2013/01/22

Aluno Expulso por Chamar a Atenção para Falha de Segurança


A internet ainda está em choque devido ao suicídio de Aaron Swartz, um dos criadores do "RSS" que permite facilmente partilhar informação de forma aberta, e que sempre foi apologista da transparência e partilha de informação - ao ponto de ultimamente, se ter tornado num alvo que alguns pretendiam usar para dar o exemplo, quando foi apanhado a "roubar" informação para a partilhar publicamente, e perante cujas ameaças de anos na cadeia, se veio a suicidar.

Mas, se pensam que isto é um caso isolado, eis que vão surgindo com cada vez mais frequência casos igualmente surreais que demonstram que o problema está bem mais enraizado nalgumas entidades e instituições, que parecem acreditar que o "secretismo" ou "obscuridade" lhes servem de manto de protecção.

Ahmed Al-Khabaz é um aluno de informática de 20 anos, que durante o processo de desenvolvimento de uma App para que os alunos acedessem às suas informações escolares, descobriu falhas de segurança no sistema usado pela escola, e que se deviam basicamente a "programação descuidada". Falhas essas que permitiam o acesso aos dados de centenas de milhares de alunos.

Como qualquer pessoa normal, alertou a escola para a situação que agradeceu a sua chamada de atenção, dizendo que iria contactar o fabricante do software para resolverem o problema.

Dias mais tarde, Ahmed decidiu verificar se haveria mais alguns problemas, usando um ferramenta que testa vulnerabilidades... e de aluno "genial" passou a ser considerado um autêntico "terrorista informático", com a empresa a ameaça-lo com 6 a 12 meses de cadeia, dizendo que estaria sob sigilo e que não poderia divulgar nada sobre o que tinha descoberto ou sobre o processo... enfim... aquele tipo de conversa que pensamos só ser possível em filmes ou em estados totalitários.

Aqui se vê o quanto as mentalidades ainda têm que mudar... Por um lado temos empresas como o Google o Facebook, a darem prémios monetários a quem descobrir e os informar de falhas de segurança nos seus sistemas; do outro lado temos empresas que recorrem a processos e ameaças, capazes de destruir o futuro de um jovem com curiosidade em saber como as coisas funcionam. Será que queremos mesmo um futuro onde todos tenham que tirar um curso de direito só para que estejam minimamente informados sobre as coisas que não se podem aventurar a fazer - mesmo quando é "o que se deveria fazer"?


P.S. caso queiram mais um exemplo, que tal o "hacker" que deu uso a uma API pública da AT&T e descobriu os emails dos compradores de iPads 3G e que também viu a sua vida revirada de pernas para o ar, e também está prestes ir para a cadeia e sem poder tocar num computador?

3 comentários:

  1. aonde é que está o célebre direito humano, "todo o Homem tem direito á informação", para quem é proibido de mexer num computador?

    ResponderEliminar
  2. Viva

    Não esquecer que isto se passa nos EUA, realidade obscenamente diferente do resto do mundo, no que toca a liberdades e garantias do povo.

    ResponderEliminar
  3. Li ontem o que dizia o jornal e 14 dos 15 professores votaram a favor da saída/expulsão dele da escola de informática.
    Motivo: o que usou (não é claramente explicado) para atacar o sistema informático da escola (segundo ele, para testar a vulnerabilidade) e que poderia ter destruído o sistema e por saber (ou ter obrigação de saber) que esse risco existia.

    Se fosse um curso de medicina seria o mesmo que avaliar o comportamento de um muito bom aluno que uma vez injectou uma droga num paciente para ver se ele tinha uma determinada doença e não morreu por acaso.

    Foi o que entendi, se não for verdade serve ao menos para mostrar que pode haver outra razão para a expulsão. O direito à liberdade de informação e opinião é individual e inalienável. O direito a cometer actos irresponsáveis não. Quando não se tem o juízo e a ética para exercer uma determinada actividade, que pode ser perigosa nas mãos erradasi, não vejo razão para uma escola não poder expulsar um aluno.

    ResponderEliminar