4 minutes

Compartilhamento mais seguro de arquivos secretos: algumas perguntas que você precisa fazer a si próprio

Antigamente, as coisas pareciam muito mais simples. Se alguém precisasse de um arquivo em seu poder, você apenas o enviava como anexo por e-mail.

Thumbnail

Antigamente, as coisas pareciam muito mais simples. Se alguém precisasse de um arquivo em seu poder, você apenas o enviava como anexo por e-mail.

Obviamente, esta não era necessariamente a coisa mais segura do mundo a fazer (especialmente se você não estivesse usando criptografia para o e-mail), mas era um modo rápido de compartilhar um arquivo e as chances de ele cair nas mãos erradas eram relativamente pequenas.

Afinal, não havia tanta invasão de contas naquele tempo.

Hoje, porém, as coisas são diferentes.

Para início de conversa, as pessoas geralmente não gostam de receber arquivos grandes por e-mail. Você já percebeu que não importa quantos gigabytes (ou mesmo terabytes!) de armazenamento no disco rígido o seu PC novo tenha, após um curto tempo ele parece já estar se cheio e quase não haver mais espaço livre?

O problema não é apenas o inchaço dos aplicativos e produtos de software como o Adobe Photoshop e o Microsoft Office, que ocupam o espaço do seu disco rígido com recursos raramente utilizados e atualizações de segurança, mas também uma mudança nos dados que usamos diariamente.

Atualmente, não é absolutamente incomum os computadores domésticos estarem repletos de filmes em alta definição, milhares de músicas e álbuns com fotos em megapixels, tudo consumindo o espaço de armazenamento. Isso sem falarmos de todas as apresentações em PowerPoint, documentos do Word, planilhas e banco de dados que o seu trabalho obrigou você a levar para casa.

Se você enviar um arquivo grande para alguém por e-mail, existe não apenas o risco de ele ser devolvido pelo servidor com a mensagem de que o anexo é grande demais, mas você também se arrisca a enfrentar a ira do destinatário, que não ficará muito satisfeito quando o seu computador ficar se arrastando para baixar o anexo de 75 MB junto com os outros e-mails.

O Doutor que vazou

Uma “solução” óbvia para isso, naturalmente, é não enviar o arquivo como anexo de e-mail, mas em vez disso compartilhar um URL, mas o tiro pode sair pela culatra.

Parece que foi isso o que ocorreu recentemente com a British Broadcasting Corporation (BBC), cuja sede latino-americana de Miami recebeu a tarefa de criar as legendas em espanhol para a próxima temporada da série de TV “Doctor Who”.

Infelizmente, o diretório do servidor da Web onde os scripts foram colocados não era tão privado quanto se pensava e, antes que a BBC piscasse, fãs enlouquecidos conseguiram saber tudo sobre os episódios inéditos com o novo Doutor, Peter Capaldi.

Doctors who leakSource: GrahamCluley.com


Independentemente de a sua empresa utilizar um URL secreto no site da Web ou um dos serviços on-line mais conhecidos que lhe oferecem alguns gigabytes de espaço livre em disco, isso não melhora muito os problemas de privacidade e segurança.

As principais perguntas a fazer

Você deve fazer a si mesmo as seguintes perguntas:

  1. O arquivo contém informações privadas, talvez sobre você ou sobre alguma empresa que você não desejaria tornar públicas?
  2. Talvez você ache que os destinatários não publicarão os dados, mas será que pode ter certeza de que eles estão seguindo práticas recomendadas de segurança e protegendo de forma adequada os seus próprios computadores e contas?
  3. É possível ter certeza de que os destinatários apagarão realmente o arquivo dos seus computadores após terem acesso às informações, para impedir que caiam em mãos erradas? Ou você tem algum modo fácil de desfazer o compartilhamento eletronicamente?
  4. E que garantia você pode ter que as suas comunicações por e-mail - com o seu URL secreto para o conteúdo que está sendo compartilhado - não estão sendo interceptadas no caminho por alguém interessado em bisbilhotar suas conversas?
  5. Será que o site de compartilhamento de arquivos foi construído com a segurança empresarial em mente, com uma equipe dedicada a proteger as contas contra a ameaça de hackers e aplicando a autenticação de usuários para verificar se estão realmente autorizados a acessar o conteúdo?
  6. O sistema tem criptografia integrada? Existe um modo de o serviço de armazenamento em nuvem ler os seus arquivos ou compartilhar o seu conteúdo com as autoridades? Ou o usuário é que precisa lembrar de jamais fazer o upload de conteúdo sem criptografia?


O problema com alguns sites de compartilhamento e sincronização de arquivos é que eles foram claramente projetados com as necessidades desatualizadas dos consumidores em mente. Usuários domésticos têm, inevitavelmente, prioridades diferentes daquelas das empresas, no que se refere a um serviço, e a segurança e privacidade podem estar bem embaixo, na lista. O perigo é que milhões de usuários podem não perceber que os dados que armazenam nesses sites de compartilhamento de arquivos para consumidores domésticos podem estar acessíveis a pessoas que não são os destinatários pretendidos.

Uma pesquisa recente descobriu que alarmantes 38% dos funcionários confiavam em aplicativos para consumidores domésticos, como o Dropbox, para compartilhar arquivos de suas empresas marcados como “Confidenciais”. Isso ocorre apesar desses aplicativos terem um histórico nada bom no que se refere a privacidade e segurança, com vulnerabilidades tais como o vazamento do que deveriam ser links privados, a exposição de detalhes de hipotecas e devoluções de imposto de renda ou inserção de bugs que deixavam todos os arquivos acessíveis sem a exigência de qualquer senha.

Independente do modo como você decide compartilhar os seus arquivos, internamente e com parceiros externos, considere as implicações para a segurança e a privacidade.

De outro modo, se houver algum vazamento de dados. A sua organização é que poderá ir parar nas manchetes dos jornais pelas razões erradas.

Graham Cluley