World "Wild" Web IV

Iniciativas acadêmicas

Uma pesquisa bibliográfica revela que existem muito poucas iniciativas do uso da Teoria dos Jogos como ferramenta na segurança da informação, e quase nada no novo cenário que se transformou a Internet. As iniciativas revelam-se muito localizadas, onde o foco tem sido colimado em partes específicas do problema/sistema, ou mesmo na solução de situações completamente artificiais.

Também aqui, e sintomaticamente, a academia tem preferido não efetuar uma abordagem sistêmica, indicando fortemente que cada pesquisador atua trazendo a Teoria dos Jogos para a sua área de domínio (usualmente uma pequena parte do problema de segurança do ciberespaço), em detrimento do comportamento de outras partes do sistema e de suas interfaces.

Comportamentos típicos de atacantes e defensores, e a princípio permitidos pela teoria dos jogos, são simplesmente ignorados quando das modelagens conhecidas. Tais assertivas, apesar de fortes, baseiam-se em trabalhos academicamente relevantes. Especificamente, pode ser citado o trabalho de [Allazzawe, Nawaz and Murad, 2006] restrito a um subdomínio da detecção de intrusão, onde os autores afirmam que um dos problemas do modelo proposto é a suposta “irracionalidade” do atacante, ao comportar-se de maneira não esperada, a ponto de acabar por iludir/ludibriar as regras de negócio implementadas no detector de intrusão.

Ora, tal “irracionalidade” do atacante, a despeito da afirmação do trabalho, é lugar comum num ataque e pode-se creditar a ela o sucesso do atacante em muitos casos bem documentados. Não é razoável supor, portanto, que o atacante seja “bem comportado” e “previsível”, quando na prática ele é um especialista no logro e na fraude e, como ameaça, tem interesses no objetivo (tangíveis ou não), meios, bem como a iniciativa. O elemento surpresa sempre foi parte do arsenal de qualquer atacante bem sucedido numa guerra convencional, e não há um bom motivo conhecido para não continuar a ser numa guerra cibernética.

Comportamento previsível é prática condenada na arte da guerra, e rechaçada reiteradamente por grandes comandantes como Sun Tzu, Aníbal, Frederico o Grande, Bonaparte, Doenitz e Rommel. Ponto de vista idêntico tem a doutrina militar [Clausewitz, 1976][Keegan, 1994], e não se apresenta razoável supor que no ciberespaço tal doutrina, simplesmente, caia por terra simplesmente por inaplicável.

A que fatores, por exemplo, se atribuiria o "sucesso" do 11 de setembro de 2001 ? Num pequeno exercício mental, tentemos agora retirar da equação o elemento surpresa, e acrescentemos algumas regras bem definidas (impostas pelos defensores) a serem seguidas obrigatória e diligentemente pelos atacantes (submeterem-se passivamente às revistas nos aeroportos, etc...). Seriam, os resultados, os mesmos ?

Um atacante “racional”, ao contrário, não se comporta como se estivesse num laboratório, agindo conforme esperado/previsto pelo condutor de um experimento, a ponto de ser declarado de comportamento “não-racional”, simplesmente por não agir de acordo com os limites, usualmente artificiais, impostos ao experimento pelo pesquisador. É de se supor, portanto, que o trabalho aparenta rotular como “irracionalidade” apenas um comportamento não esperado/previsto.

Ainda sobre o trabalho de [Allazzawe, Nawaz and Murad, 2006], convém lembrar que uma rede real não possui apenas detectores de intrusão. Todos os recursos e meios, diretos e indiretos, estão ao alcance do atacante, sejam eles previstos ou não, pelo defensor. O esperado, num ataque real, é que comportamento previsível ocorra por parte dos defensores (e não dos atacantes), uma vez que aquele é quem tem regras, políticas e limites a obedecer.

Mantidas as proporções e adequando-se ao caso específico, o mesmo se pode afirmar do trabalho de [ZhengYou and Shiyong, 2003], que também supõe comportamento previsível e muito pouca liberdade para o atacante.

Numa abordagem de aparência inicialmente mais crível, [Lye and Wing, 2002] modelam os comportamentos do atacante e do defensor como estocásticos (i.e. regido pela imprevisibilidade). No entanto, logo o trabalho se afasta rapidamente da realidade do ciberespaço (da administração de sistemas e de atacantes reais), uma vez que as variáveis de contorno do modelo proposto limitam as ações dos defensores às, paradoxalmente, previsíveis (uma vez que seriam somente as tipicamente recomendadas pelos manuais dos fabricantes).

Adicionalmente, o modelo aparenta somente ser aplicável para ataques clássicos e históricos (nenhum deles observado nos casos recentes de ataques cibernéticos citados), e portanto bem exaustivamente bem conhecidos, porém atualmente inviáveis. Pergunta-se: como lutar uma guerra futura usando as mesmas armas de uma guerra do passado ? Por fim, o modelo limita a visão, o raio de ação, os graus de liberdade e o ferramental disponível para o atacante, a ponto de tornar suas ações possíveis, para todos os efeitos práticos, previsíveis.

A ameaça (sempre) joga com as brancas

Não é incomum a imprensa noticiar que países beligerantes, ainda que signatários das Convenções de Genebra (tratamento de prisioneiros de guerra, uso de armas químicas etc...) tem violado deliberadamente tais acordos, ainda vigentes. É irreal se imaginar que, mesmo os governos, sempre seguem suas próprias regras. Atacantes reais, assim como os governos realistas, portanto, seguem apenas seus interesses guiados pelas circunstâncias, e não regras. No ardor da refrega não aparenta haver espaço para conceitos como ética, regras, leis ou tratados.

Na prática nota-se que regras só interessam a quem tem algo a perder, caso estas não existam. É a tentativa de tolher a liberdade do oponente, impondo-lhe uma guerra previsível, na qual se o defensor possui mais recursos, no final este tem muito mais chance de vencer. Que chance teria a Al Qaeda, por exemplo, caso resolvesse lutar contra os EUA numa guerra convencional ? Pelo que se sabe eles não possuem unidades organizadas (infantaria, artilharia, blindados, marinha, força aérea etc), daí a indignação dos atacados diante de uma situação a qual não estavam preparados, por não a ensaiaram previamente. Não é a toa que existem correntes de pensamento que chegam a defender o ponto de vista que a lei existe não para coagir os criminosos, mas sim para fazer retroceder os homens de bem. A premissa é simples: estes, e não aqueles, é que são tementes das consequências.

Imaginem um confronto convencional, simétrico, entre dois oponentes. Na iminência de um massacre evidente, o que se espera é que um dos lados acabe por se render. O lado com mais recursos se impõe, mantém-se o status quo, e este é o fim da história. Agora comparem com o caso de um homem-bomba ou de um kamikaze: como o coagir a retroceder num atentado/ataque, quando morrer é parte integrante do seu plano ? Uma vez que o modelo do defensor pressupõe o temor do atacante diante de consequencias, cai por terra o seu modelo e o status quo é abalado, o que definitivamente não interessa ao defensor.

Assim, o que se pode esperar de um atacante cibernético, anônimo, motivado, capaz, a milhares de quilômetros da vítima (sem risco físico imediato), e que nunca assinou acordo com absolutamente ninguém ? Seguiria ele alguma regra ?

Aos defensores é que cabem algumas restrições, grosso modo, equivalentes a permanecerem como um verdadeiro alvo fixo, e sob constante assédio. Senão vejamos:

- Uso de infra-estrutura (rede substrato e protocolos) reconhecida historicamente como insegura. Idem para os sistemas de prateleira em produção (Sistemas Operacionais e softwares servidores, por exemplo);

- Alvo (propositamente) roteável. Isso implica que o alvo sempre estará na alça de mira do atacante, ou também não o estaria para os usuários legítimos dos serviços, o que está simplesmente fora de cogitação;

- Impossibilidade de se estabelecer uma defesa reconhecidamente eficaz contra ataques desconhecidos. Na prática isso significa uma previsão de tempo instável, para qualquer data no futuro;

- Incerteza inerente, quanto aos exatos níveis de segurança, de quaisquer que sejam os sistemas em uso;

- O fato da rede, sua tecnologia, protocolos e seus serviços, necessariamente (e por muitas razões), serem obra coletiva, descentralizada, por milhares de autores, o que requer regras públicas e comuns. Isso torna bem mais exequível o trabalho de inteligência dos atacantes. Aos defensores, aparentemente, resta pouco mais que especulações, poucas informações e oportunidades, e as sempre frágeis esperanças que os atacantes sejam tanto intelectualmente, quanto criativamente, limitados. A história demonstra à exaustão, no entanto, não ser prudente vaticinar sobre eventuais limites para as motivações, intelecto e criatividade humana;

- Um claro e forte viés tecnológico, para as estratégias e instrumentos de defesa. Os defensores, na grande maioria dos casos, são verdadeiros reféns das ferramentas que adquirem, depositando grande confiança em sua eficácia. Por outro lado, absolutamente todas as possibilidades, incluindo não tecnológicas (engenharia social, por exemplo), estão sempre abertas aos atacantes;

- Não bastasse o quadro acima, tão sombrio quanto real, aparentemente os modelos também fazem muito pouco caso do fato de que a ameaça sempre joga com as brancas. Ou seja, é ela que detém tanto a iniciativa, quanto decide pelos meios. A médio/longo prazo, este aparenta ser um filme que já assistimos algumas vezes, e sempre morremos no final.

Enfim, as tentativas citadas, apesar de honestas, são claramente pontuais, limitadas e artificiais. Seria, então, a Teoria dos Jogos inútil para a Cyberguerra, ou assim tem sido apenas por mal aplicada ? O que se sabe até o momento é que várias das características da ciberguerra e do ciberespaço reais não são levados em consideração e, surpreendentemente, questões doutrinárias importantes não se fazem presentes nos modelos conhecidos. Uma vez que o elemento surpresa, a imprevisibilidade, as possibilidades da Internet real (mesmo já conhecidas), a absoluta e onipresente falta de regras para o atacante real e as questões doutrinárias em segurança da informação não estão bem representadas nos estudos e modelos conhecidos, aparenta existir um amplo espaço de trabalho neste campo.

(continua no próximo post)

Partes anteriores

Próxima parte

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.