MENU

Escrito por • 14/06/2011

rindo da sua segurança…

…desde 2011.

image

na "listagem" acima, que é um relatório a invasão de bethesda softworks e zeniMax media, está o lema de LulzSec, a galera que parece estar por trás de incidentes na sony, nintendo, PBS, NHS.uk, senado americano, alguns bancos, sites pornográficos… ou seja, uma moçada resolveu provar que os sites, todos os sites, são ou estão suficientemente inseguros para serem invadidos de várias formas.

atacadas, as instituições acima e muitas mais ordenaram uma revisão, em maior ou menor grau, de seus procedimentos de segurança. em alguns casos, como no NHS inglês, isso passa por métodos, processo e cultura: LulzSec descobriu senhas de administradores de sistemas, lá, que eram incrivelmente simples de "quebrar". no senado americano, a ordem da casa parece ser revisar a infraestrutura  e quase que negar a invasão. seja onde for, o cenário parece o mesmo: hackers competentes, resolvidos a expor informação que deveria ser mantida longe dos olhos de terceiros, pode vazar para a rede.

no caso das senhas dos sites pornográficos, as redes sociais de alguns dos usuários acabaram sabendo dos hábitos de seus conhecidos; LulzSec "convidou" seus seguidores no twitter a entrar nas contas publicadas e revelar os hábitos de seus donos. daí o slogan do grupo; "sua" segurança, no caso, é a de todo mundo, instituições e pessoas. todas.

e por que as coisas se dão deste jeito? será que poderia ser mais seguro? muito mais seguro? especialistas em segurança não estão achando ruim o atual surto de atividade de LulzSec e de outros grupos, como Anonymous. para eles, os hackers estão expondo as entranhas mal resolvidas de alguns dos mais importantes sistemas de informação do planeta.

como diz patrick gray, depois de uma década tentando convencer companhias e seus dirigentes sobre a necessidade urgente de políticas, estratégias, métodos, processos, ferramentas e competências de segurança…

…maybe, just maybe, using insecure computers to hold your secrets, conduct your commerce and run your infrastructure is a shitty idea.

…porque usar infraestrutura insegura para guardar segredos, rodar seu comércio eletrônico e sua infraestrutura é uma ideia idiota. mas

No one who mattered listened. Executives think it’s FUD. They honestly think that if they keep paying their annual AV subscriptions they’ll be shielded by Mr. Norton’s magic cloak. Security types like LulzSec because they’re proving what a mess we’re in.

…ninguém ouviu. e LulzSec está mostrando que eles, os tomadores de decisão, estavam errados. i told you so.

image

mas… dito isto, fazer o que? investir em segurança. começando por escrever o software que está por trás dos serviços de informação que estão na web de forma mais segura. por incrível que pareça, esta não tem sido uma preocupação central da maioria das instituições até agora. até porque a educação dos engenheiros de software ainda trata o problema de segurança forma periférica, a ponto de, mesmo em fábricas de software que têm uma boa reputação, é raro encontrar um sistema destinado à web que não seja invadido por hackers contratados especialmente para este fim, logo nas primeiras tentativas.

por que isso acontece? pra começar, é mais difícil e mais caro escrever software mais seguro. só no brasil, estima-se que haja uma demanda não atendida por 70.000 programadores e engenheiros de software. logo, não há gente para fazer todo o novo software que se torna necessário a cada dia e manter e evoluir o que já está sendo usado, quanto mais para fazer isso de forma segura. a demanda por mais software, mais funcionalidade, supera em muito a capacidade nacional e mundial de fazer software. o resultado é a baixa performance, as interfaces abaixo da crítica, os problemas de segurança de sistemas e de informação e por aí vai.

a solução?

bem… primeiro, precisamos de mais e melhores engenheiros de software, e isso está diretamente ligado a uma melhoria significativa na qualidade da sua formação. talvez esteja na hora de formar, na graduação, engenheiros de software e bons programadores instrumentados com métodos, processos, ambientes e ferramentas… e não aprendizes que nunca passaram perto de um sistema que pareça minimamente real. na maioria dos cursos, o conhecimento e práticas de engenharia de software é efeito colateral de disciplinas que não são de engenharia de software e de sistemas de informação, mas de cursos de ciência da computação. vistos de longe, os três parecem a mesma coisa… mas não são. se não entendermos isso, nada vai mudar.

segundo, precisamos escrever menos software: isso não quer dizer que teremos menos funcionalidades ou sistemas. ocorre que se escreve muito software repetido hoje, mas muitas vezes repetido mesmo. para se ter uma ideia, há bancos que têm mais de uma dúzia de operações diferentes para retirar dinheiro de uma conta, seja pela web, agência, caixa automático, TED… e todas têm que ser mantidas [porque as regras do BC mudam] e evoluir [porque as demandas mudam]. resultado? operações incoerentes, aumento de custo de manutenção e evolução e uma dificuldade muito maior de se garantir a segurança de tantas operações aparentemente diferentes para se fazer a mesma coisa.

para se escrever menos software, ao mesmo tempo mantendo a taxa de inovação sustentada por software na sociedade e economia, seria preciso reusar software e/ou serviços de informação. mas ocorre que reuso é difícil e seu custo de partida é mais caro, pois o software ou o serviço têm que ser desenhados e implementados ao redor de correção, performance, usabilidade e segurança, testada, verificada e validada. senão o nível de reuso não irá compensar o custo adicional de se fazer um software inicial mais complexo, sofisticado e caro. mas mesmo os bancos, do alto de suas margens de lucro, estão começando a pensar seriamente no assunto, como você pode ver na página 13 deste relatório.

em suma: para se ter mais e melhor segurança de informação, é preciso ter sistemas e infraestruturas mais seguras. e isso depende de mais e melhor engenharia, aplicação de princípios já conhecidos por engenheiros melhor educados e do desenvolvimento de novos e melhores princípios, métodos e sistemas.

capturar hackers pela invasão de sistemas intrinsecamente inseguros é tapar o sol com uma peneira. pior: há constelações inteiras de sistemas de informação e as peneiras são muito poucas. algo me diz que grupos como LulzSec vão continuar, por muito tempo, publicando informação "secreta", que está ali, num sistema perto de você, só esperando para ser libertada…

image

Artigos relacionados

0 Responses to rindo da sua segurança…

  1. Ótimo post.
    Concordo que fatores como a qualidade de ensino nos cursos de informática e a vivência em sistemas mais reais são necessários. Mas esse é um assunto complexo e delicado. Investir pesado em formar bons engenheiros de software não é toda a solução, pois a diferênça entre o profissional que cria a defesa e o que ataca está em outros fatores como ética, reconhecimento e por que não, oportunidades no mercado.

  2. Ótimo post.
    Concordo que fatores como a qualidade de ensino nos cursos de informática e a vivência em sistemas mais reais são necessários. Mas esse é um assunto complexo e delicado. Investir pesado em formar bons engenheiros de software não é toda a solução, pois a diferênça entre o profissional que cria a defesa e o que ataca está em outros fatores como ética, reconhecimento e por que não, oportunidades no mercado.

  3. Paulo ADEODATO disse:

    Sílvio,

    Pra colocar mais lenha na fogueira…

    Um terceiro aspecto que quase nunca é explorado pelos sistemas automáticos de defesa é a própria natureza humana dos usuários. Se por um lado, os humanos são considerados parte “frágil”, por outro eles deixam sua assinatura em tudo que fazem e têm um ritmo bem mais lento do que hackers, em geral, estão dispostos a esperar por cada tentativa de invasão.

    Sistemas que, adicionalmente, capturam dados e informações das interações humanas e transformam isso em perfis de comportamento dos usuários tendem a ser menos vulneráveis do que aqueles puramente baseados em tecnologia.

    A palavra anti-spam exigida para eu poder postar esta mensagem, por exemplo, levaria algumas frações de segundo para ser burlada. Porém, a velocidade do preenchimento do campo e o momento em que ele foi preenchido a partir da exibição da página são informações extremamente úteis para descobrir se o acesso é automático ou humano.

    Um abraço,
    Paulo

  4. Paulo ADEODATO disse:

    Sílvio,

    Pra colocar mais lenha na fogueira…

    Um terceiro aspecto que quase nunca é explorado pelos sistemas automáticos de defesa é a própria natureza humana dos usuários. Se por um lado, os humanos são considerados parte “frágil”, por outro eles deixam sua assinatura em tudo que fazem e têm um ritmo bem mais lento do que hackers, em geral, estão dispostos a esperar por cada tentativa de invasão.

    Sistemas que, adicionalmente, capturam dados e informações das interações humanas e transformam isso em perfis de comportamento dos usuários tendem a ser menos vulneráveis do que aqueles puramente baseados em tecnologia.

    A palavra anti-spam exigida para eu poder postar esta mensagem, por exemplo, levaria algumas frações de segundo para ser burlada. Porém, a velocidade do preenchimento do campo e o momento em que ele foi preenchido a partir da exibição da página são informações extremamente úteis para descobrir se o acesso é automático ou humano.

    Um abraço,
    Paulo

  5. Adriano Avelar disse:

    Essa deficiencia vista em curso de tecnologias ocorrem em todos os cursos de graduação do país. Existe uma lacuna enorme entre a universidade e o mercado. E isso é incentivado porque a maioria dos professores de universidade são pesquisadores que influenciam seus alunos a pesquisar e não a implementar. Os professores de universidade não tem visão de mercado, porque o mercado não vai até a universidade nem a universidade até o mercado. Só para dar um exemplo: Eu vou precisar fazer um trabalho de estatística na pós-graduação esse semestre e a minha professora exigiu que o trabalho fosse na “linguagem R” que é uma linguagem feia, e pouco produtiva utilizada por estatísticos. Viu como a própria universidade engessa o ensino!!! A minha produtividade com outras ferramentas é totalmente ignorada,vou precisar regredir mais uma vez para atender a exigencia da universidade. Mas a culpa não é da professora é do sistema que sempre foi assim.
    Alternativamente à “Investir pesado em formar bons engenheiros de software “…. eu diria investir na mudança do modelo utilizado nas universidades para aproximar os alunos do mercado…
    Parabéns pela matéria Silvio Meira.

  6. Adriano Avelar disse:

    Essa deficiencia vista em curso de tecnologias ocorrem em todos os cursos de graduação do país. Existe uma lacuna enorme entre a universidade e o mercado. E isso é incentivado porque a maioria dos professores de universidade são pesquisadores que influenciam seus alunos a pesquisar e não a implementar. Os professores de universidade não tem visão de mercado, porque o mercado não vai até a universidade nem a universidade até o mercado. Só para dar um exemplo: Eu vou precisar fazer um trabalho de estatística na pós-graduação esse semestre e a minha professora exigiu que o trabalho fosse na “linguagem R” que é uma linguagem feia, e pouco produtiva utilizada por estatísticos. Viu como a própria universidade engessa o ensino!!! A minha produtividade com outras ferramentas é totalmente ignorada,vou precisar regredir mais uma vez para atender a exigencia da universidade. Mas a culpa não é da professora é do sistema que sempre foi assim.
    Alternativamente à “Investir pesado em formar bons engenheiros de software “…. eu diria investir na mudança do modelo utilizado nas universidades para aproximar os alunos do mercado…
    Parabéns pela matéria Silvio Meira.

  7. Adolfo Neto disse:

    silvio,

    >> precisamos escrever menos software: isso não quer dizer que teremos menos funcionalidades ou sistemas.

    discordo em parte. entendi seu argumento sobre reusabilidade (e concordo).

    mas temos que ter menos funcionalidades **também**, em alguns (talvez em **muitos**) casos. tem muito software por aí com **excesso de funcionalidades**, funcionalidades em sua maioria quase nunca utilizadas (o sistema academico da universidade em que trabalho em um exemplo). os “clientes” pedem e os desenvolvedores fazem. mas com que qualidade? e quem mantem?

    mais gente deveria ler este livro:

    Caindo na Real
    de David H. Hanson e Jason Fried
    http://gettingreal.37signals.com/GR_por.php

    leia por exemplo o cap. 5:
    “Faça meio produto e não um produto meia-boca”

    tem muito produto meia-boca cheio de funcionalidades por aí.

  8. Adolfo Neto disse:

    silvio,

    >> precisamos escrever menos software: isso não quer dizer que teremos menos funcionalidades ou sistemas.

    discordo em parte. entendi seu argumento sobre reusabilidade (e concordo).

    mas temos que ter menos funcionalidades **também**, em alguns (talvez em **muitos**) casos. tem muito software por aí com **excesso de funcionalidades**, funcionalidades em sua maioria quase nunca utilizadas (o sistema academico da universidade em que trabalho em um exemplo). os “clientes” pedem e os desenvolvedores fazem. mas com que qualidade? e quem mantem?

    mais gente deveria ler este livro:

    Caindo na Real
    de David H. Hanson e Jason Fried
    http://gettingreal.37signals.com/GR_por.php

    leia por exemplo o cap. 5:
    “Faça meio produto e não um produto meia-boca”

    tem muito produto meia-boca cheio de funcionalidades por aí.

  9. Usar um conjunto de regras e procedimentos para tratar o problema da segurança é estar sempre um paço atrás do problema. A natureza dos hackers é explorar as regras e encontrar algo que não foi pensado. Como as regras em tecnologia mudam com muito frequência, se você não pensa sobre as mudanças e apenas segue um roteiro, pode se preparar que mais cedo ou mais tarde seu script estará defasado. Claro, você pode (e deve) correr atrás das novidades para atualizar seu roteiro, mas o que ocorre se você for a “novidade”? Se o sistema a revelar essa nova falha for o da sua empresa?
    Se os desenvolvedores aprenderem a pensar de uma forma mais ampla, olhando também o aspecto da segurança, teremos mentes pensantes combatendo mentes pensantes, e não apenas “criadores de cenários” preparando o ambiente para uma novidade. Muitos sistemas seguem à risca as regras de segurança mais novas, mas deixam falhas bobas na lógica de algum mecanismo criado escapar apenas porque não pararam para pensar. É como usar um captcha sem entender de fato a dificuldade imposta por ele, apenas achando que sua presença é suficiente.
    É preciso pensar pela óptica da segurança quando se está criando e, infelizmente, há muito somos ensinados a não pensar, inclusive quando estamos aprendendo sobre segurança. Aqueles que continuam pensando mostram as novidades, não esperam por elas.

  10. Usar um conjunto de regras e procedimentos para tratar o problema da segurança é estar sempre um paço atrás do problema. A natureza dos hackers é explorar as regras e encontrar algo que não foi pensado. Como as regras em tecnologia mudam com muito frequência, se você não pensa sobre as mudanças e apenas segue um roteiro, pode se preparar que mais cedo ou mais tarde seu script estará defasado. Claro, você pode (e deve) correr atrás das novidades para atualizar seu roteiro, mas o que ocorre se você for a “novidade”? Se o sistema a revelar essa nova falha for o da sua empresa?
    Se os desenvolvedores aprenderem a pensar de uma forma mais ampla, olhando também o aspecto da segurança, teremos mentes pensantes combatendo mentes pensantes, e não apenas “criadores de cenários” preparando o ambiente para uma novidade. Muitos sistemas seguem à risca as regras de segurança mais novas, mas deixam falhas bobas na lógica de algum mecanismo criado escapar apenas porque não pararam para pensar. É como usar um captcha sem entender de fato a dificuldade imposta por ele, apenas achando que sua presença é suficiente.
    É preciso pensar pela óptica da segurança quando se está criando e, infelizmente, há muito somos ensinados a não pensar, inclusive quando estamos aprendendo sobre segurança. Aqueles que continuam pensando mostram as novidades, não esperam por elas.

  11. thiago disse:

    O problema é que todo mundo quer programar mas ninguém nunca dá a minima para a codificação segura… é mais fácil “rebocar” o código do que refazer da maneira correta e segura. Enquanto houver esse tipo de pensamento, essas merdas serão jogadas no ventilador. (não é d. sony?)

  12. thiago disse:

    O problema é que todo mundo quer programar mas ninguém nunca dá a minima para a codificação segura… é mais fácil “rebocar” o código do que refazer da maneira correta e segura. Enquanto houver esse tipo de pensamento, essas merdas serão jogadas no ventilador. (não é d. sony?)

  13. Romano disse:

    Silvio,

    seu post sintetiza os problemas que existem, mas que boa parte das organizações, (sejam da área de produtos, serviços ou ambos) ignoram: processos.

    É preciso considerar a área de software como engenharia de sistemas. Interoperabilidade constitui os sistemas modernos. Atingir este objetivo pressupõe tudo o que foi citado no seu “post”, mas que por diversos motivos (custos, receio, desconhecimento, etc) os executivos preferem o “time to market” à qualidade dos produtos e serviços disponibilizados. Aparentemente um conflito, processos e engenharia de sistemas devem atingir estes objetivos (como o CMMI por exemplo). Sem esta mudança de cultura nas organizações, continuaremos vendo a degradação de serviços.

    Tudo óbvio demais? E é mesmo. Talvez com estas ameaças à sobrevivência dos negócios as coisas mudem.

  14. Romano disse:

    Silvio,

    seu post sintetiza os problemas que existem, mas que boa parte das organizações, (sejam da área de produtos, serviços ou ambos) ignoram: processos.

    É preciso considerar a área de software como engenharia de sistemas. Interoperabilidade constitui os sistemas modernos. Atingir este objetivo pressupõe tudo o que foi citado no seu “post”, mas que por diversos motivos (custos, receio, desconhecimento, etc) os executivos preferem o “time to market” à qualidade dos produtos e serviços disponibilizados. Aparentemente um conflito, processos e engenharia de sistemas devem atingir estes objetivos (como o CMMI por exemplo). Sem esta mudança de cultura nas organizações, continuaremos vendo a degradação de serviços.

    Tudo óbvio demais? E é mesmo. Talvez com estas ameaças à sobrevivência dos negócios as coisas mudem.

  15. Romano disse:

    Meeting the cybersecurity challenge

    Eliminating threats is impossible, so protecting against
    them without disrupting business innovation and growth is
    a top management issue.

    James Kaplan, Shantnu Sharma, and Allen Weinberg

    http://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_challenge_2821

  16. Romano disse:

    Meeting the cybersecurity challenge

    Eliminating threats is impossible, so protecting against
    them without disrupting business innovation and growth is
    a top management issue.

    James Kaplan, Shantnu Sharma, and Allen Weinberg

    http://www.mckinseyquarterly.com/Business_Technology/Infrastructure/Meeting_the_cybersecurity_challenge_2821

  17. Geovanne Barreto disse:

    Silvo muito bom o debate precisamos melhor e muito a segurança dos nossos sistemas, mas será que o governos e instituições privadas estão preocupadas nesse investimento.

  18. Geovanne Barreto disse:

    Silvo muito bom o debate precisamos melhor e muito a segurança dos nossos sistemas, mas será que o governos e instituições privadas estão preocupadas nesse investimento.

  19. Romano disse:

    Jogo de gente grande:

    17 June 2011 Last updated at 14:07 GMT
    “US builds net for cyber war games”

    The United States government is building its own “scale model” of the internet to carry out cyber war games.

    http://www.bbc.co.uk/news/technology-13807815

  20. Romano disse:

    Jogo de gente grande:

    17 June 2011 Last updated at 14:07 GMT
    “US builds net for cyber war games”

    The United States government is building its own “scale model” of the internet to carry out cyber war games.

    http://www.bbc.co.uk/news/technology-13807815

  21. Romano disse:

    Nem os sistemas embarcados escapam:

    McAfee hires elite hackers to break into devices
    Fri Jun 17, 2011 1:49pm EDT

    http://www.reuters.com/article/2011/06/17/hackers-mcafee-idUSN1718449620110617

  22. Romano disse:

    Nem os sistemas embarcados escapam:

    McAfee hires elite hackers to break into devices
    Fri Jun 17, 2011 1:49pm EDT

    http://www.reuters.com/article/2011/06/17/hackers-mcafee-idUSN1718449620110617

  23. Romano disse:

    30 June 2011 Last updated at 10:34 GMT

    “Security researchers discover ‘indestructible’ botnet”

    “More than four million PCs have been enrolled in a botnet security experts say is almost ‘indestructible'”

    http://www.bbc.co.uk/news/technology-13973805

  24. Romano disse:

    30 June 2011 Last updated at 10:34 GMT

    “Security researchers discover ‘indestructible’ botnet”

    “More than four million PCs have been enrolled in a botnet security experts say is almost ‘indestructible'”

    http://www.bbc.co.uk/news/technology-13973805

  25. Romano disse:

    14 July 2011 Last updated at 23:01 GMT
    http://www.bbc.co.uk/news/world-us-canada-14157975

    “Pentagon admits suffering major cyber attack in March”

    “The Pentagon has admitted it suffered a major cyber attack in which thousands of files were taken by foreign hackers.”

  26. Romano disse:

    14 July 2011 Last updated at 23:01 GMT
    http://www.bbc.co.uk/news/world-us-canada-14157975

    “Pentagon admits suffering major cyber attack in March”

    “The Pentagon has admitted it suffered a major cyber attack in which thousands of files were taken by foreign hackers.”