Este artigo foi publicado em 16/09/2015. Por ter sido considerado um dos melhores artigos de 2015, foi republicado hoje.
Aquelas tais APIs (in)seguras
No ano passado, o Snapchat sofreu um dos ataques mais famosos e significativos em termos de Segurança de APIs. As razões para isso são várias, e esse ataque não foi único.
APIs já foram vazadas algumas vezes nos últimos meses.
Por conta disso, é bem comum ouvir dúvidas sobre a segurança de APIs. Também vemos um avanço tecnológico grande nas soluções do problema, com métodos sofisticados, completos e complexos de proteção.
Então, já faz muito tempo que esse problema está sendo resolvido, e a maioria das APIs permanece segura, desde que seus protocolos de segurança sejam bem feitos e se mantenham bem controlados.
Se está tudo bem, por que se fala tanto em segurança?
O questionamento ocorre principalmente por um único e bom motivo:
Toda uma Economia de APIs está sendo criada com base na estrutura de troca de informação e redução de fronteiras entre sistemas que as APIs permitem.
Isso movimenta muito dinheiro através da criação de negócios e rejuvenescimento de velhos negócios (como fez o The New York Times).
Aí, os ataques a sistemas e APIs ganham regularidade. Infelizmente, sempre existirão pessoas desejando tirar proveito de uma série de sistemas e serviços.
Casos de dados vazados ou ataques de grupos de hackers em bancos de dados com informações sensíveis (como cartões de créditos e senhas) têm sido cada vez mais frequentes.
Isso inclusive motivou, por exemplo, a criação do ThreatExchange pelo Facebook. Esse foi um passo importante para o tema de segurança por reunir diversas das grandes empresas de tecnologia do mundo, mas não é nem a primeira, nem será a última iniciativa de combate aos hackers.
Segurança nas APIs Web públicas
A tecnologia avança a passos largos sobre nossas vidas, já tendo tomado a rotina de trabalho, entretenimento e assuntos pessoais de quase todos nós.
Vimos a transição de diversos programas standalone (instalados na máquina de cada um) para os webapps (acessados na nuvem).
Hoje, não é estranho acessar e-mails, editar planilhas e gerenciar projetos, tudo dentro do navegador.
Mesmo com o fato de que diversos desses serviços são mantidos por uma mesma empresa (inclusive o navegador), os sistemas de segurança envolvidos são bastante sofisticados.
Quando se fala em API pública, pode parecer que os dados estão todos abertos e disponíveis, mas não é isso que “público” significa.
Na verdade, isso quer dizer que sua API está acessível a qualquer pessoa que deseje usá-la. É o contrário de uma API privada, por exemplo, que só está acessível a pessoas escolhidas a dedo pelo dono da API. Veja essa diferença em detalhes aqui.
Porém, não é por serem públicas, que essas APIs deixam de ser seguras. Muitas APIs extremamente populares e seguras são públicas, como as do Google, Facebook, Twitter, Mailchimp, entro outras.
Aplicando o padrão de segurança OAuth em APIs, as barreiras contra ameaças se levantam fortemente. O padrão oferece uma camada de transparência e proteção importante para o usuário final, que pode decidir quais recursos quer ou não colocar à disposição na Internet.
Inclusive, uma das formas de proteção mais adequadas para sistemas de dados são as próprias APIs.
Casos como o vazamento de senhas da Sony poderiam ter sido evitados, com a devida Estratégia de APIs.
Muitas empresas que já operam online parecem não estar tão cientes de que seus dados trafegam livremente na Internet, muitas vezes como Personally Identifiable Information (Informação Identificadora de Indivíduos), o que tem o potencial de abrir dados pessoais sigilosos para toda a Internet.
Para resolver isso, é recomendável se distanciar um pouco do problema e observá-lo como uma API permitiria mapear seus recursos na Internet e organizá-los de forma segura, além de melhorar o monitoramento de quem usa os dados e para quais objetivos.
Não são perfeitas, mas…
As APIs não são perfeitas e, se não forem bem implementadas e gerenciadas, (obviamente) estão suscetíveis a ataques e vazamentos.
Porém, há cada vez mais empresas realizando negócios na Internet e uma multidão de dispositivos e aplicativos conectados.
Com isso e o aumento no uso de APIs, torna-se cada vez mais franca a discussão sobre segurança de dados na Internet.
De 0 a 10, o quanto você recomendaria este artigo para um amigo?