A segurança das informações na Cloud Computing Há algum tempo a informática vem testando modelos de infra-estrutura de forma a permitir o compartilhamento do poder de processamento das CPU´s (núcleos pensantes dos computadores). O conceito de computação distribuída surgiu nos anos 90, como resposta ao casamento de tecnologias heterogêneas e, muitas vezes, geograficamente dispersas. Um dos melhores exemplos do poder da Grid Computing é o projeto Seti - Search for ExtraTerrestrial Intelligence, cujo objetivo é a analise de sinais de rádio captados por radiotelescópios – o maior de Arecibo, em Porto Rico – dividindo-os em pequenos trechos para serem analisados por computadores pessoais comuns. Dessa forma, os computadores quando ociosos passam a analisar os sinais em busca de vida fora da Terra. A capacidade de processamento superam em cinco vezes o volume de dados para análise, tendo o projeto a maior capacidade de processamento criado pelo homem, na ordem de 7,69e+21 de operações em ponto flutuante (flops). O conceito evoluiu e diante de tecnologias de framework amigáveis que propiciam uma iteração do browser de internet com a infra-estrutura como serviço (IaaS). Surge a Computação em Nuvem, a Cloud, popularmente conhecida. Google Docs, Microsoft Sharepoint, Icloud, são inúmeras ferramentas que levam o conceito do tradicional desktop para a Web, fazendo com que o processamento seja compartilhado entre os pontos conectados. O up da tecnologia é fazer com que seja possível utilizar softwares sem que estes estejam instalados no computador. O trabalho se torna corporativo, oferecendo infra-estrutura enxuta do que uma estrutura tradicional de hosting ou collocation, consumindo menos energia, refrigeração, espaço. A plataforma é extremamente robusta, evitando a manutenção de sistemas pelos usuários conectados, reduzindo o Custo Total de Propriedade. Em resumo, seria como se todo usuário conectado pudesse contar com o poder dos grandes computadores, da assistência técnica das grandes empresas e gastando muito menos que uma mensalidade que se paga pela atualização do anti-virus doméstico. São inúmeros benefícios que encontra um obstáculo complexo e quase intransponível: Como fica a questão da privacidade das informações frente aos crimes eletrônicos, em contraponto aos meios de prova à perícia forense computacional. Debates e fóruns tem se reunido para encontrar soluções para a segurança necessária à convivência da tecnologia diante das dificuldades do mundo real. A solução passa pela utilização da criptografia agregada ao processo de certificação digital, identificando o acesso de forma inequívoca e imediata. Auditoria dos dados e backup das informações são procedimentos necessários para assegurar a integridade do banco de dados, adotando os princípios da Cadeia de Custódia a fim de garantir a integridade de evidências. Usada como forma de comprovar que o material periciado não sofreu nenhuma alteração desde o evento zero, a Cadeia de Custódia provêm um histórico constante da movimentação e manuseio do arquivo de dados, calculando a seqüência de bits geradas pelo algoritmo de dispersão – hash -- do algoritmo inicial comparando com o hash das cópias. A cada contato com a cópia, devem-se registrar quem acessou (pelo número Internet Protocol), a data e hora. Entretanto, no Brasil, os procedimentos citados não são formais ou legais, não obrigando os provedores a seguirem o procedimento. Os novos desafios estão relacionados à legislação internacional, já que a tendência é que provedores espalhados pelo mundo hospedem as aplicações brasileiras, abrindo espaço para o cometimento de crimes, que de certo ficariam impunes dentro da ausência de dispositivos legais que permitiriam a perícia forense no exterior. Não sendo possível o exame de corpo de delito, devido a volatilidade das informações, é possível que muitos crimes restem impunes. Não há maneiras de obstar o crescimento da Cloud Computing. Noutros países a matéria é discutida com a seriedade que a causa requer. Exemplo é o trabalho da Agência Européia ENISA -- Securing Europe's Information Society --, educando a comunidade cibernética sobre os benefícios versus os riscos da Grid. E no Brasil? Nem somos signatários do tratado de Budapeste, cujo tema regula as práticas da Tecnologia da Informação. Merece ser discutida a tecnologia e seus impactos na sociedade, confrontando os riscos com a legislação vigente. É a maneira segura da nuvem não virar tempestade. -------------------------------Fabiano Rabaneda é Advogado e Especializando em Direito Eletrônico e Tecnologia da Informação.