Há poucas semanas levantei diversos posts abordando a questão da segurança em tempos de cloud computing. Hoje pretendo explorar outro assunto correlato que é a privacidade na computação em nuvem.
Indiscutivelmente que com o advento da Web 2.0 e todas as suas tecnologias como blogs, microblogs, wikis, etc, nossa pegada digital já está se espalhando em terabytes de informação por dezenas de sites diferentes. E cresce à cada novo serviço que usamos!
O advento do modelo de computação em nuvem vai acelerar esta tendência. Será cada vez mais fácil criar novos serviços, uma vez que a barreira da infraestrutura deixa de existir. Vejamos o exemplo do Twitter. Já temos novas alternativas como o Meme do Yahoo e o Woofer. O Meme vai além dos 140 caracteres do Twitter: permite compartilhamento de qualquer tipo de conteúdo multimídia, como texto, vídeo, áudio e fotos. O Woofer, por sua vez, vai no caminho inverso do Twitter: os textos devem ter no minimo 1400 caracteres. Neste ritmo em breve teremos outros lançamentos.
Com cloud computing não estamos mais limitados à capacidade física dos nossos PCs e notebooks: temos agora acesso ilimitado à capacidade computacional e armazenamento. Podemos guardar milhares e milhares de documentos e fotos e acessá-los, via Internet, de qualquer dispositivo, desde um notebook a um celular. Podemos usar qualquer software e criar novos aplicativos (as mashup applications) com alguns poucos cliques do mouse.E compartilhar tudo isso muito facilmente.
Mas, e a nossa privacidade? Vamos explorar um pouco mais este assunto. O grau de privacidade e segurança que queremos vai depender de nossa intenção em não compartilhar informações e com as regras, procedimentos e políticas adotadas pelos provedores de serviços Web 2.0 e de cloud computing que usamos. Dependendo do provedor da nuvem e seu tipo (pública ou privada, por exemplo) teremos maior ou menor grau de risco quanto à nossa privacidade.
Um exemplo que pode ser ou não preocupante: Quando uma informação é armazenada em uma nuvem, em última instância será armazenada em um servidor e um dispositivo de armazenamento residente em algum local físico, que pode ser em outro país, sujeito à legislações diferentes. Além disso, por razões técnicas esta informação poderá migrar de um servidor para outro servidor, ambos em países diferentes. Nada impede que a lei de um destes países permita o acesso à estas informações armazenadas, mesmo sem consentimento de seu “dono”. Por exemplo, a legislação antiterrorista ou de combate à pedofilía em diversos paises permite o acesso a informações pessoais, sem aviso prévio, em caso de evidências legais de atos criminosos.
Outro ponto interessante é que usamos as nuvens públicas e seus serviços sem prestar atenção aos seus contratos de uso, isto é, quando existirem estes contratos. Para usuários finais, dificilmente vemos contratos de uso de serviços prestados por nuvens. E quando existem, são condições impostas pelos provedores, que podem se dar ao direito de mudar as cláusulas sem aviso. A privacidade pode deixar de existir se uma cláusula constar que a propriedade da informação armazenada na nuvem será do provedor. Neste caso, ele poderá usar e divulgar aquela belissima foto tirada por você em alguma ação de marketing sem aviso prévio.
A questão é que o conceito de computação em nuvem é recente e a legislação em vigor ainda mal entendeu a Internet. Ainda está no paradigma da época em que os PCs viviam isolados e no máximo se trocava disquetes. Apreender para investigação forense um PC cujo conteúdo estará nas nuvens será totalmente irrelevante. E como obter as informações de discos rígidos virtuais, espalhados por diversos provedores de nuvens?
Que será necessário fazer? Bem, de forma “arrogante” algumas poucas sugestões:
- Desenvolver novas práticas e políticas de segurança e privacidade que contemplem o paradigma da computação em nuvem.
- Rever a legislação que aborda privacidade e segurança eletrônica de modo que o modelo de nuvem seja considerado.
- Nós, usuários de nuvens públicas, devemos estar alertas quanto as consequencias de seu uso e dos termos dos seus contratos de serviço.