Um novo risco aos ambientes corporativos
iPhone, um produto conhecido e amplamente utilizado ao redor do mundo pelas corporações é, hoje, o foco de um novo risco de grandes impactos sem precedentes no que se refere à proteção, integridade e disponibilidade de dados.
Entenda o caso:
Uma decisão da Justiça Americana, no último dia 16, determina que a Apple “forneça meios” para que o FBI acesse informações presentes no iPhone de um atirador, acusado de ter matado 14 pessoas e ferir outras 22 em Dezembro de 2015, em San Bernardino na Califórnia. Esta decisão pode ter implicações muito além das definidas nesta investigação.
De acordo com uma carta aberta, assinada por Tim Cook (CEO da Apple), a empresa já havia sido procurada pelo FBI para que auxiliasse na obtenção de informações úteis para esta investigação, o que é um passo normal quando há o envolvimento de alguns fabricantes. Esta colaboração possibilitou a recuperação de alguns dados dos servidores da iCloud. No entanto, estes eram referentes apenas até a data de 19 de Outubro de 2015, e que comprovava que o atirador esteve em contato com algumas das vítimas.
No caso dessa 2ª solicitação (do dia 22) a Apple argumenta que não é possível colaborar devido a forma com o sistema de segurança foi desenvolvido. Mesmo com um impeditivo técnico, a ordem Judicial diz que a empresa pode criar um software que transpasse o sistema de proteção deste único aparelho. Algo que jamais ocorreu anteriormente.
Impactos às corporações:
- Em sua carta aberta, Tim Cook diz que a técnica poderia ser reutilizada em outros dispositivos, o que amplia o risco para todos os usuários de dispositivos com iOS.
- Aguarda-se um pronunciamento de apoio das “gigantes de tecnologia” ao posicionamento da Apple, visto que a ordem judicial pode vir a ser emitida a elas com visões similares. Isso ampliaria significativamente o acesso do FBI as informações podendo incluir, por exemplo, usuários do Google e Facebook.
- É fato que o desenvolvimento e propagação do uso da criptografia propiciou aos consumidores mais proteção sobre o acesso aos seus dados nos últimos anos e, não gratuitamente, encontra-se entre os controles de segurança que as empresas devem ter. Acabar com ela, como a visão do governo americano propõe, seria acabar com a “segurança em nome da segurança”.
É uma antítese imaginar que anos de desenvolvimento na área de segurança e discursos de privacidade poderiam ser simplesmente comprometidos por uma ordem judicial. Ainda que a princípio seja “apenas” o FBI a ter o acesso, uma backdoor anunciada como esta não ficaria sem ser descoberta por criminosos, passando a ser um objeto de conquista para black hats e uma grande vulnerabilidade para pessoas e corporações.
O cumprimento dessa ordem refletirá, ainda, um clima de pessimismo pelo risco anunciado de ataque.
