O mercado de Segurança da Informação (SI) é sujo. Apesar de fazer parte dele, é
a triste conclusão que podemos chegar ao analisar os fatos. Se compararmos
algumas coisas que acontecem no mundo de SI com outros mercados e realidades,
vamos ver o quão absurdas elas são. Em tempos onde
estamos preocupados em convencer os executivos a investir mais em segurança,
talvez seja a hora de olharmos para nós mesmos e
verificar se realmente parecemos ser sérios o suficiente para merecer este
investimento.
O problema começa com o “quem”. Definimos uma figura, o “hacker”, que mais
parece um personagem de filme americano. É aquele cara com QI monstruoso,
incompreendido, com tantos conhecimentos em informática que é capaz de fazer
coisas que ninguém imaginaria que é possível. Suas habilidades são comparadas
às de um grande mago, e nada podemos fazer contra ele. Podemos sim! Podemos
contratá-lo para que ele nos proteja de seus ex-colegas, conhecidos de um
submundo que poucos sabem a entrada ou mesmo conhecem sua existência, como
aqueles esgotos de cidades antigas onde ficam os esconderijos dos vilões das
histórias
Será que é por aí? É muito bonito descrever tudo isso dessa forma, mas todo
esse romantismo está muito longe da realidade. Sabemos que não há mágica em TI,
e se uma coisa não é possível para um, não é possível
para ninguém. São máquinas, e comportam-se como tais. É claro que um maior
conhecimento faz com que o indivíduo conheça mais as possibilidades, mas não
passa daí. Alguém conhece uma mágica que faz com que um chaveiro abra qualquer
fechadura, independente do tipo? Quanto melhor o chaveiro, maior a
possibilidade de ele conhecer um método de fazê-lo, mas não é mágica. É comum
encontrar afirmações de que “hackers” entram em qualquer sistema, não importa o
quão seguro seja. Sim e não. Não vivemos em “Matrix”,
e não podemos mudar as leis da física. Retire um computador de qualquer rede.
Por mais hábil que seja o “hacker” ele não vai invadir aquele sistema pela
Internet. Se o computador não está ligado em rede ele vai ter que ir
pessoalmente até lá. Não há “poder hacker” que mude isso.
Mas ainda assim há quem fique tranquilo em contratar
um “hacker” para fazer sua segurança. Afinal de contas, ele aprendeu como fazer
o mal, logo deve saber como evitá-lo. Porém, em outros casos isso não é
verdade. Nesse também não. Faz sentido colocar a polícia nas mãos de um
ex-traficante para combater o tráfico? Faz sentido colocar um ex-terrorista
para combater o terror? Um mal pagador para avaliar pedidos de empréstimo? Não,
não faz sentido algum. E por que faria com o “hacker”? O conhecimento para
evitar um mal nem sempre é o mesmo necessário para fazê-lo (tirar a vida é
muito mais simples do que salvá-la, por exemplo!). Em um escopo extremamente
técnico o conhecimento pode até ser semelhante ou o mesmo, mas não é necessário
ter feito um para poder fazer o outro. Se não bastasse, a ética é frequentemente esquecida. E não só a ética, mas também a
formação da pessoa como profissional. A formação ética e
moral para trabalhar em um ambiente profissional não é necessária para
um garoto que invade sistemas como passatempo. Por mais que ele tenha os
conhecimentos técnicos necessários, não deve ser uma pessoa indicada para
proteger uma empresa. Muitos seguiram por este caminho e encontraram problemas
graves de relacionamento profissional com essas pessoas.
Perpetuamos o problema ao continuar criando uma aura de magia e mistério sobre
eles. Não há nada de espetacular. O “fenômeno hacker”, aquele que fala de
jovens capazes de invadir qualquer sistema com suas habilidades quase
sobrenaturais e que se reúnem em salas de chat secretas do “submundo”, não
passa na realidade de jovens com um passatempo discutível em termos éticos.
Felizmente alguns, no processo de amadurecimento, percebem o que estão fazendo
e acabam no futuro se tornando profissionais de segurança. A maioria, porém, vê
isso apenas como um passatempo e uma maneira de contar vantagem em uma roda de
amigos. “Sou hacker”, adoram dizer. O curioso é que para entrar em tais grupos
basta demonstrar conhecimento técnico, “atitude” (gírias típicas, “currículo”
de invasões, etc) e ter um pseudônimo original. É
extremamente preocupante ver que alguns deles, ao tentar passar para o “lado do
bem”, mantém seus pseudônimos com orgulho, esquecendo
que a transparência é o comportamento mais adequado para o mundo profissional.
Profissionais que tem medo de usar o próprio nome em suas ações e declarações
não são confiáveis.
Talvez como reflexo da origem dos profissionais, outros problemas acabam
aparecendo no nosso mundo que contribuem ainda mais para manchar nossa reputação.
A divulgação de vulnerabilidades é um deles. Ninguém discorda da necessidade de
pesquisar e encontrar vulnerabilidades nos sistemas que utilizamos, pois assim
com nós podemos fazê-lo, aqueles que pretendem explorar tais vulnerabilidades
também podem. Como fazer essa divulgação, entretanto, de maneira que esta ação
não contribua para aumentar o problema advindo da vulnerabilidade? Em um tempo
onde os fornecedores de software preferiam negar e existência das
vulnerabilidades a disponibilizar uma correção, até fazia sentido fazer uma
divulgação aberta das descobertas. O conhecimento público forçava a empresa a
corrigir a falha, pois seus clientes passariam a saber
que estavam vulneráveis. Com o tempo, porém, a postura das empresas mudou. Hoje
é raro encontrar uma empresa que tente negar a existência de uma
vulnerabilidade. Sendo assim, não é mais necessário abrir a falha ao público
logo de início. Ao informar antes o responsável dá-se a chance de que uma
correção seja criada antes da falha ser conhecida pelo público. A chance de
ataques acontecerem antes da falha ser corrigida
diminui. Em caso de falha no site de uma empresa, e não em software, a postura
de divulgação pública torna-se ainda mais incorreta. Informar apenas a empresa
cujo site precisa ser corrigido permite a ela que efetue a correção sem
aumentar o risco de potenciais invasores conhecerem o problema. É claro que
ainda vão existir casos onde a empresa responsável por corrigir a falha fará
pouco caso do problema, tornando necessária uma pressão maior, talvez através
de uma divulgação aberta. Hoje esse comportamento está cada vez menos comum,
permitindo aos pesquisadores adotar uma forma de divulgação mais adequada. Não
é mais necessário “plantar o terror”. Algumas das maiores pesquisadoras de vulnerabilidades
já adotaram tal prática, como eEye,
@stake, ISS e outras.
Apesar da postura profissional ser clara nesse sentido, há ainda uma cultura no
meio que acaba atrapalhando a adoção de práticas assim. Muitos profissionais
são pessoas engajadas em projetos de software livre. Com isso, acabam
demonstrando uma certa indignação com empresas cujo
objetivo é vender aquilo que eles acreditam que deve ser aberto e livre. A
Microsoft, por dominar o mercado de sistemas operacionais, é quem mais sofre
com isso. É claro que o histórico de falhas em seus produtos acaba trazendo uma
resistência natural por parte dos profissionais, mas o comportamento acaba
tendendo para o infantil, com atitudes como “se é falha no Windows vamos
divulgar para todo mundo, para que vejam o quanto a
Microsoft é má e não se importa com segurança”. O nível de necessidade de
segurança para sistemas operacionais de PCs cresceu
muito nos últimos anos, e é natural que a empresa tenha dificuldades em adaptar
seus produtos. Birra e guerrilha, porém, não são os comportamentos mais
indicados para aqueles que tem a missão de proteger.
Recomendar outros produtos, sim. Sabotar o uso de produtos Microsoft por
simples antipatia, não parece profissional.
Mesmo sem preconceito quanto a produtos, ainda erramos ao fazer o trabalho de
conscientização dos executivos. Ainda é comum ver profissionais trabalhando
exclusivamente em cima de FUD (Fear, Uncertainty and Doubt), ou seja, medo. Toda vulnerabilidade então é
apresentada como “crítica”, podendo causar danos enormes e imensuráveis.
Mostra-se tudo de ruim que pode acontecer, sempre com um
certo capricho nos exageros, mas sem oferecer subsídios para o executivo
tomar decisões. Ao querer corrigir tudo, acabam
tentando mostrar que tudo é crítico e indispensável. Com o passar do tempo o
executivo descobre que aquilo não era tão crítico, e acaba assumindo que o
pessoal de SI só exagera e que não é preciso investir naquilo. Um tiro no pé.
Precisamos passar a trabalhar em cima de riscos, se não totalmente mensuráveis,
pelo menos passiveis de priorização. Análises de vulnerabilidades são
interessantes, mas devemos ser sinceros quando nos pedem para apontar o risco
de cada ponto.
O escopo de atuação é o último ponto que deve ser discutido, mas não o menos
importante. SI é um assunto amplo e que deve ser tratado em diversas frentes. É
raro também encontrar profissionais que conheçam o campo de maneira ampla.
Alguns profissionais, além de desconhecer os pontos diversos de sua área de
atuação, também pregam que não são importantes e não devem ser tratados.
Profissionais mais técnicos dizem que não é necessário criar políticas,
conscientizar usuários e analisar processos, enquanto profissionais de escopo
mais gerencial acabam dando pouca atenção a detalhes técnicos que encobrem
grandes riscos. É preciso que todos aceitem a importância das diversas frentes
de atuação, permitindo às empresas conhecer todos os problemas de maneira
imparcial.
Nenhuma área de atuação profissional é composta apenas de profissionais e
empresas de comportamento exemplar. Porém, todos devem ter como objetivo chegar
o mais próximo possível disso. Quando falamos de segurança (não SI) e justiça,
há promiscuidade com o mundo do crime, mas o objetivo e o ideal de todos é que
isso não aconteça. Estamos um passo atrás, onde ainda é necessário definir o
que é e o que não é aceitável. Assim que conseguirmos refinar os padrões de
comportamento ético de nossa área de atuação, seremos encarados com mais
seriedade por parte dos executivos e aí sim poderemos usufruir o crescimento
sempre previsto para a área de SI.