A idéia do Google é convencer grandes empresas a migrar suas plataformas para o Google Apps. Atualmente cerca de 1000 pequenas empresas começam a usar o Google Apps todos os dias. Mostrar que a plataforma é segura pode facilitar a venda de pacotes pagos. Um dos fatores que fazem a TIC manter os sistemas legados é que conseguem gerenciar razoavelmente bem as regras de negócios. Se o Google mostrar que sua plataforma pode substituir com segurança esses sistemas, está aberta a porta para conquistar fortemente o mercado corporativo.

O interessante é que o Google não mantém apenas uma cópia ou duas das informações. O sistema deles funciona em uma espécie de grid computing, com sistema de arquivos próprios chamado de GFS (Google File System, o que mais poderia ser essa sigla?). Mesmo que um servidor pegue fogo, pife, seja destruído, várias outras cópias dele rodam em outro lugar e assumem imediatamente, sendo totalmente transparente para o usuário.

Um organização que queira ter um sistema seguro para evitar perda de informações teria que investir milhões e assim mesmo ficaria vulnerável caso mantenha poucas cópias backup, mesmo em lugares distantes. Obviamente não adianta manter o backup no mesmo prédio da cópia principal. E seu datacenter for vítima da síndrome do Boeing? Claro que a solução que o Google implementa não é perfeita. Mas possui um ótimo custo-benefício para a maioria das organizações.

[Atualização]: (*) O Alex Hubner do CFGigolô informa que o Google Apps não aceita pagamentos de empresas brasileiras, o que é um problema para a expansão do serviço aqui no Brasil. Assim o Google Apps fica restrito apenas à versão gratuita, ou seja, para microempresas.

Os problemas

No último dia de 2006, foi descoberta uma vulnerabilidade que permitia a visualização dos contatos do Gmail. No último dia 12, descobriu-se uma forma de copiar os cookies dos serviços do Google tornando possível invadir qualquer serviço que o visitante tivesse registrado com a possibilidade de acesso a e-mails, documentos de texto e planilhas, etc… O último, recém-descoberto (16/01/2006), ainda está sem correção e não se divulgaram detalhes, foi corrigido em poucas horas.

Na verdade esses problemas são provas de conceito, ou seja, foram feitos experimentalmente e imediatamente reportadas à empresa de Montain View assim que descobertos. A gigante da internet agiu rapidamente e corrigiu os problemas de segurança. Só depois das correções é que os “descobridores” divulgaram a natureza dos experimentos que realizaram, mas aí não havia mais perigo. As falhas não ficaram exposta aos hackers de plantão para serem explorados. E todos necessitavam a visitação de sites com código malicioso ao mesmo tempo que você estivesse logado a algum serviço do Google.

Provavelmente não relacionado a este assunto, mas só para deixar registrado, tivemos ainda o caso dos emails apagados do Gmail, que afetou ao redor de 60 usuários do serviço.

Software on-line vs. Software off-line

Algo que preocupa ao usarmos muitos softwares on-line, é a segurança das informações. Eu uso processador de textos, planilha, calendário, webmail, estatísticas, leitor de RSS, mensageiro instantâneo, etc… Tudo on-line. Se alguém conseguir invadir ou descobrir minha senha, corro o risco de perder todos os dados. Por outro lado, usando somente softwares off-line (de desktop) seria mais complicado alguém invadir essas informações (colega da mesa ao lado quando vou buscar um café? hacker entrando pela conexão da internet?).

Quando uma empresa de software para desktops libera uma correção de segurança, é necessário a ação pró-ativa do usuário, do departamento de TI ou do sistema operacional na atualização. Se isso não ocorrer, o buraco de segurança fica descoberto. Em softwares on-line, quando a fornecedora do software libera a correção, essa passa imediatamente a valer para todos os usuários, nada de downloads e atualizações. Claro, há sempre o risco se um problema desses cai na mão de pessoas mal intencionadas.

No caso do Google apresentaram correções rapidamente para os problemas verificados. A Microsoft, sabemos, fica até 30 dias com falhas abertas e, quando soltam a correção, muita gente demora para atualizar seus sistemas e acaba sendo vítima de problemas já solucionados. Colocando tudo na balança, quer saber, continuo com os softwares on-line.

Blogs do Google hackeados

No dia 7 de outubro, um Sábado, um post apareceu no blog official do Google. Dizia que o inovador serviço de anúncios Click-to-Call, em testes, havia sido cancelado. A blogosfera estranhou, fez algumas suposições durante o fim-de-semana, até que no domingo o post foi tirado do ar.

Este mesmo blog oficial do Google foi acidentalmente apagado em março deste ano. Um leitor, ao descobrir que o endereço do blog estava disponível, recadastrou e colocou uma mensagem no ar. Sorte do Google que esse leitor foi simpático e postou uma mensagem alertando a empresa de que algo de errado tinha acontecido com o blog deles. Logo depois o Google recuperou o backup, voltando ao ar com uma mensagem explicando o acontecido.

Essa semana novamente problemas com os blogs oficiais do Google. O Buzz Blogger, blog que fala sobre o serviço Blogger mostrou uma mensagem um tanto estranha que mais tarde, informaram, foi um engano de algum funcionário da empresa que postou, sem querer, mensagem que deveria ir para o blog pessoal desta pessoa.

Segurança da Informação

O que houve nos três casos foram falhas na política de segurança da informação do Google. A definição da segurança da informação diz, segundo a Wikipedia: “Proteger sistemas de informação contra acesso não autorizado, modificação da informação, tanto no armazenamento, processamento ou manipulação(…)”. Fica claro que houve falhas.

A missão do Google é organizar toda informação do mundo, tornando-a amplamente disponível, algo assim. E nós ajudamos ao usar o Gmail, o serviço de Buscas, os orkut, o Google Docs, o Analytics, etc… tudo faz parte de um processo maior que é descobrir hábitos das pessoas e lhes oferecer buscas e anúncios mais relevantes. O perigo está em disponibilizar essas informações para o Google e no dia seguinte descobrir que, por falha na segurança da informação, os dados tornaram-se públicos.