Serviços Web: aspectos de segurança

Essa nova tecnologia irá permitir que, de maneira muito mais efetiva, as máquinas possam se comunicar entre si através da Web, proporcionando novas aplicações, principalmente de negócios entre empresas, o conhecido B2B. Os serviços disponíveis serão os mais diversos, como por exemplo informações de taxas de financiamento no site de uma instituição financeira, reservas de passagens em portais de companhias aérea, preço e compra de um determinado item no site de um varejista.

Prevê-se um ambiente bastante dinâmico e flexível, e de altíssimo grau de conectividade. Assim se uma empresa precisa comprar parafusos, seu sistema de compras executará, automaticamente e via Internet, a seleção de possíveis fornecedores (através de diretórios da rede), busca das melhores condições comerciais (preços e prazos) através de consultas aos sites de cada fornecedor e eventual efetivação da compra, acionando, se necessário, serviços Web da instituição financeira para a liquidação da operação.

Esse novo cenário traz, contudo, novas preocupações com os aspectos de segurança. O primeiro ponto está relacionado com o aumento da utilização da Internet para execução de negócios. Quanto maior o uso profissional da rede, maior será a demanda pelo controle da qualidade de serviço (disponibilidade e tempo de resposta) e maior deverão ser os valores transacionados na rede, com evidente aumento do risco.

Um segundo ponto importante advém da grande mudança de paradigma imposta pelos serviços Web. Atualmente o padrão de tráfego da Internet está largamente baseado na interação homem-máquina. Com a ampliação da comunicação máquina-máquina, proporcionada pelos serviços Web, esse padrão tende a mudar radicalmente. No limite, será difícil distinguir um ataque do tipo deny of service (múltiplos acessos simultâneos ao um site com o objetivo de deixá-lo indisponível) de um conjunto legítimo de acessos para execução de um determinado serviço.

A utilização do HTTP como protocolo básico para os serviços Web também é um ponto importante para reflexão. Alguns analistas colocam esse aspecto como um ponto positivo para a adoção da tecnologia, uma vez que o protocolo HTTP já é disseminado dentro das corporações e a infra-estrutura de segurança, como os firewalls, principalmente, está preparada para lidar com ele. Ou seja, não será necessário modificar regras, abrindo-se novas portas nos sistemas corporativos. Uma análise mais profunda, contudo, leva em conta que, embora a forma de comunicação não se modifique, o seu conteúdo e o seu propósito são diferentes. Os serviços Web, para serem efetivos, deverão expor de forma mais abrangente as funcionalidades existentes nos sistemas corporativos.

E, por último, mas não menos importante vem o aspecto da autenticação dos elementos envolvidos em uma comunicação. Numa transação de negócios é fundamental assegurar a identidade das partes durante todo o processo. Os serviços Web, todavia, ainda não têm uma padronização definida para autenticação e manutenção de contexto. Embora isso seja uma questão de tempo, existe o risco em se adotar soluções não padronizadas e não suficientemente testadas.

Concluindo, como qualquer nova tecnologia, existe grande entusiasmo em relação aos serviços Web e suas aplicações. Esse entusiasmo não é injustificado e, certamente, teremos um grande número de sistemas baseados na tecnologia. Contudo, ambientes mais dinâmicos, mais flexíveis e com maior número de transações, implicam em maiores riscos para sua segurança. Tais riscos não devem ser encarados como inibidores do processo, mas também não podem ser ignorados. Cenário esse muitas vezes comum quando se tem grande entusiasmo com novas tecnologias. Na realidade tem-se, como sempre, um panorama de compromisso entre comodidade e segurança.