboradores e faça log de todas as suas atividades no sistema de suporte (obviamente é preciso checar os logs ou no mínimo criar ferramentas para analisá-los e reportar comportamentos suspeitos). Membros de equipes de suporte são humanos, e como tem algum poder para exercer algum controle ou influência sobre outros humanos (no caso, os usuários), eles podem se sentir tentados a fazer isso. No Flogão, tivemos o caso de um funcionário do suporte (que era prestado por um provedor parceiro) que se aproveitou de sua condição para tentar obter vantagens pessoais de alguns usuários, oferecendo benefícios e destaques que não tinha poder de conceder.
Para coibir problemas como esse, é interessante inclusive que seja vetado o acesso de casa às ferramentas de suporte, nos casos aplicáveis.
Falhas dos usuários
Chegamos por fim aos usuários. Ah, os usuários! Seres contraditórios, difíceis de serem fisgados, essa dádiva e ao mesmo tempo esse fardo de que todo site precisa. Apesar de serem os maiores prejudicados pela invasão de suas contas, que muitas vezes geram difamações e humilhações, são também os que menos zelam pela segurança das mesmas. Vou discordar parcialmente do papa da usabilidade Jakob Nielsen, que diz que os usuários são espertos por saber o que querem. Quando o assunto é segurança, não, eles não são.
Se tivesse a oportunidade que eu tive de administrar um site com o enorme alcance que teve o Flogão, você ficaria perplexo de constatar as inúmeras maneiras imbecis (pela ótica de quem tem intimidade com tecnologia) com que as pessoas conseguem ignorar regras básicas de segurança de suas contas e, mais que isso, criar novas maneiras de abrir brechas. Mas a culpa desses atos nem sempre é só deles. Se a usabilidade do site é confusa, e se ele permite interações desnecessárias que podem gerar problemas de segurança, a culpa é também de quem fez o site.
Por isso, é preciso pegar os usuários pela mão e guiá-los. Não deixar que criem senhas óbvias (e explicar porque está impondo essa restrição) e restringir as possibilidades de o usuário sentir a necessidade de compartilhar as suas senhas com outros usuários (por exemplo, num blog ou fotolog, se alguém quer permitir que um amigo faça um post por ele, deve haver uma funcionalidade óbvia para fazer isso sem precisar compartilhar a senha com esse amigo) elimina boa parte dos problemas.
Mas os seus usuários também estão vulneráveis a cair em tentação ao usar outras aplicações e sites que não o seu. Embora não seja possível impedir que eles caiam em golpes de pishing, usem o sistema em computadores de lan-houses sem se deslogar ou compartilhem informações de login com amigos via msn, por exemplo, o site pode e deve instruí-los quanto a todas as medidas de segurança que ele deve tomar. Muitos sites não fazem isso, e os que fazem disponibilizam essas informações de forma confusa, e o pior, em páginas difíceis de encontrar. A maior parte dos usuários não vai procurar o seu FAQ, o seu blog oficial ou o link “Dicas de segurança”, e nem vai topar com eles se ficarem escondidos em cantos pouco visualizados. Sem um site falha ao comunicar essas informações, ele passa a ser responsável por uma parcela das falhas de segurança de seus usuários.
Encerrando…
É importante frisar que não são só desenvolvedores de sites populares que devem se preocupar em tomar medidas para assegurar as contas dos usuários, e nem se deve cometer o erro de ignorar essas medidas imaginando argumentos como “Eu não preciso me preocupar com isso no meu site pois ninguém vai querer invadir uma conta num serviço de envio de receitas para donas de casa”. Em uma década usando a web, já participei de incontáveis comunidades, fóruns de discussão e sites sociais, e em todos eles, mesmo os com 100 usuários, contas foram invadidos e transtornos para a vida pessoal de algum usuário ou para a comunidade como um todo foram causados. É impossível impedir todos os problemas, mas é possível e fácil reduzi-los bastante. Só não espere o primeiro usuário ser invadido para começar a agir.
Pingback: Lição aprendida com o Flogão: usuários são frequentemente … – The Facebook News