Terra Magazine

hoje, um picopost, só pra gente saber até que ponto as coisas podem chegar quando algum espírito azerediano toma conta do pedaço. pra quem chegou de alfa do centauro ontem à tarde e ainda não sabe o que anda rolando por aqui, azeredo é o sobrenome do deputado que assumiu, como missão terrena, colocar a criminalização da internet.br à frente de seu marco civil.

tergiverso e o post pode ficar longo. vamos encurtar a história. anonymous é um não-coletivo de hackers que está em guerra não declarada contra partes do sistema, seja lá o que a gente entenda que é o sistema.

a polícia inglesa acusa quatro carinhas de fazerem parte do não-coletivo e, por isso, serem uma ameaça à lei e à ordem. uma corte de sua majestade, face a acusações que podem chegar a sedição, acaba de proibir os quatro de estar na rede usando suas personas online. podem usar o que quiserem, menos os nomes pelos quais são reconhecidos como parte do "grupo" que, como se sabe, não é "grupo" e que, anônimo e disperso, talvez nunca possa ser formalmente acusado de coisa alguma.

ocorre que um dos quatro acusados usa, como persona online… seu nome.

isso. exatamente o que você leu acima. consequências? a justiça inglesa cassou o direito de um de seus súditos de usar seu próprio nome online. transformou peter david-gibson, 20 anos de idade, de hartlepool, co. durham, em ninguém. peter frequentava a rede, imagine, disfarçado de… "peter". peter, uma ameaça global, disfarçado de… "peter". LOL…

há alguma coisa profundamente errada entre os céus e a terra. a lógica está deixando de ser entendida –e, quase certamente, de funcionar- e isso pode estar relacionado ao fato de que, no fim de semana passado, quase todos os meus chutes conseguiram, pela primeira vez em décadas, encontrar o caminho da "meta". dois deles, inclusive, teriam sido pontos olímpicos, não fosse o reflexo e maestria do goleiro.

as chances disso acontecer num mundo que mantém algum grau de coerência, garanto, são iguais a você receber, enquanto lê este texto, um SMS de oliver cromwell defendendo uma revisão das bases do poder na terra de sua majestade.

sei não, sei não. 2012 vem aí. cruzem os dedos…

você pode até não saber [e nem precisa] mas quando um site [como seu banco] se diz "seguro", é porque um terceiro [uma autoridade certificadora, ou CA] emite um certificado dizendo que seu banco é seu banco e seu browser acredita nisso. há muitas formas de emitir e assinar tais certificados e uma delas, chamada MD5, usada por muita gente boa, tem deficiências conhecidas.

conhecidas mas… muito difíceis de calcular, decodificar e usar para, na prática, assumir o controle de uma parte de alguma rede e "fazer de conta", de forma que seu browser acredite, que um outro site que não é seu banco é… seu banco.

isso até agora: um grupo de especialistas, usando um conjunto de novos resultados sobre [in]segurança de informação e um cluster de 200 PS3 acaba de detonar a segurança de MD5 e, por conseguinte, a de todos os sites que usam SSL [secure socket layer] assinados por criptografia MD5. simples assim. leia os detalhes aqui. [mas os detalhes, em detalhe, são muito complexos e obscuros e não estão explicados no link anterior; você pode ver um pouco mais neste link].

mesmo assim, o mundo ainda não acabou. a galera por trás da descoberta é do bem e estima que levará uns seis meses para que outros grupos repitam seu feito. e olha que, ao invés de um super-computador, eles só usaram uns consoles de games, que qualquer um de nós pode comprar por R$1.000 a unidade. imagine o retorno do investimento, sobre R$200 mil, se alguém conseguir fingir, com sucesso, por um dia que seja, que é o meu [ou o seu] banco por algumas poucas horas…

as forças do mal estão investindo, cada vez mais intensamente, em formas de roubar na internet, que se trata de um tipo de crime muito mais seguro, inclusive para os ladrões. a polícia federal brasileira estima que quase todos os crimes financeiros dignos de nota serão, em pouco tempo, realizados na rede.

pensando bem, é hora de ligar pro meu –e pro seu- banco e perguntar se eles são certificados por alguma forma de criptografia que envolve MD5. se a resposta for sim [ou não sei], é melhor fazer mais, muito mais perguntas até ter certeza de que o banco e as lojas online que usamos são, verdadeiramente, seguras.

não faz muito tempo que este blog publicou dois textos onde se discutia segurança e privacidade de informação digital. em um deles, o assunto era o sigilo das informações do imposto de renda [nos EUA] e o que poderia vir a ser o equivalente brasileiro. no nosso caso, não há quem desconheça a lenda urbana [que passou na TV...] da venda das informações do IR no meio da rua. vá ver o texto sobre este assunto.

e foi só a gente falar disso e uma galera invadiu a conta bancária do presidente da frança, o que abriu espaço pra se discutir a segurança das finanças na rede, em um contexto onde se diz [por aí] que o rombo via rede, nas maiores instituições bancárias do país, ronda os R$1M por dia. sei não. mas conheço gente que perdeu, de fato, tudo o que tinha na sua conta bancária e mais o cheque especial entre dormir e acordar. e o crime financeiro, na rede, vai aumentar muito. segundo a polícia federal, os criminosos estão achando que a web é um "ambiente mais seguro"… para o trabalho deles, malfeitores. no futuro, só criminosos realmente primários vão cometer roubos físicos. os competentes estarão no mundo virtual.

o problema, do lado bom da força, é como tornar a web um ambiente mais seguro para quem entrega seu imposto online, usa seu cartão de crédito para fazer compras e pra quem usa o banco virtual. até porque, nos últimos anos, o tamanho do buraco por onde somem nossos dados tem se tornado difícil de medir e controlar. no caso da inglaterra, por exemplo, sucessivos vazamentos em órgãos do governo resultaram na perda de dezenas de milhões de registros de contribuintes, usuários e beneficiários de ações do governo. clique na imagem abaixo pra ver o tamanho do estrago em alguns casos.

no brasil,o TCU realizou um estudo sobre TICs no governo e concluiu que… "a situação da governança de TI na Administração Pública Federal é bastante heterogênea e preocupante".em particular, não há planejamento estratégico de TICs em 59% das instituições e não há política de segurança de informação em 64% dos órgãos de governo. pouco tempo depois, e quase que certamente motivado pelo estudo do TCU, o gabinete de segurança institucional da presidência da república resolveu decretar uma nova "Metodologia de Gestão de Segurança da Informação e Comunicações" para todos os órgãos da administração pública federal, direta e indireta, tomando por base a norma ISO/IEC 27001:2006. 

o blog resolveu perguntar a um especialista em segurança de informação, o professor ruy queiroz, do centro de informática da ufpe [disclosure: eu também sou professor do CIn/UFPE] o que ele acha da norma e do movimento do governo para aumentar a segurança da informação que lhe é confiada, em boa parte vinda de nós mesmos, cidadãos e contribuintes aqui fora. a entrevista está a seguir.

blog: o que mais chama a atenção na instrução normativa do GSI/PR?

RQ: Sem dúvida, é positiva a ênfase na conscientização do usuário e na constante avaliação dos riscos a que está submetida a informação que se supõe protegida. Os pontos fracos estão invariavelmente no agente humano, seja por negligência ou por ignorância. Do outro lado, os agentes da ameaça dispõem do benefício do acesso irrestrito à criatividade.

blog: você nota alguma omissão importante?

RQ: Não obstante a simplicidade do modelo, não há menção ao fato corriqueiro de grande importância nesse contexto: a tendência é assumir que ao usar os melhores produtos da mais recente tecnologia de segurança da informação obtém-se a garantia de proteção.  Mais grave, ao depositar toda a confiança em artefatos robóticos numa guerra contra agentes de ameaça humanos, obtém-se um álibi para a fuga da responsabilidade: “houve falha no anti-vírus”, “o firewall falhou”, “a configuração não era a mais apropriada”, “o último patch de segurança não foi aplicado”, etc.

blog: que outro aspecto mereceria destaque nesta discussão de segurança no governo?

RQ: Tal qual numa situação de guerra, é no mínimo ingênuo supor que os agentes da ameaça são agentes racionais. A racionalidade deve estar a serviço da diligência, e nunca da auto-indulgência. A lista de possíveis “ataques” deve estar sempre “correta” para evitar o desgaste com falsos positivos, mas, ao mesmo tempo, precisa ser considerada como, por definição, “incompleta”.

blog: ao que parece, a metodologia é algo "pesada", com muitas regras e procedimentos, quando a boa esperteza e a criatividade também devem ter papel fundamental…

RQ: Aqui continua valendo o princípio de que regras e procedimentos nos servem, mas não os servimos. Rotinas e metodologias, embora úteis, não devem passar ao agente da ameaça a impressão de que o agente defensor é previsível. Aliás, um dos princípios da criptografia moderna é exatamente o de que como é impossível fazer com que o resultado de uma primitiva criptográfica seja realmente aleatório, pelo menos que se faça “parecer” aleatório (ou “pseudoaleatório”): mesmo com tempo e espaço razoáveis deve ser inviável ao adversário distinguir do aleatório.

blog: até que ponto se pode entender a instrução normativa também como uma resposta ao caso recente de vazamento de informações sensíveis sobre a ex-presidentes?

RQ: Vazamento de informações sensíveis é coisa séria. Sabemos que é grande a dependência dos serviços da internet por parte de governos, negócios, atividades de lazer e entretenimento, serviços públicos, etc. Isso tem levado a uma enorme disponibilização pública de dados sensíveis, que, se manipulados inapropriadamente, podem causar sérios prejuízos aos sujeitos associados a tais informações. Cabe perguntar quem, como, e em que grau deve-se responsabilizar pelo vazamento de informações sensíveis? A lei americana responsabiliza o “proprietário” da base de dados, e exige que, ao ser confirmado um vazamento, os sujeitos sejam notificados em curtíssimo prazo (24h). Toda a responsabilidade pelos danos, materiais ou imateriais, decorrentes do vazamento das informações deve pesar única e exclusivamente sob os ombros de quem, sob compromisso de manutenção do sigilo dos dados vazados com o usuário, recolhe e mantém tais informações.

pois é. além de normas, processos e ferramentas, precisamos de leis e uma boa dose de sagacidade, esperteza [do bem], eficiência e eficácia para lidar com a fuga de informação das bases governamentais. parece que a nova resolução do GSI/PR está indo na direção certa. mas vai ser necessário muito investimento [em educação, inclusive, além de processos, métodos e ferramentas] e uma inédita -até agora- continuidade de propósitos na administração federal. além de gente vestindo -na alma, além do corpo- a camisa da segurança nos seus órgãos da administração federal. sem um compromisso radical das pessoas, pouca coisa vai mudar. e há muito o que fazer. melhor começar logo, que o caminho é longo.

para seguir o que ruy queiroz pensa e escreve, seu blog sobre segurança de informação e domínio público está neste link. boa leitura.