Na internet talvez você não seja o corajoso, mas sim o tolo

Este tá sendo o "ano do Platão" pra mim
Este é meu “ano platônico” sem dúvidas. :)

Hoje pela manhã vi no Facebook um post fascinante sobre um monte de falhas de segurança ridículas em um site extremamente popular. Muito bem escrito, achei o autor uma pessoa corajosa e, em seguida, por impulso, o compartilhei na minha linha do tempo (orgulhosamente com o texto “Fascinante”) para, algumas horas depois, removê-lo. Percebi que na realidade estava estimulando um crime sem me dar conta disto. E sabem o que é mais “bacana”? Fazemos isto o tempo inteiro sem nos dar conta.

O contexto

Como disse acima o texto é muito bem escrito e nos seduz durante a leitura. A história é bastante simples e todos já vimos ocorrer: o autor encontrou falhas de segurança em um site bastante popular. Estas, todas muito primárias (coisa de pré jr pra dizer o mínimo), então entrou em contato com a administração do site meses atrás e não obteve uma resposta satisfatória e as mesmas falhas de segurança se mantiveram.

Então coberto de boas intenções o autor publica em seu blog algumas destas falhas, uma das quais inclusive possibilitando a qualquer leitor tirar proveito daquela vulnerabilidade com o mínimo de esforço mental. Claro, no início do texto é dada aquela justificativa bossal de que ele está na realidade ajudando os caras a melhorar a segurança e que com isto está protegendo os demais usuários do serviço, mas na prática não é só isto que ocorre: você inadvertidamente estimulou um crime.

Imagine que no seu bairro há um banco e um dia, passando pela parte de trás do quarteirão você percebe que o cofre está aberto e que não há câmeras de segurança que possam lhe filmar retirando o dinheiro. Você avisa o banqueiro do problema, ele te ignora. Então, logo em seguida, você divulga para seus vizinhos que a porta do cofre está aberta e qualquer um pode pegar o dinheiro. Mas claro, você o faz pelo bem dos correntistas, para que estes coloquem seus valores em um local seguro, certo? Certo: mas também ensinou a praticar um crime, ou seja, você estimulou a prática criminosa. Isto é crime: você pode ser processado (e deve).

Ainda pior: imagine que os seus vizinhos divulguem o que ficaram sabendo de ti para outras pessoas. Seu estímulo ao crime se tornou viral, e agora todos aqueles que compartilharam a informação também estão, inadvertidamente, cometendo o mesmo crime. Foi exatamente o que ocorreu aqui.

Platão entra na história

O autor ao publicar seu post agiu acreditando estar sendo uma pessoa corajosa (e muitos dos seus leitores inclusive o terão como tal), mas na realidade agiu como um perfeito idiota. Platão tem um diálogo fascinante chamado Laques (há uma tradição em inglês interessante que pode ser lida gratuitamente neste link) em que o assunto é o conceito de coragem. O que é a coragem?

Laques é um dos principais personagens deste diálogo: o primeiro esboço de conceituação da coragem feito por este é a de que o sujeito age mesmo sem saber com o que está lidando. Então, é corajoso, por exemplo, aquele que desce por um poço sem saber o que encontrar. Esta é inclusive uma definição bastante popular durante toda a história da humanidade. O corajoso é tido como aquele que não tem medo: aquele que irá agir contra a própria ignorância e com isto tentar vencer.

Este “herói” que cito não é corajoso: é o estúpido, o ignorante. Mais que isto: é o inconsequente: se você não sabe com o que lida não conhece as consequências dos seus atos. É simples assim.

Será que se o “herói” que cito no primeiro parágrafo deste texto de fato tivesse consciência de que está ajudando outros a burlar um sistema de fato teria dado o nome e explicado em detalhes os meios para se tirar proveito desta falha? Acredito que não.

(e pra variar o Platão não dá uma boa resposta a respeito do que é de fato coragem (fanfarrão…))

Ah, mas estas falhas já são conhecidas em diversos fórums privados da Internet, então não estou fazendo nada de errado ao divulgá-los aqui, certo? ERRADO

Errado por dois motivos. O primeiro é óbvio: se você vê alguém errando sem sofrer consequências não quer dizer que o mesmo se aplique a você. Segundo por que se estavam falando a respeito em privado, quando você tornou público na realidade o que ocorre é a intensificação do mal gerado. Antes poucos sabiam: agora TODOS sabem.

É tão óbvio: o mesmo erro cometido quando se fala de pirataria de livros no Brasil, assunto sobre o qual inclusive já escrevi.

Com isto estou protegendo os demais usuários deste serviço, certo? ERRADO

Não está protegendo ninguém, pelo contrário, está mostrando para os malfeitores como tirar proveito de um sistema e com isto LESAR aqueles que são usuários daquela ferramenta.  Só pra lembrar, não serão todos os clientes do site que irão ler seu post: é importante saber que não somos o centro do Universo.

Como o sujeito deveria ter feito então?

SImples: jamais deveria ter publicado em seu blog o nome real do serviço. Apontar as falhas e como evitá-las já seria de grande valia. Poderia até mesmo dizer que viu isto em um site bastante popular e ensinar o leigo sobre como perceber as falhas (melhor ainda!), mas jamais desta forma.

Ah, os caras não te responderam direito mesmo tendo entrado em contato diversas vezes? Simples: não use o serviço ou então, caso tenha sido lesado, reclame com algum órgão responsável por garantir a segurança do consumidor. Resumindo: basta agir de forma adulta e com menos arrogância como um bebê chorão.

(aliás, arrogância é A palavra. Gosto muito da definição do Norberto Bobbio: “confiança excessiva nas próprias capacidades”)

Finalizando

Com redes sociais tão presentes em nosso dia a dia muitas vezes nos esquecemos das consequências do que postamos. Aquele nosso pequeno post ou compartilhamento que em um primeiro momento acreditávamos refletir nossa coragem e valores na realidade podem mostram nossa ignorância, inaptidão e inconsequência social.

Convém pensar duas, três, quatro vezes antes de publicar qualquer coisa por aí.  É tênue a linha que separa o corajoso do tolo.

19 comentários em “Na internet talvez você não seja o corajoso, mas sim o tolo”

  1. Essa história de que ele tentou contatar a empresa mas foi ignorado, está muito mal contada. Que empresa SÉRIA não vai querer tomar providências ao perceber que seu site tem um furo de segurança (ainda mais um furo besta)?

    1. Kico (Henrique Lobo Weissmann)

      Éderson, diversas agem assim. Muitas vezes simplesmente não tem pessoal competente: acontece demais.

      Mas não justifica.

      1. Justificar, claro que não.
        Mas se eu contratei uma empresa para fazer meu site e descobriram que ele tem furos de segurança, ligaria para ela imediatamente e cobraria providências.
        A não ser q a tal “empresa” fosse o sobrinho do cara…

  2. Ah kico eu concordo com com o cara, por mais que seja ruim uma hora vai chamar a atenção da empresa eu quero continuar comprando ingreços online e quero que arrumem logo o problema. Se alguém mal intensionado quisesse ja ia atacar o site a unica diferença no pior caso é alguém bem jr(Script kid) que vai brincar de ser hacker e testar o post do cara. Quanto a para de usar o serviço não acho que seja uma opção para comprar ingreços de cinema, no sites do cinemark e cinesystem voce é redirecionado automaticamente.

    1. Kico (Henrique Lobo Weissmann)

      A intenção ser boa é uma coisa, a consequência, outra.

      Observe que interessante algumas consequências Bruno: primeiro as que citei no texto, depois a que você colocou, do script kid.

      Agora, uma terceria ainda mais interessante e que não mencionei: você abre um precedente para ser processado justamente por quem está criticando.

      Percebe? Há maneiras e maneiras de se chegar ao mesmo objetivo. A questão não é se alguém está ou não éticamente correto, mas sim das consequências impensadas.

      Aliás, outra consequência interessantíssima que é a inversão de papéis (talvez seja a mais interessante). Na intenção de ajudar, fazer algo positivo, você acaba obtendo o oposto.

      E ainda mais além: das consequências do que postamos na Internet sem nos darmos conta da gravidade do que está sendo feito.

      Aliás, olha que problema ético interessante você levantou: sei que algo pode te ferir, será que é justo e correto eu te ferir (neste caso, com força intensificada) para “te acordar”?

      1. É verdade o que voce falou, mais acho dificil a pessoa ser processada pois todas as falhas na jvm,ssl etc,são amplamente divulgadas em site de segurança, se voce quiser é so ir la ver a falha e explorar alguém desatualizado, por exemplo o recente Heartbleed, a diferença é que foi um serviço publico ao inves de uma biblioteca.sobre algo proprietario como a jvm recentemente a oracle investiu pesado em corrigir essas falhas justamente por que não pegou bem para a imagem

        1. Kico (Henrique Lobo Weissmann)

          É um ponto interessante este que você citou Bruno.
          No entanto jamais duvide da capacidade de quem está em cargos gerenciais. :)
          São capazes de qualquer merda.

  3. Excelente texto como sempre Kiko (embora eu reconheça que tenho vindo pouco aqui).

    Você me havia pedido para dar uma opinião “jurídica”. Pois bem. Creio que não houve, por sua parte, nem por parte do autor do post que denunciou a falha de segurança, incitação ao crime (art. 286 do Código Penal). Isso porque o texto da norma diz: “Incitar, publicamente, a prática de crime”. Nem você nem o autor principal conclamaram os leitores ao cometimento do crime. Este relatou fatos, ou como costumo dizer, mostrou a todos o que é uma faca. Se ela será utilizada para cortar um legume ou para matar uma pessoa, depende do uso.

    1. Kico (Henrique Lobo Weissmann)

      Muito obrigado pelo seu feedback Fausto!
      Esta era uma dúvida que eu tinha: será que cairia no 286?
      Sinto me bem mais aliviado agora sabendo que não.
      Valeu!

  4. Paulo Patto

    Texto muito bem escrito e uma argumentação super válida mas temos ai mais um problema:

    “É correto prender o dono da tramontina toda vez que um crime for cometido com uma de suas facas para cozinha?”

    Não que seja correta divulgação das vulnerabilidades, porém ao meu ver como no caso dos bancos e outros serviços que cobram e bem cobrado por seus “serviços e facilidades” eles tem mais que a obrigação de manter boas práticas e evitar brechas simples como essas. Assim o correto seria ao primeiro contato do usuário com a empresa a mesma efetuar as tratativas devidas para a solução do problema.
    Mesmo que o caminho de um processo judicial por parte da Ingresso.com seja um caminho possível acho que como diz o Otário neste video (http://youtu.be/JEBxERbpYAE?t=45s) se as empresas fosse tão eficentes em solucionar problemas e oferecer bons serviços como são boas em querer emudecer e terrificar com seus bem pagos departamentos jurídicos seria muito bom.

    1. Kico (Henrique Lobo Weissmann)

      Oi Paulo, fico feliz que tenha gostado, obrigado.

      O exemplo do dono da Tramontina é bastante interessante, me fez parar pra pensar. Mas aí eu poderia fazer a seguinte pergunta: “se o dono das facas Tramontina publicasse um guia ensinando os seus clientes a como esfaquear alguém, será que ele poderia ser culpado?”

      Concordo que os serviços são obrigados a fornecerem serviços de qualidade (independente do valor). O ponto relativo ao canal do Otário também achei bem interessante, no entanto não dá pra generalizar.

      Uma coisa é eu dizer “olha gente, eu encontrei algumas falhas de segurança no serviço X e por isto o desrecomendo”. Outra eu chegar e soltar o “o serviço X é inseguro, e para provar isto, vou lhe mostrar como burlálo: basta seguir este passo a passo”.

      Há maneiras e maneiras de se lidar com o mesmo problema. Sinceramente, neste caso o que mais me fascina é o alerta a respeito do que postamos na Internet. Aquela bandeira que sobe agora antes de compartilhar sem pensar a primeira coisa que nos passam. Este pra mim é o ponto mais interessante.

      1. Paulo Patto

        Bem neste caso o @goncin acima que deve ser um maior entendedor de leis, já que citou o art. 286 do Código Penal.

        As bulas de remédios sempre falam de super dosagens mostrando claramente como matar uma pessoa com o remédio vendido (que é quase que o manual de como matar uma pessoa) e nem por isso o dono da farmaceutica pode ser incriminado como no caso do menino lá do Rio Grande do Sul. Mas fica o alerta sim sobre o que postamos e compartilhamos na internet sim é um ponto a ser refletido, como vimos esta semana sobre o caso da mulher no Guarujá que teve sua vida ceifada por boatos que foram compatilhados de forma irresponsável na Internet.

        Abraços.

        1. Kico (Henrique Lobo Weissmann)

          Sabe Paulo, eu acredito que não possa ser incriminado pelas razoes que você postou e também por que não seria vantajoso para ninguém.

  5. Marcelo Toledo

    Entrou para meus favoritos, apesar de não concordar 100% com sua visão em relação ao post comentado, ainda assim, concordo 100% com a atitude dele, o site já deveria ter corrigido quando ele resolveu divulgar, não fosse isso, sabe-se lá quando corrigiriam, e não duvido nada de a partir de agora, eles conseguirem corrigir o que não conseguiram em quase 6 meses.

  6. Fala Henrique.

    O camarada publicou o lance no blog porque queria chamar atenção não pra empresa mas pra si mesmo: por pura vaidade ( como alias são quase todos blogs hoje, menos o seu claro :). Como vivemos numa sociedade onde todos são especiais, porque não aproveitar a chance pra aparecer? O cara era metido igual o tal do Platão… ele queria mostrar que sabia, que era [ hacker | cracker] e tal. 5 minutos de fama amigão!!

  7. Cara curto bastante seus posts, sempre muito construtivos. Acho importante a abordagem de temas que não sejam apenas voltados a assuntos técnicos. Abraço!

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Rolar para cima