Tópicos | Web 3.0

Recentemente eu li uma notícia que tratava do serviço de mapas do Google, o Google Maps. Lá falava-se que o serviço estava ficando popular demais para continuar gratuito.
Popular demais, neste caso, significa dizer que ele está consumindo muitos recursos fundamentais do Google (leia-se seus servidores) e, obviamente, custando alguns bons dólares (milhares?) aos cofres da gigante de busca.

Recursos estes que podemos tratar por armazenamento de dados para o serviço, armazenamento de dados dos usuários e suas ações junto ao serviço, poder computacional de processador, para executar todas as ações, para poder dar suporte a uma quantidade enorme de usuários e aplicações acessando/consumindo este serviço ao mesmo tempo em uma escala de milhões de acessos por dia.

Todos sabemos da política “eternamente grátis” do modelo de negócios (em destaque, porque falaremos disso mais a frente) do Google. Todos os seus serviços são gratuitos, basta se cadastrar, ter seu usuário e pronto, comece a usar tudo na nuvem. Gmail, Google Docs, Google Maps, GTalk... mas como já foi dito aqui, todo e qualquer serviço (que por natureza é um software) consome recursos computacionais diversos. E estes recursos, por sua vez, demandam custos. Desde custos de manutenção, aquisição, evolução (que são custos diretos) a custos de locação de espaço (para os datacenters) bem como a conta de energia elétrica para manter tudo ligado e, principalmente, resfriado.

Alguns rumores dão conta que a partir do dia primeiro de janeiro de 2012, desenvolvedores serão cobrados quando seus apicativos acessarem a API do Google Maps mais de 25 mil vezes em um dia e que  a taxa cobrada seria de cerca de US$4,00 a cada mil acessos  após os 25 mil.

Se o valor da taxa sera esse, ainda não sabemos, mas o certo é que essa mudança  vai mesmo acontecer. Ter que cobrar as pessoas, mesmo que seja uma média de 0,35% dos usuários, segundo o Google relatou à BBC, é uma forma de assumir que o modelo do Maps tem problemas, ou que pelo menos ele não tem a eficiência em termos de escala. E para um serviço tão popular quanto o Google Maps, isso pode se tornar algo mais perigoso no futuro (BBC via BGR).

O que nos leva a uma importante pergunta: a mudança da plataforma da web, para uma instânica programável, que é possível desenvolver e disponibilizar novos produtos (serviceos) por meio da composição de produtos/serviços de terceiros necessita de uma quebra nos paradigmas também dos modelos de negócio, adotados até hoje?

E qual seria este modelo? Ou mais ainda, como chegar no valor final a ser cobrado? Como foi que o Google chegou nos 4 dólares (se é que são 4 mesmo e não 3,75 ou 5,25)? O que ele leva em consideração? O que é aferido e mais ainda como é aferido?

Um pote de ouro espera por quem sabe como dar estas respostas.

E mais uma informação para reflexão: O jogo Angry Birds, da Rovio, ultrapassou a marca de 500 milhões de downloads, que é um feito memorável mesmo para o jogo mais popular em dispositivos móveis. Dados da empresa afirmam que os usuários passam nele 300 milhões de minutos por dia! E, para informação, ele é um produto (serviceo de entretenimento?) gratuito nos dispositivos android, por exemplo.

Qual o modelo de negócio de Angry Birds? Não é só propaganda embutida. Hoje tem os royalties por uma série de produtos alternativos (de bichos de pelúcia a capas de travesseiro), mas tem muito mais por trás. Rumores dão conta que a Disney estaria fortemente interessada na construção de atrações temáticas dos famosos passarinhos…

Vinicius  Artigo escrito por Vinicius Cardoso Garcia - @vinicius3w

 

Desde a popularização da internet através do seu uso comercial ocorrida durante a década de 90, os ataques aos sistemas computacionais se tornaram mais freqüentes. Inicialmente os ataques eram mais direcionados a sistemas operacionais e aos serviços de rede como se pode observar nas relações de tipos de ataques mais comuns de diversos institutos como CERT Internacional. No Brasil os primeiros relatos documentados pelo CRT.br datam do ano de 1997. Observando as estatísticas dos ataques ocorridos realmente se observa que eram mais direcionados para sistemas operacionais e serviços de rede.

Com o crescimento acelerado dos ataques, as empresas, governos, universidades investiram massivamente em soluções de segurança, tais como firewall, sistemas de detecção de intrusão, anti-virus, gerenciamento de patchs. Também houve investimento na definição de procedimentos e processos para o gerenciamento da segurança da informação, como ITIL, COBIT e SOX, também houve investimento e definição de legislações específicas para tratar os principais problemas, tanto no Brasil como em outros países.

##RECOMENDA##

Todas estas iniciativas, associadas ao tempo para o amadurecimento em relação a compreensão dos problemas e definição de padrões de segurança,  fez como que entre 1997 e 2007 o índice de ataques reportados relacionados a falhas de segurança em sistemas operacionais e redes de computadores tenham caído de forma significativa, como mostrado na Figura 1.

Analisando os dados acima apresentados, vemos que com a definição de procedimentos, amadurecimento sobre a compreensão dos problemas e evolução da tecnologia, houve uma significativa diminuição dos problemas de segurança relacionados a falhas e vulnerabilidades apontadas em sistemas operacionais e redes.

Neste sentido entende-se que houve uma melhoria na qualidade percebida e garantida, QA – Quality Assurance,  em relação aos serviços prestado pelos administradores de sistemas, consultores de segurança e engenheiros de segurança.

Figura 1 Ataques a sistemas operacionais e rede reportados pelo CERT.br

Figura 1 Ataques a sistemas operacionais e rede reportados pelo CERT.br

Este amadurecimento em relação aos trabalhos desenvolvidos pelas equipes responsáveis pela gestão da infra-estrutura teve como conseqüência a mudança no foco dos mesmos, as aplicações se tornaram o alvo principal.

É inegável que os problemas de segurança ainda persistem, no entanto, não estão somente  relacionados às falhas em sistemas operacionais ou serviços de rede, o que se observou é que o maior foco dos ataques mudou e atualmente esta nas aplicações web, como observado na Figura 4.

Figura 2

Figura 2 Ataques 2010 reportados ao Cert.br

“Legenda:

• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.”

Mais precisamente, este maior enfoque nas aplicações web teve inícios em 2007. Este fato pode ser evidenciado de várias formas, dentre elas, através das consultas feitas ao cache do Google apresentada pela aplicação Google trends e mostrada na Figura 3. Como se pode observar antes de 2007 há poucos registros de consultas relacionadas a segurança de aplicações web. Utilizando a mesma metodologia vemos na Figura 4 que as consultas relacionadas a segurança de redes - assunto de maior escopo relacionado a segurança de sistemas operacionais e serviços de rede - vem caindo anos após ano como conseqüência do amadurecimento em ralação a este tópico.
Figura 3

Figura 3 Consulta ao Google trens sobre “web application security”, ultimo acesso fev 2011

Figura 4

Figura 4 Consulta ao Google trens sobre “network security’, ultimo acesso fev 2011

Ainda como fato que se pode apontar como motivador para a necessidade dos ataques estarem mais focados nas aplicações web, temos neste período o surgimento das aplicações WEB 2.0, WEB 3.0,  a consolidação do browser como porta de entrada para todas as aplicações, o surgimento das API´s de desenvolvimento como a proposta do Google apps e Microsoft live e mais recentemente a computação nas nuvens.

Desta forma acredita-se, que da mesma maneira como ocorrido com os ataques a sistemas operacionais e a serviços de rede, será necessário desenvolver esforço de pesquisas, desenvolvimento de produtos e procedimentos e conseqüentemente o amadurecimento dos desenvolvedores de software no intuito de melhorar os códigos produzidos para as aplicações web, o que se pode chamar garantia da qualidade da segurança do software SSQA – Security Software Quality Assurance.

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando