A segurança das informações na Cloud Computing
Há algum tempo a informática vem testando modelos de infra-estrutura de forma a permitir o
compartilhamento do poder de processamento das CPU´s (núcleos pensantes dos
computadores).
O conceito de computação distribuída surgiu nos anos 90, como resposta ao casamento de
tecnologias heterogêneas e, muitas vezes, geograficamente dispersas.
Um dos melhores exemplos do poder da Grid Computing é o projeto Seti - Search for ExtraTerrestrial Intelligence, cujo objetivo é a analise de sinais de rádio captados por
radiotelescópios – o maior de Arecibo, em Porto Rico – dividindo-os em pequenos trechos para
serem analisados por computadores pessoais comuns.
Dessa forma, os computadores quando ociosos passam a analisar os sinais em busca de vida
fora da Terra. A capacidade de processamento superam em cinco vezes o volume de dados
para análise, tendo o projeto a maior capacidade de processamento criado pelo homem, na
ordem de 7,69e+21 de operações em ponto flutuante (flops).
O conceito evoluiu e diante de tecnologias de framework amigáveis que propiciam uma
iteração do browser de internet com a infra-estrutura como serviço (IaaS).
Surge a Computação em Nuvem, a Cloud, popularmente conhecida.
Google Docs, Microsoft Sharepoint, Icloud, são inúmeras ferramentas que levam o conceito do
tradicional desktop para a Web, fazendo com que o processamento seja compartilhado entre
os pontos conectados.
O up da tecnologia é fazer com que seja possível utilizar softwares sem que estes estejam
instalados no computador. O trabalho se torna corporativo, oferecendo infra-estrutura enxuta
do que uma estrutura tradicional de hosting ou collocation, consumindo menos energia,
refrigeração, espaço.
A plataforma é extremamente robusta, evitando a manutenção de sistemas pelos usuários
conectados, reduzindo o Custo Total de Propriedade.
Em resumo, seria como se todo usuário conectado pudesse contar com o poder dos grandes
computadores, da assistência técnica das grandes empresas e gastando muito menos que uma
mensalidade que se paga pela atualização do anti-virus doméstico.
São inúmeros benefícios que encontra um obstáculo complexo e quase intransponível: Como
fica a questão da privacidade das informações frente aos crimes eletrônicos, em contraponto
aos meios de prova à perícia forense computacional.
Debates e fóruns tem se reunido para encontrar soluções para a segurança necessária à
convivência da tecnologia diante das dificuldades do mundo real.
A solução passa pela utilização da criptografia agregada ao processo de certificação digital,
identificando o acesso de forma inequívoca e imediata. Auditoria dos dados e backup das
informações são procedimentos necessários para assegurar a integridade do banco de dados,
adotando os princípios da Cadeia de Custódia a fim de garantir a integridade de evidências.
Usada como forma de comprovar que o material periciado não sofreu nenhuma alteração
desde o evento zero, a Cadeia de Custódia provêm um histórico constante da movimentação e
manuseio do arquivo de dados, calculando a seqüência de bits geradas pelo algoritmo de
dispersão – hash -- do algoritmo inicial comparando com o hash das cópias. A cada contato
com a cópia, devem-se registrar quem acessou (pelo número Internet Protocol), a data e hora.
Entretanto, no Brasil, os procedimentos citados não são formais ou legais, não obrigando os
provedores a seguirem o procedimento.
Os novos desafios estão relacionados à legislação internacional, já que a tendência é que
provedores espalhados pelo mundo hospedem as aplicações brasileiras, abrindo espaço para o
cometimento de crimes, que de certo ficariam impunes dentro da ausência de dispositivos
legais que permitiriam a perícia forense no exterior.
Não sendo possível o exame de corpo de delito, devido a volatilidade das informações, é
possível que muitos crimes restem impunes.
Não há maneiras de obstar o crescimento da Cloud Computing.
Noutros países a matéria é discutida com a seriedade que a causa requer. Exemplo é o
trabalho da Agência Européia ENISA -- Securing Europe's Information Society --, educando a
comunidade cibernética sobre os benefícios versus os riscos da Grid.
E no Brasil? Nem somos signatários do tratado de Budapeste, cujo tema regula as práticas da
Tecnologia da Informação.
Merece ser discutida a tecnologia e seus impactos na sociedade, confrontando os riscos com a
legislação vigente. É a maneira segura da nuvem não virar tempestade.
-------------------------------Fabiano Rabaneda é Advogado e Especializando em Direito Eletrônico e Tecnologia da
Informação.