Terra Magazine

você pode até não saber [e nem precisa] mas quando um site [como seu banco] se diz "seguro", é porque um terceiro [uma autoridade certificadora, ou CA] emite um certificado dizendo que seu banco é seu banco e seu browser acredita nisso. há muitas formas de emitir e assinar tais certificados e uma delas, chamada MD5, usada por muita gente boa, tem deficiências conhecidas.

conhecidas mas… muito difíceis de calcular, decodificar e usar para, na prática, assumir o controle de uma parte de alguma rede e "fazer de conta", de forma que seu browser acredite, que um outro site que não é seu banco é… seu banco.

isso até agora: um grupo de especialistas, usando um conjunto de novos resultados sobre [in]segurança de informação e um cluster de 200 PS3 acaba de detonar a segurança de MD5 e, por conseguinte, a de todos os sites que usam SSL [secure socket layer] assinados por criptografia MD5. simples assim. leia os detalhes aqui. [mas os detalhes, em detalhe, são muito complexos e obscuros e não estão explicados no link anterior; você pode ver um pouco mais neste link].

mesmo assim, o mundo ainda não acabou. a galera por trás da descoberta é do bem e estima que levará uns seis meses para que outros grupos repitam seu feito. e olha que, ao invés de um super-computador, eles só usaram uns consoles de games, que qualquer um de nós pode comprar por R$1.000 a unidade. imagine o retorno do investimento, sobre R$200 mil, se alguém conseguir fingir, com sucesso, por um dia que seja, que é o meu [ou o seu] banco por algumas poucas horas…

as forças do mal estão investindo, cada vez mais intensamente, em formas de roubar na internet, que se trata de um tipo de crime muito mais seguro, inclusive para os ladrões. a polícia federal brasileira estima que quase todos os crimes financeiros dignos de nota serão, em pouco tempo, realizados na rede.

pensando bem, é hora de ligar pro meu –e pro seu- banco e perguntar se eles são certificados por alguma forma de criptografia que envolve MD5. se a resposta for sim [ou não sei], é melhor fazer mais, muito mais perguntas até ter certeza de que o banco e as lojas online que usamos são, verdadeiramente, seguras.

a booz allen hamilton acaba de conduzir, nos eua, um "jogo de guerra" envolvendo 230 representantes de agências de segurança e defesa do governo americano, além de gente de companhias privadas e do terceiro setor. o jogo simulou um drástico aumento no número de ataques a alvos de rede em tempos de vulnerabilidade econômica, exigindo que os participantes reagissem usando os procedimentos de suas instituições na vida real.

segundo michael chertoff, secretário de segurança interna… "We know that if someone shoots missiles at us, they’re going to get a certain kind of response. What happens if it comes over the Internet?"… ou seja, se alguém nos atacar com mísseis, vai ter um certo tipo de resposta. mas o que acontece se o ataque vier pela internet? a simulação descobriu que… "There isn’t a response or a game plan…There isn’t really anybody in charge". em resumo, não há resposta ou plano de jogo, não há ninguém realmente tomando conta da rede. e isso lá nos eua, onde os níveis de segurança são bem mais elevados do que na média do planeta.

a conclusão é que um ataque aos eua, pela rede, poderia tirar do ar -entre outras- partes importantes do sistema financeiro, parte da rede de distribuição de energia elétrica, causando danos proporções monumentais. e isso sem enfrentar um alto e coordenado nível de resistência.

por aqui, recentemente, demos nota de um estudo do TCU sobre segurança de informação no governo brasileiro onde se colcluiu que… "a situação da governança de TI na Administração Pública Federal é bastante heterogênea e preocupante".em particular, não há planejamento estratégico de TICs em 59% das instituições e não há política de segurança de informação em 64% dos órgãos de governo". deve estar na hora da gente se preocupar com a segurança da rede por aqui, também.

não faz muito tempo que este blog publicou dois textos onde se discutia segurança e privacidade de informação digital. em um deles, o assunto era o sigilo das informações do imposto de renda [nos EUA] e o que poderia vir a ser o equivalente brasileiro. no nosso caso, não há quem desconheça a lenda urbana [que passou na TV...] da venda das informações do IR no meio da rua. vá ver o texto sobre este assunto.

e foi só a gente falar disso e uma galera invadiu a conta bancária do presidente da frança, o que abriu espaço pra se discutir a segurança das finanças na rede, em um contexto onde se diz [por aí] que o rombo via rede, nas maiores instituições bancárias do país, ronda os R$1M por dia. sei não. mas conheço gente que perdeu, de fato, tudo o que tinha na sua conta bancária e mais o cheque especial entre dormir e acordar. e o crime financeiro, na rede, vai aumentar muito. segundo a polícia federal, os criminosos estão achando que a web é um "ambiente mais seguro"… para o trabalho deles, malfeitores. no futuro, só criminosos realmente primários vão cometer roubos físicos. os competentes estarão no mundo virtual.

o problema, do lado bom da força, é como tornar a web um ambiente mais seguro para quem entrega seu imposto online, usa seu cartão de crédito para fazer compras e pra quem usa o banco virtual. até porque, nos últimos anos, o tamanho do buraco por onde somem nossos dados tem se tornado difícil de medir e controlar. no caso da inglaterra, por exemplo, sucessivos vazamentos em órgãos do governo resultaram na perda de dezenas de milhões de registros de contribuintes, usuários e beneficiários de ações do governo. clique na imagem abaixo pra ver o tamanho do estrago em alguns casos.

no brasil,o TCU realizou um estudo sobre TICs no governo e concluiu que… "a situação da governança de TI na Administração Pública Federal é bastante heterogênea e preocupante".em particular, não há planejamento estratégico de TICs em 59% das instituições e não há política de segurança de informação em 64% dos órgãos de governo. pouco tempo depois, e quase que certamente motivado pelo estudo do TCU, o gabinete de segurança institucional da presidência da república resolveu decretar uma nova "Metodologia de Gestão de Segurança da Informação e Comunicações" para todos os órgãos da administração pública federal, direta e indireta, tomando por base a norma ISO/IEC 27001:2006. 

o blog resolveu perguntar a um especialista em segurança de informação, o professor ruy queiroz, do centro de informática da ufpe [disclosure: eu também sou professor do CIn/UFPE] o que ele acha da norma e do movimento do governo para aumentar a segurança da informação que lhe é confiada, em boa parte vinda de nós mesmos, cidadãos e contribuintes aqui fora. a entrevista está a seguir.

blog: o que mais chama a atenção na instrução normativa do GSI/PR?

RQ: Sem dúvida, é positiva a ênfase na conscientização do usuário e na constante avaliação dos riscos a que está submetida a informação que se supõe protegida. Os pontos fracos estão invariavelmente no agente humano, seja por negligência ou por ignorância. Do outro lado, os agentes da ameaça dispõem do benefício do acesso irrestrito à criatividade.

blog: você nota alguma omissão importante?

RQ: Não obstante a simplicidade do modelo, não há menção ao fato corriqueiro de grande importância nesse contexto: a tendência é assumir que ao usar os melhores produtos da mais recente tecnologia de segurança da informação obtém-se a garantia de proteção.  Mais grave, ao depositar toda a confiança em artefatos robóticos numa guerra contra agentes de ameaça humanos, obtém-se um álibi para a fuga da responsabilidade: “houve falha no anti-vírus”, “o firewall falhou”, “a configuração não era a mais apropriada”, “o último patch de segurança não foi aplicado”, etc.

blog: que outro aspecto mereceria destaque nesta discussão de segurança no governo?

RQ: Tal qual numa situação de guerra, é no mínimo ingênuo supor que os agentes da ameaça são agentes racionais. A racionalidade deve estar a serviço da diligência, e nunca da auto-indulgência. A lista de possíveis “ataques” deve estar sempre “correta” para evitar o desgaste com falsos positivos, mas, ao mesmo tempo, precisa ser considerada como, por definição, “incompleta”.

blog: ao que parece, a metodologia é algo "pesada", com muitas regras e procedimentos, quando a boa esperteza e a criatividade também devem ter papel fundamental…

RQ: Aqui continua valendo o princípio de que regras e procedimentos nos servem, mas não os servimos. Rotinas e metodologias, embora úteis, não devem passar ao agente da ameaça a impressão de que o agente defensor é previsível. Aliás, um dos princípios da criptografia moderna é exatamente o de que como é impossível fazer com que o resultado de uma primitiva criptográfica seja realmente aleatório, pelo menos que se faça “parecer” aleatório (ou “pseudoaleatório”): mesmo com tempo e espaço razoáveis deve ser inviável ao adversário distinguir do aleatório.

blog: até que ponto se pode entender a instrução normativa também como uma resposta ao caso recente de vazamento de informações sensíveis sobre a ex-presidentes?

RQ: Vazamento de informações sensíveis é coisa séria. Sabemos que é grande a dependência dos serviços da internet por parte de governos, negócios, atividades de lazer e entretenimento, serviços públicos, etc. Isso tem levado a uma enorme disponibilização pública de dados sensíveis, que, se manipulados inapropriadamente, podem causar sérios prejuízos aos sujeitos associados a tais informações. Cabe perguntar quem, como, e em que grau deve-se responsabilizar pelo vazamento de informações sensíveis? A lei americana responsabiliza o “proprietário” da base de dados, e exige que, ao ser confirmado um vazamento, os sujeitos sejam notificados em curtíssimo prazo (24h). Toda a responsabilidade pelos danos, materiais ou imateriais, decorrentes do vazamento das informações deve pesar única e exclusivamente sob os ombros de quem, sob compromisso de manutenção do sigilo dos dados vazados com o usuário, recolhe e mantém tais informações.

pois é. além de normas, processos e ferramentas, precisamos de leis e uma boa dose de sagacidade, esperteza [do bem], eficiência e eficácia para lidar com a fuga de informação das bases governamentais. parece que a nova resolução do GSI/PR está indo na direção certa. mas vai ser necessário muito investimento [em educação, inclusive, além de processos, métodos e ferramentas] e uma inédita -até agora- continuidade de propósitos na administração federal. além de gente vestindo -na alma, além do corpo- a camisa da segurança nos seus órgãos da administração federal. sem um compromisso radical das pessoas, pouca coisa vai mudar. e há muito o que fazer. melhor começar logo, que o caminho é longo.

para seguir o que ruy queiroz pensa e escreve, seu blog sobre segurança de informação e domínio público está neste link. boa leitura.

…nos EUA. uma auditoria do IG [inspetor geral do governo americano] concluiu que "until security control vulnerabilities are corrected, the IRS is jeopardizing the confidentiality, integrity, and availability of the massive volume of taxpayer…". pelo andar da carruagem, a receita federal americana não está garantido a confidencialidade, integridade e disponibilidade das informações dos contribuintes lá dos estados unidos.

numa atitude típica de responsáveis por órgãos de governo que são auditados por razões de segurança, o chief information officer [CIO] do IRS, arthur gonzalez, foi contra a divulgação do trabalho do inspetor geral e disse que… "we strongly object to public dissemination of information about IRS security vulnerabilities, as we believe it poses unnecessary and unacceptable risk to our national tax system and economic infrastructure"… ou seja: somos radicalmente contra a divulgação das vulnerabilidades de segurança da receita federal [de lá dos eua], pois isso cria riscos desnecessários para o sistema nacional de impostos e para a infra-estrutura econômica do país.

mas contra fatos não há argumentos, mr. gonzalez: o sistema de imposto de renda dos eua é vulnerável E uma auditoria federal acima de qualquer suspeita disse exatamente isso. resta ao pessoal do IRS trabalhar para melhorar sua segurança.

e aqui no brasil, hein?  a idéia de dados dos contribuintes à venda nas calçadas da santa ifigênia, em são paulo, é mais que mera lenda urbana, segundo alguns. o governo federal, aqui, acaba de decretar um processo de melhora na gestão e segurança de informação sob sua responsabilidade. isso depois do TCU, meses atrás, dizer que a gestão e, principalmente, a segurança da informação, na administração federal, estavam muito abaixo da crítica.

mas ninguém disse nada sobre a santa ifigênia. e aí? é ou não possível comprar declarações de imposto de renda no meio da rua, em são paulo, à vista de todos?… já deu até no jornal hoje, mas nem tudo o que aparece na TV, como se sabe, é verdade…

cerca de 600.000 laptops são perdidos por ano nos aeroportos dos estados unidos. você não leu errado não: perto de 12.000 laptops são esquecidos nos aeroportos americanos por semana, de acordo com um estudo independente do ponemon institute, financiado pela dell. a pressa, o medo de perder o vôo e estar carregando muitas coisas são as razões que os passageiros apontam como causa da grande fuga dos laptops.

los angeles é o campeão, com 10% da perda total. as descobertas deste estudo sobre mobilidade computacional são ainda mais impressionantes porque… 1] quase 70% dos laptops não são recuperados; 2] mais de 50% das pessoas carrega dados sigilosos, de suas empresas, neles; 3] 65% dos que sabem que têm informação confidencial nos laptops não faz nada para protegê-la e… 4] mais de 40% não têm cópia dos dados armazenados em seus laptops.

qual será a realidade no brasil? não há dados. considenrando o tamanho da confusão que um simples disco rígido pode causar, se cair nas mãos erradas [ou certas] é bom cada um e cada qual tomar cuidado com o seu. lá nos eua, o problema não vai ser resolvido facilmente. dos passageiros consultados no estudo, apenas 1% reconheceu haver perdido um laptop no aeroporto, enquanto 84% dos entrevistados conhece alguém que perdeu um. sem ter o problema, ninguém precisa de solução. os aeroportos americanos, por outro lado, poderiam usar os laptops deixados no terminal e não procurados pelos seus donos como solução, parte de uma política de inclusão digital. não há muitos programas, por aí, que dispõem mais de 400 mil PCs por ano… grátis.