Profissionais TI - Pra quem respira informação

Exposição via Facebook, internet das coisas, Google e outras empresas monitorando seu perfil de consumo… Estamos conectados e dependentes da informática. Não estamos seguros.

A recente divulgação da invasão da VTech traz pavor pela falta de privacidade e segurança a que a empresa e seus usuários foram expostos. Avaliada em US$3 Bilhões, a empresa fabrica e distribui eletrônicos e brinquedos educativos conectados à internet. Foi invadida e informações de milhares de crianças foram expostas, dando acesso a nomes, idades, e-mails, endereços, fotos e outros cruzamentos de dados de interesse do comércio e do crime.

Os hackers envolvidos, segundo artigo no Gizmodo e na BBC, realizaram o ataque e documentaram os procedimentos, sem distribuir as informações. Não se sabe quantos, antes destes, fizeram o mesmo sem a mesma boa fé. O despreparo que pretendemos expor aqui é o de quem desenvolveu os sistemas. Naturalmente, a empresa não se preocupou em verificar corretamente o que estava implementado, mas nosso maior interesse é puxar a orelha de quem presta esse nível de serviço, além de quem os contrata.

Não se trata de um grande ataque hacker, esclareçamos. Conforme lido na publicação, trata-se de um ataque básico, usando SQL Injection, que é ferramenta inclusive de curiosos com mínimo conhecimento em informática. Assusta, portanto, supor o nível dos ‘profissionais’ que desenvolveram os sistemas da empresa; ou ainda há quanto tempo a empresa não contrata uma revisão e auditoria em seus sistemas.

Nenhuma faculdade de TI garante prevenção a ataques hackers e as mais comuns sequer ensinam metodologias para evitar esse tipo básico de invasão, mas trocando em miúdos, SQL Injection é como invadir a gaveta de trocados da vovó. Mais curioso, qualquer leitura em desenvolvimento de sistemas ajuda a evitar esse tipo de falha. Há documentos no Google com mais de 10 anos falando sobre o assunto! Há soluções simples e mais completas para evitar expor sites a ataques como o reportado.

É importante estudar e se manter atualizado. É preciso que o profissional de TI leia não somente recomendações e práticas benéficas, mas também os relatórios de invasões conhecidas para amadurecer seu conhecimento e proteger seu cliente, seu trabalho e sua reputação. Ninguém está livre de ter um problema; é sabido que hackers tem ferramentas, conhecimento e inteligência para invadirem empresas inclusive maiores, mas cabe ao profissional se proteger e não deixar a cópia da chave no vaso de planta ao lado da porta. É necessário prestadores de serviços em TI e clientes saírem do conforto dos enlatados “monte seu site em dez minutos”. Não conheço um profissional que se preze, que confie em serviços de site pronto para implementação de serviços mais complexos ou vitais.

Uma das diferenças entre o trabalho de um profissional qualificado e um iniciante é a maturidade do seu código. Profissionais experientes tem escrita mais eficaz porque sabem que não é seguro somente confiar em navegadores e formulários. Sabem que o programa deve rever o que o formulário enviou e devem usar criptografia. Profissionais competentes reavaliam o próprio algoritmo e validam até se a busca é por um ou mais registros, por exemplo, quando o login deveria ser individual. Se o campo é para login, por que aceitar aspas? Se é CPF, por que o programa aceita letras e espaços e injeta isso no banco de dados?

Não podemos afirmar quem é responsável ou quem fez os sistemas da VTech, mas parece que “meu sobrinho faz isso por menos” encontra novamente “o barato sai caro”. Por hora, além de prestar mais atenção (tanto quem contrata quanto e quem é contratado), cabe aguardar uma regulamentação decente das práticas profissionais da TI. Até lá, empresa já está pagando caro e os pais e as crianças violadas podem pagar ainda mais, infelizmente.