A Segunda das Quatro Grandes Tribos em SSI

Em um post anterior, invoquei a imagem de uma única grande feira que aglutinasse todo mundo que já vi trabalhando em segurança de sistemas de informação, dividindo-as em quatro grandes tribos: os que trabalham em segurança jurídica (a intersecção entre Informática e Direito), segurança contra omissões técnicas (mais ou menos o que se conhece como "os hackers", no imaginário popular), segurança contra indisponibilidade (o grupo mais rico e mais "corporativo", sobre o qual falei no post anterior) e o grupo mais diversificado deles, sobre o qual vou falar hoje: a turma de segurança contra acesso indevido.

A Tribo da Segurança contra Acesso Indevido

É uma tribo numerosa e diversa, talvez até a ponto de mercer uma divisão em subtribos. Nela, eu incluo:

  • Pessoal que trabalha com "segurança física": portas, fechaduras, cofres, sistemas de vigilância por imagens (câmeras), detetores de movimento, essas coisas. Seu firewall pode impedir que seu servidor seja acessível pela Internet, mas, pouco vai te ajudar se o ladrão arrombar sua porta e roubar fisicamente seu servidor.
  • Provedores de soluções de firewall e de contenção de tráfego em geral, tais como VLANs (redes locais virtuais), VPNs (redes virtuais privadas), etc.
  • Sistemas de nome+senha: o mais antigo, mais amplamente conhecido, usado e adotado dos sistemas de controle de acesso. É também o mais exaurido, vulnerável, subvertido, explorado e genericamente abusado de todos eles.
  • Quase tudo que envolve criptografia: a função da criptografia ou é impedir que as pessoas tomem conhecimento de dados sigilosos, ou impedir que elas os alterem sem ser detectados, ou os dois. Aqui se encaixam soluções de criptografia de disco, criptografia de emails ou arquivos em geral, tokens de senhas descartáveis.
  • Soluções de Anti-Vírus: de longe, a maior preocupação de segurança do "usuário médio", e um dos tópicos mais alardeados, menos bem entendidos e seguramente a manobra deviacionista mais bem sucedida e o exercício em futilidade mais fascinante da história da informática.
  • Sistemas de identificação: é uma ligeira forçada de barra, porque, por si só, limitam-se apenas a "identificar". Mas quase sempre são usados como insumo para decisões de controle de acesso, o que justifica sua inclusão nessa categoria. Aqui encontramos tags e leitores de RFID e até coisas mais mundanas, tais como códigos de barras. Há todo um universo relativo a sistemas de identificação biométrica, tais como leitores de impressões digitais, leitores de íris, leitores de geometria da mão, só para citar os mais comuns.
  • Filtros de spam e de conteúdo: spam é a grande praga que está tornando o correio eletrônico quase inútil e os filtros de spam tentam, com sucesso quase tão discutível quanto os anti-vírus, amenizar o problema. Já os filtros de conteúdo costumam ser usados para evitar visitação de sites "impróprios" (pornografia, tipicamente) nos ambientes de trabalho.
  • Classificação de Documentos: aquele lance de rotular os documentos em grupos de circulação, tradicionalmente chamados de "públicos", "restritos", "confidenciais", "secretos" e "ultra-secretos".
  • Sistemas de DRM (sigle de "Gerenciamento de Direitos Digitais", em inglês): um eufemismo semi-disfarçado para "proteção anti-pirataria".

Mesmo longa assim, essa lista de exemplos não chega nem perto de ser exaustiva. Mas, se você pensar em algum item e estiver em dúvida se deve encaixá-la na categoria de "segurança contra acesso indevido", eis aqui o critério geral que eu uso: verifique se o objetivo da técnica é prover uma indisponibilidade seletiva, permitindo acesso a uns, mas não a outros. Essa é, ao meu ver, a característica comum de tudo que tem a ver com prevenção contra acesso indevido.

Essa é talvez a mais glamorosa das tribos – todo bom filme de espião tem algum documento "classificado" – "top-secret", tipicamente, a ponto do termo ter virado tão cliché que se tornou título de uma comédia satírica. Todo filme sobre algum grande golpe envolve algum cofre sendo arrombado, invadido ou levado inteiramente. Se um gestor de TI quer impressionar os visitantes do seu novo datacenter, colocar um leitor biométrico de íris é quase obrigatório.

De fato, existe um viés fortíssimo nos praticantes de informática: quando falam em "segurança", quase sempre estão falando principalmente (e algumas vezes, exclusivamente) sobre segurança contra acesso indevido. É muito, muito comum, entre os membros dessa tribo, tentar colocar em segundo plano (ou até ignorar por completo) as questões sobre segurança contra indisponibilidade. E quando tentamos falar sobre segurança contra omissões técnicas, a resposta costuma ser um "ah, cara, não faz pergunta de prova!" É essa ilusão auto-infligida de que eles podem se isolar que me motivou a classificá-los como "tribo".

É interessante contrastar isso com outras comunidades técnicas. Quando estou batendo papo com alguns amigos pilotos de avião, percebo claramente que "segurança" pra eles significa "prevenção de panes e acidentes." Idem quando estou falando com algum engenheiro de uma fábrica – eles entendem "segurança" como uma contração de "segurança ocupacional", que, a grosso modo, tem a ver essencialmente com evitar que os funcionários se firam ou morram ao operar o maquinário. Se você já visitou alguma fábrica, fatalmente deve ter passado por aquele clássico cartaz dizendo "não temos um acidente aqui há tantos dias". Os "seguranças", aqueles caras de aparência truculenta vestidos com o indefectível colete, portando intercomunicadores por rádio e, às vezes, armas, quase nunca aparecem na discussão.

Algumas soluções que essa tribo oferece estão entre as mais efetivas, e ao mesmo tempo menos apreciadas. Exemplo: talvez o sistema de segurança mais eficiente de todos os tempos tenha sido o firewall, que tipicamente bloqueia o acesso direto ao seu computador de uma forma parecida com que um PABX impede que alguém ligue diretamente para o seu ramal. Hoje em dia, quase todo mundo tem um firewall em casa sem nem percebê-lo – ele fica embutido no software do ponto de acesso WiFi que muita gente compra por outra razão completamente diferente: para poder compartilhar sua linha de banda larga entre várias pessoas. A eficácia dos firewalls essencialmente mudou a natureza do jogo entre atacantes e vítimas, quase relegando os ataques clássicos de infra-estrutura à condição de relíquia histórica e colocando maior ênfase em vírus e sites impostores.

Aqui vale fazer um parêntese: é engraçado lembrar que, nos anos 80 e 90, os grandes gurus da área de redes de computadores eram meio contra a disseminação dos firewalls, pois eles violavam a filosofia que "todo mundo pode falar com todo mundo" – exatamente o conceito que viabilizou a Internet. Por isso, eles tinham lá uma certa razão em serem contra. E já daquela época diziam uma coisa certíssima: se os desenvolvedores escrevessem software intrinsecamente resistente a ataques, que não tivessem tantas vulnerabilidades, não haveria necessidade de firewalls. Acontece que isso era pedir um nível de capricho que os desenvolvedores daquela época não tinham – e que os de hoje ainda não têm – e, por isso, os firewalls, anti-vírus e várias tantas outras soluções tipo "vamos tapar o sol com a peneira ao invés de atacar o mal pela raiz", vieram pra ficar. Quem há uns anos atrás andou ressucitando esse argumento foi o celebrado Bruce Schneier, em sua coluna na revista Wired.

Outra característica comum a essa tribo é a equação econômica bem menos clara. Se no caso da segurança contra indisponibilidade era fácil calcular as perdas e ver se o custo das contramedidas compensava, isso costuma ser bem menos claro no que tange aos mecanismos de proteção contra acesso indevido. Como calcular o "benefício" ou "retorno financeiro", digamos, do uso de senhas? A primeira Wiki da história, o site do Portland Pattern Repository, até hoje não usa nome e senha e qualquer pessoa pode editar o conteúdo anonimamente. Idem para a Wikipedia, o site-wiki mais famoso do mundo.

Quando eu cito essas coisas, é comum retrucarem: "sim, mas, um site como a Wikipedia pode viver sem nome+senha, ao passo que o de um banco, não". Pois eu digo que o site de um banco via Internet não precisa necessariamente de nome e senha; o que ele precisa é de alguma forma de saber se sou eu mesmo que autoriza aqueles débitos (não lembro de meu banco jamais ter pedido senha para creditar algo na minha conta) ou consultas; os nome+senhas são uma maneira, dentre várias possíveis, de aproximar esse resultado. Existem muitas outras formas de fazer, algumas já em voga, tais como débitos automáticos, senhas descartáveis, etc.

Mas meu objetivo aqui não é reclamar do nome e senha; eu queria apenas mostrar que calcular a equação financeira dos mecanismos de proteção é algo bem mais complexo (talvez quanto surpreendentemente mais complexo) do que pode parecer à primeira vista. Há muitas oportunidades para erros, estimativas equivocadas e omissões grosseiras.

Exemplo: imagine que calculamos o "benefício" das nome+senhas, no sentido que chegamos a um número crível sobre o quanto elas nos evitam perder. Aí poderíamos entrar: ok, mas quanto os nome+senha nos impedem de ganhar? Pergunte a qualquer caixa de banco e eles contarão que atendem centenas de pessoas que só transacionam na boca do caixa e preenche cheques até pra sacar, porque não se dão bem com senhas e não confiam muito nos caixas eletrônicos. Será que não atingiríamos mais público se viéssemos com algum outro mecanismo? E quanto custaria migrar de nome+senha para esse tal outro mecanismo?

Se a coisa já parece complexa, dá pra adicionar mais complexidade ainda: por exemplo, as pessoas têm uma mania feia de escrever as senhas, revelá-las inadvertidamente, compartilhá-las com parentes, amigos ou empregados, deixarem-se ser filmadas ao usá-las, ou acreditar em emails ou telefonemas que peçam a senha. Quanto custam essas fraudes? No caso dos bancos, parece custar tanto que eles já estão buscando alternativas, tais como os tokens geradores de senhas descartáveis.

Mas essa complexidade é perfeitamente tratável; existem, sim, técnicas e métodos para fazer esse tipo de análise e que permitem se chegar a um excelente balanceamento entre segurança contra acesso indevido e os demais tipos de segurança, levando em conta custos, prazos, etc. Infelizmente, essa abordagem metódica e científica é pouco praticada; pelo contrário, essa é a tribo das análises míopes, das afirmações mal fundamentadas, das conclusões precipitadas e, às vezes, das tentativas desastradas ou patentemente incompetentes, sem falar nas abordagens tipo "tapar o sol com a peneira".

Por outro lado, seria uma miopia não menos imperdoável esquecer os casos de sucesso trazidos pelos membros dessa tribo. Já falei na eficiência dos firewalls, mas haveria tão mais a mencionar – as soluções de cifragem de disco, tais como o TrueCrypt e de mensagens, como o OpenPGP/GPG; as soluções de cifragem do canal de comunicação, tal como o SSH, SSL/TLS e VPNs; esquemas de anonimização como o tor; e tantos outros, numerosos demais pra mencionar aqui, mas que pretendo abordar em futuros artigos.

Parte anterior

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Enildo | 2010-09-29 13:07:39 | permalink | topo

Grande Kiko

Na frase "os grandes gurus da área de redes de computadores eram meio contra a disseminação dos firewalls..." podemos dizer que o presente/hoje é que dita as regras de segurança de TI?, o futuro quando chegar, vamos ver o que podemos fazer. Acredito que existam muitos metodos/procedimentos eficientes de segurança de TI que nem sabemos que existe, que estão guardados na gaveta. Aproveitando, cadê os virus da moda, os que eram noticiados com grande pompa, devemos nos preocupar com o que vem por ai?

abs