Declaração da OWASP sobre a Segurança na Internet

A comunidade OWASP (Open Web Application Security Project, www.owasp.org) preocupa-se profundamente com a confiança que as pessoas depositam na utilização de serviços comuns de Internet e nas aplicações que oferecem e usam esses mesmos serviços. Os relatos recentes sobre as atividades de coleção em larga escala de informação em comunicações e em aplicações Internet, assim como as possíveis tentativas de enfraquecimento de determinados algoritmos criptográficos, deixaram-nos muito preocupados. Temos conhecimento da intercepção de informação e outras atividades de monitorização focadas em determinados indivíduos, no entanto, a escala das atividades reportadas recentemente e a possibilidade de adulteração ativa de aplicações de utilização massiva e de mecanismos criptográficos, é alarmante.

Claro que, é difícil saber com toda a certeza a partir dos relatos atuais que técnicas de ataque possam ter sido usadas e que acordos secretos possam ser sido estabelecidos. Como tal, não é fácil comentar aspetos específicos numa perspetiva da OWASP. No entanto, a OWASP rege-se por um conjunto sólido de princípios gerais que nos permitem comentar, assim como abordar algumas das ações que estão a decorrer.

A nossa missão é tornar a segurança aplicacional visível de forma a que as pessoas e as organizações possam tomar decisões informadas sobre os riscos de segurança das aplicações.

• Acreditamos piamente que aplicações e software de confiança são um pilar importante da sociedade humana e das interações de todas as pessoas à volta do mundo.
• Acreditamos piamente que pessoas, empresas e governos devem proteger a segurança do software e não devem enfraquecer intencionalmente a segurança do software, normas de segurança, ou comprometer a segurança de algoritmos criptográficos.
• Acreditamos igualmente que pessoas, empresas e governos não devem introduzir intencionalmente defeitos ou vulnerabilidades (assim como portas secretas escondidas – back-doors) que possam comprometer a segurança, a confiança e a integridade do software e das aplicações.

Achamos que é importante também ressalvar que se vulnerabilidades são introduzidas propositadamente por pessoas, governos ou corporações para permitir monitorização, isso não só vai ter efeitos adversos sobre a liberdade e confiança na sociedade humana, mas mais cedo ou mais tarde essas vulnerabilidades e fraquezas serão igualmente encontradas e exploradas por atores maliciosos e criminosos. Além disso, a população em geral e as empresas vão ficar desprotegidas face a estes atores, o que prejudicará os próprios fundamentos de muitas das aplicações de software que suportam a nossa vida quotidiana, com potenciais consequências catastróficas a nível global.

A comunidade OWASP pretende ajudar na construção e implementação de sistemas seguros para todos os utilizadores da Internet. Enfrentar novas vulnerabilidades e problemas de segurança tem sido a principal força da comunidade OWASP ao longo de mais de uma década e a tecnologia por si só não é o único fator a considerar. A educação, as práticas operacionais, as leis e outros fatores semelhantes são igualmente importantes e devem ser considerados. Encaramos os desenvolvimentos e notícias recentes como um desafio, inspirando-nos a seguir os nossos princípios e trabalhar e fazer mais para tornar a web e as aplicações mais seguras. Eoin Keary, membro da direção da OWASP, destacou: "A OWASP não pode ficar indiferente e deixar que ocorra uma degradação da segurança; é contra a nossa própria missão." Estamos confiantes de que a comunidade OWASP pode fazer a sua parte e nós acreditamos que as recomendações de segurança da OWASP e as suas ferramentas, se usadas de forma mais ampla, podem ajudar.

Devemos aproveitar esta oportunidade para perceber o que podemos fazer melhor daqui para frente; não pensar em tudo isto apenas à luz das recentes revelações. A segurança e privacidade da Internet, em geral, é ainda um grande desafio, mesmo ignorando as recentes atividades de monitorização e de recolha de informação. Lições podem ser retiradas de tudo o que foi referido anteriormente que serão úteis de muitas formas nos próximos anos. E Tobias Gondrom, membro da direção da OWASP, expressou a esperança de que "talvez as discussões deste ano possam ser a faísca inspiradora para motivar o mundo para tornar-se mais consciente da segurança, a tentar resolver um conjunto de questões em aberto e a passar de "inseguro por defeito" para "seguro por defeito ".

A publicidade e a motivação são igualmente importantes. Há muito que fazer para todos nós, desde utilizadores na ativação de recursos de segurança adicionais até especialistas em segurança, empresas e governos que garantam que os seus utilizadores, produtos, serviços e aplicações são seguras. A OWASP é uma comunidade aberta e convidamos todos os interessados em trabalhar nesta área para enfrentar este desafio e contribuir para a análise e desenvolvimento de ideias em conjunto para o nosso futuro comum.