Segurança, um tema sempre actual!
Nas últimas semanas e nos mais diferentes tópicos aqui debatidos, o tema da Segurança tem surgido com alguma frequência. Num dos meus comentários prometi que iríamos dedicar um post só ao tema da Segurança. E aqui está ele!
A Segurança é um desafio para toda a indústria e que afecta todo e qualquer software existente. Todo! A razão para isto acontecer é simples: o software é feito por humanos e por isso não existe uma solução perfeita.
O que se tem verificado nos últimos tempos é que o software no geral tem mais qualidade, existe uma maior preocupação no código incluído, mais ferramentas para avaliar esse mesmo código e mais mecanismos de protecção e de actualização do software muito mais rápidos e eficientes.
Um outro avanço importante nesta área, é a formação e informação dos agentes que interagem com as tecnologias de informação. Sejam os programadores de aplicações, responsáveis dos sistemas ou mesmo o próprio utilizador.
Acho, por isso, incorrecto quando alguém defende a substituição de um software por outro, alegando questões relacionadas com segurança. Faz-me lembrar um evento que fui, relacionado com o tema da Fraude na Internet, organizado pela Direcção Geral do Consumidor. Nesse evento, um orador sugeriu que para resolver/melhorar a segurança dos utilizadores, o seu conselho era a substituição do Sistema Operativo Windows por outro alternativo. Não foi preciso esperar muito, para este orador ser chamado a atenção (para não dizer outra coisa) pelo responsável da Policia Judiciária (orador seguinte) que lhe disse que os sistemas eram ambos seguros e que um comportamento de risco compromete a segurança de qualquer software.
Estou totalmente de acordo com esta visão e uma boa forma de provar isso é dar outro exemplo: os Web servers. Fazendo uma pequena pesquisa no netcraft verificamos que 49% dos servidores Web utilizam Apache, enquanto 35% utilizam IIS (Microsoft). https://news.netcraft.com/archives/2008/05/06/may_2008_web_server_survey.html
Mas será que por o Apache ter um share tão elevado e existirem ataques deste tipo (https://www.secureworks.com/research/threats/linuxservers/?threat=linuxservers) o conselho é trocar de Web server e sistema operativo. De maneira alguma. O que é necessário é reforçar a segurança dessas máquinas de modo a que estas não sejam de novo comprometidas. Isto é apenas um exemplo, e a questão não é ser o Apache, podia ser uma base de dados, ou qualquer outra aplicação.
O que estou a tentar dizer é que, não faz qualquer sentido aconselhar a substituição de um software por outro quando não estamos devidamente protegidos e não tomamos acções preventivas.
O tema está lançado e as diferentes perspectivas são bem vindas...