Noam Eppel escreveu artigo com o título
"Security Absurdity: The Complete, Unquestionable, And Total Failure of Information Security." e gerou um baita barulho na comunidade de segurança (pelo menos na cisspbr e na cisspforum). Resolvi, ao invés de entrar na bagunça das listas, comentar aqui.
Sim, é bastante FUD. Mas tem ótimas observações sobre coisas que não deixam de ser verdade. Algumas são pouco mencionadas por aí, mas fico feliz de ver que são daquelas que eu sempre faço questão de lembrar. Entre elas:
- A ineficiência da abordagem por assinaturas dos antivírus
- A criação de backdoors e trojans customizados para determinadas empresas e organizações
- Trojans que ao invés de roubar dados de autenticação fazem transferências de dinheiro (eu demonstrei isso no CNASI do ano passado :-)). Fiquei interessado em saber que já há
casos reais disso- O uso de 0-days cada vez mais comum
- O problema dos ataques internos, que é um dos maiores motivadores da minha dissertação de mestrado
Ele usou esses fatos para tirar conclusões, algumas certas, outras erradas. Concordo que há um aumento de complexidade que dificulta a segurança, que o custo das medidas de segurança está muito alto e que nossas "boas práticas" não resolvem o problema. Essa última é minha favorita, e também venho dizendo isso.
Tenho um colega que é especialista em testes de invasão. A técnica que ele usa dá praticamente 100% de sucesso, até mesmo em empresas com programas de segurança avançados. O que acontece é que as principais fontes de informação para o CSO, com suas indicações do que deve ser feito e quais as ameaças mais comuns (ou da moda), não apontam soluções que inviabilizariam sua abordagem. O CSO "by the book" será vítima fácil dele. Acho que deve haver uma discussão técnica mais profunda daquilo que entendemos como "boas práticas", tornando-as mais efetivas e mais claras. E quando digo discussão técnica, traga quem sabe mesmo, e de preferência sem ligação com fornecedores de caixinhas. Já reparou como as ameaças indicadas como "próximo problema de segurança a ser enfrentado" encaixam-se direitinho na descrição daquilo que é objetivo de combate dos produtos sendo lançados? Caramba, quer dizer que toda nova ameaça pode ser combatida com uma caixinha?
Voltando ao artigo, acho que suas qualidades acabam aí. O autor não leva em conta que nosso objetivo não é segurança 100%, mas sim o quanto o negócio precisa para funcionar. Além disso, a abordagem do tipo "basta uma vulnerabilidade para o mundo cair" leva em conta, no mínimo, que as práticas de defesa em profundidade e compartimentalização não estão sendo seguidas. É um exagero.
Também entendo que há muita confusão entre a segurança do "home user" e a segurança da informação corporativa. Realmente, é necessário melhorar muito na área do usuário comum, pois manter um computador em casa seguro, para uma pessoa que não é especialista, ainda é uma tarefa muito ingrata. Mas é importante que desde já exista a consciência de que não estamos trabalhando com um eletrodoméstico comum, como uma geladeira ou uma televisão. Há comunicação em dois sentidos, e novas funcionalidades podem ser implementadas a todo o momento, de diversas fontes. Uma grande parte da responsabilidade de decidir qual funcionalidade queremos e quem a fornece é do usuário, não há como evitar isso. Se você quer dirigir seu carro na rua, deve ter consciência de que sua segurança não depende apenas das condições da via e dos mecanismos de segurança do seu veículo, mas também de decisões e perícia, sua e dos outros motoristas. É a mesma coisa com a Internet e com os computadores em geral.
Ainda morre mais gente no trânsito do que em guerras!! Não acho que estamos falhando tão terrivelmente na segurança da informação quanto na segurança dos automóveis.
Outra coisa. Os números, o aumento de prejuízos por fraudes, etc. Não posso afirmar com certeza pois não fui atrás desses números, mas aposto que no início da adoção do dinheiro em papel, ou do uso de cheques, as fraudes cresciam de forma agressiva. A medida que a tecnologia vai sendo dominada as formas de mantê-la segura vão evoluindo. Agora, se essa tecnologia evolui muito rapidamente não há espaço para a evolução das medidas de proteção. É natural. As medidas de segurança criadas há 10 anos atrás são pouco efetivas hoje, mas se aplicarmos o estágio atual de evolução no ambiente para o qual elas foram criadas, seriam quase infalíveis.
Vamos imaginar que a evolução dos armamentos tivesse ocorrido de uma forma muito mais acelerada do que realmente aconteceu. Teríamos lanças, em 6 meses espadas, em dois anos mosquetes e em 3 anos granadas. Se formos fazer um paralelo com a situação da segurança hoje, ainda estaríamos tentando evoluir os escudos e reclamando que eles não estão nos protegendo adequadamente das granadas.
E aí Augusto, você vai fazer que nem o cara e não vai dizer como resolver isso?
Primeiro, é necessário fazer as pessoas que são responsáveis pela segurança nas organizações conhecerem do assunto. Eles conhecem de produtos, não de segurança. Ainda acham que basta montar o lego de Firewall+IDS+IPS+Antivírus e tudo está resolvido. Educação mesmo, tornar os profissionais competentes. Isso pode ser feito com melhores treinamentos, certificações, normas, códigos de prática, etc.
Segundo, educação de usuários. O Ranum que me desculpe, mas acho que é mais do que necessário, a não ser que nossa intenção seja tirar flexibilidade e poder das mãos deles. Podemos trocar todos os carros por transporte coletivo e reduzir de forma drástica os acidentes de trânsito. Alguém acha que isso é possível? :-)
Terceiro, inteligência nos produtos. Ficar correndo atrás de assinatura de ataque, trojan e vírus, por favor! Isso é muito arcaico. A vantagem de maiores fraudes é que haverá mais investimentos em tecnologia de segurança para aproveitar o filão, trazendo mais dinheiro e cérebros para a pesquisa. Com isso devemos reduzir a distância entre a tecnologia usada e a segurança disponível.
Quarto, desmistificação da insegurança. Isso não é preto ou branco, mas o tom de cinza com o qual cada um, pessoa ou organização, consegue conviver. Quando você sai na rua há risco de acidente, assalto, etc. Esses riscos são, geralmente, cada vez maiores. Você desistiu de sair de casa por conta disso? Talvez tenha mudado os hábitos (medidas mitigantes), mas você aceita que há risco para poder continuar fazendo aquilo que precisa. Você vai ao banco e corre o risco de ser seguido por alguém que viu você sacando dinheiro. Você usa o Internet Banking e corre o risco de alguém se aproveitar disso. Nada muda. As pessoas só precisam ter consciência de que o problema existe em qualquer situação, seja ela "virtual" ou "física".
É isso.
