Pontos de vista

O máximo de segurança que você pode ter (ou, você não pode correr mais que um urso)

Garry Kasparov, 6 Dezembro 2017

Explorando o equilíbrio entre conveniência e segurança com produtos ao consumidor.

Em setembro, a Apple lançou sua linha mais recente de iPhones, o iPhone 8 e 8 Plus, com o lançamento do iPhone X em novembro, no que já se tornou um espetáculo conhecido. De várias maneiras, cada lançamento é um instantâneo dos desenvolvimentos tecnológicos que se tornaram mais evidentes. Não se trata exatamente de tecnologias novas, mas daquelas que se tornaram muito difundidas e foram além das intenções de seus criadores, como uma nova espécie criada em laboratório solta na natureza. Dessa forma, esses indicadores oferecem uma pequena visão das oportunidades e desafios que esses avanços representam para a sociedade, não apenas a consumidores individuais.Não deveria ser assim, mas frequentemente é: parece que há uma luta entre a conveniência e a segurança. A tela de bloqueio pode exemplificar isso da maneira mais simples. É irritante precisar digitar um PIN sempre que você quer desbloquear seu telefone, frequentemente, centenas de vezes ao dia. O fato de 28% dos usuários de smartphone não usarem nenhuma tela de bloqueio mostra como essa batalha está sendo perdida, deixando esses usuários totalmente expostos em caso de perda ou roubo de seus telefones. Os fabricantes tentaram facilitar sem reduzir a segurança, com resultados diversos, que geralmente favorecem a conveniência e não a segurança. Por exemplo, usar um padrão em vez de PIN. A biométrica começou com leitores de impressão digital, que são menos seguros que PINs, mas muito práticos. (Ou “seguro de maneira diferente” no melhor dos casos, pois, se você pode ser coagido a usar sua impressão digital, você também pode ser coagido a fornecer suas senhas. O quadrinho XKCD resumiu esse problema há muito tempo).

A segurança biométrica está agora dando um grande passo no mercado. O novo recurso Face ID integrado ao iPhone X substitui o desbloqueio por impressão digital nos modelos atuais. Em vez de precisar pressionar um botão de tela inicial, basta que os usuários olhem para seus telefones para começar a utilizá-los, fornecendo o máximo de conveniência. A opção de usar uma senha é mantida para usuários que têm preocupações com segurança, mas não há nenhuma dúvida de que o novo recurso será irresistível para muitas pessoas.

As implicações para os usuário que optarem por usar o Face ID são substanciais. No nível de segurança, sua face é informação pública e não privada, e usar informações públicas como senha é intrinsicamente arriscado. Segundo, os sensores do telefone devem estar sempre ativados para detectar faces e desbloquear quando solicitado. Assim, seremos constantemente observados por nossos telefones. Pessoas nefastas poderão invadir esses dispositivos para espionar os usuários, rastrear suas expressões faciais, as reações ao conteúdo que consomem e suas companhias. O recurso Face ID também funcionará com apps de terceiros, para permitir que os usuários acessem todos os tipos de informações sigilosas, desde registros médicos até transações financeiras, com um simples olhar.

Vídeo sempre ativo é apenas o elemento mais recente de um problema que se tornou muito comum. O Amazon Echo é um dos “assistentes domésticos” que monitora os usuários constantemente e apresenta um problema similar. Assim como no iPhone X, as pessoas podem escolher como desejam interagir com o dispositivo, optando por desativar o Face ID no iPhone ou excluir continuamente as gravações da Alexa no Echo. Mas, quando fazem isso, elas abrem mão de um grau tentador de conveniência (um benefício palpável de curto prazo) para protegerem-se contra uma ameaça nebulosa à sua privacidade. Esperar que a maioria das pessoas tenha consciência de todas as possíveis consequências dos produtos que usam constantemente, sem mencionar a mudança de comportamento, é ter expectativas altas demais. O Touch ID e seus parentes criaram o maior banco de dados de impressões digitais fora do FBI, mas pessoas que instintivamente reagiriam contra fornecer impressões digitais a um banco, ou mesmo no aeroporto, ficam felizes em fornecer esse dado à Apple em troca de conveniência.

As empresas que criam esses produtos devem atuar na estruturação do equilíbrio entre conveniência e segurança, definindo o campo que então limitará as opções das pessoas. Se um histórico amplo de registros torna a Alexa uma assistente de voz mais eficaz, é improvável que os usuários apagarão periodicamente suas gravações, mesmo se isso significar aumentar a segurança. Se eles estão aderindo, presumivelmente, querem que todos os recursos funcionem como anunciado. E aqueles que não querem usar esses produtos, mas, mesmo assim, são pegos nessa rede de vigilância? Se você entrar em uma residência com o Amazon Echo instalado, é responsabilidade do proprietário informá-lo que sua comunicação será monitorada, ou depende de você, como convidado, proteger sua privacidade perguntando?

As empresas devem usar seu poder para definir o comportamento padrão dos clientes e oferecer a melhor proteção contra as ameaças mais notórias à privacidade e segurança, especialmente violações que tenham efeito cascata além do indivíduo. Caso contrário, elas devem deixar as pessoas livres para fazer suas próprias escolhas, desde que essas não coloquem outros usuários em risco.

Pode parecer inútil fazer com que uma geração que cresceu compartilhando dezenas de selfies todos os dias se preocupe com privacidade, mas esses problemas não desaparecerão. A próxima invasão de grande empresa, o próximo vírus ou exploit, colocará a segurança nas primeiras páginas apenas por alguns dias. No entanto, elas não são pequenas falhas ou acidentes. Vivemos agora em um mundo onde tudo é compartilhado, armazenado e conectado. Sempre haverá trapaceiros invadindo banco de dados, assim como sempre houve invasores de casas e ladrões de carros. Isso não significa que devemos tolerá-los, apenas que devemos ser realistas e, espero, mais cuidadosos com os impactos de longo prazo de nosso grande e imediato compartilhamento de informações.

Algumas conversas recentes que tive com especialistas em segurança da Avast sobre o comportamento do consumidor me fizeram lembrar da velha piada sobre dois campistas surpreendidos por um urso faminto enquanto nadavam. Um começa a correr enquanto o outro para e coloca seus sapatos. “Por que você está calçando seus sapatos?”, diz o primeiro. “Você não pode correr mais que um urso.” “Eu não preciso correr mais que o urso”, responde o segundo. “Preciso só correr mais que você!” Seu computador, telefones e dados nunca estarão 100% seguros, mas estarão muito mais seguros se estiverem mais protegidos do que os das outras pessoas, por isso, pare um pouco para calçar seus sapatos.