O serviço de hospedagem de dados online Dropbox foi forçado a modificar alguns textos enaltecendo a segurança de seu serviço após uma reclamação nos EUA apresentada pela FTC (Federal Trade Commission). O problema diz respeito à criptografia dos dados hospedados “na nuvem” e às possibilidades de acesso aos arquivos dos usuários pelos funcionários.
Trocadilhos comerciais
No mês passado, o Dropbox mudou algumas menções em seu site que alegavam que os arquivos hospedados estavam sujeitos à criptografia AES 256 e inacessíveis sem senha. Hoje apenas a menção à criptografia é mantida porque os arquivos são de fato acessíveis mesmo sem a senha que só o usuário conhece.
Os arquivos são realmente criptografados nos servidores da empresa, mas a chave para descriptografar os arquivos está em sua posse e não está vinculada à senha escolhida pelo usuário. Isso limita muito o interesse da criptografia e representa um grande diferencial para o usuário que pensava ser o único a poder visualizar os dados depositados.
A outra referência alterada dizia respeito precisamente a este acesso por parte de um terceiro. Até agora a empresa explicou que os funcionários não conseguiram acessar o conteúdo dos arquivos depositados, mas apenas alguns metadados, como o título e o peso do arquivo. Eles agora são substituídos por declarações explicando que os funcionários não estão autorizados a acessar os arquivos.
Também aí a diferença é significativa, os trabalhadores são de facto obrigados a não aceder aos ficheiros mas mais do que um constrangimento técnico é uma obrigação imposta pelo empregador. Isso não protege os usuários de uma falha técnica ou de um ato malicioso.
Competição injusta
No entanto, a gravidade dessas declarações deve ser colocada em perspectiva. A reclamação diz respeito principalmente à concorrência desleal com os poucos serviços que realmente criptografam dados online com base em uma senha ou chave exclusiva mantida exclusivamente pelo usuário.
Embora seja preocupante que o Dropbox tenha enganado seus usuários sobre segurança de dados, a maneira como ele funciona é o padrão para a maioria dos serviços online. Na nuvem, os dados não são criptografados para torná-los completamente ilegíveis, mas apenas como medida de proteção em caso de invasão dos servidores ou durante a transferência.
Criptografia, criptografia: o grande borrão
Para os usuários, criptografia ou criptografia geralmente é sinônimo de confidencialidade, mas a distinção entre os diferentes tipos de criptografia confunde o entendimento. Se a criptografia no envio de informações, como para um pagamento com cartão de crédito, protege o trânsito de dados, não garante sua segurança uma vez hospedado online.
Da mesma forma, a criptografia em um serviço online é apenas uma garantia contra roubo de dados por terceiros, como foi o caso do hacking das redes PSN e SOE Sony. Isso não garante que uma pessoa mal-intencionada do serviço ou que uma falta de jeito possa colocar seus dados em risco.
A única criptografia válida é aquela baseada em uma chave única (senha ou sequência de caracteres) mantida pelo usuário e somente por ele. Essa técnica também apresenta algumas desvantagens, como a impossibilidade de recuperar dados em caso de perda da chave, ou de compartilhar arquivos online sem compartilhar também essa famosa chave.
Portanto, a confidencialidade e a criptografia dos dados não andam necessariamente de mãos dadas e a segurança só é garantida sob certas condições. Um ponto em que será necessário estar atento na hora de serviços online do tipo cloud computing e computadores deixarem de fornecer armazenamento como os novos Chromebooks.
Prático: Iphone/ipad: protegendo seus dados com criptografia