Se segura malandro !

O Richard Beijtlich recentemente fez um paralelo entre os piratas de navio dos tempos da expansão marítima com nossos representantes contemporâneos. Eu neste post vou fazer uma outra analogia histórica um pouco mais forçada.

Muitos profissionais de segurança hoje em dia vem de um passado de “hacker”

A maior parte dos analistas de segurança que eu conheço nunca exploraram o quintal do vizinho. Mas ainda assim conheço muitos que o fizeram. E tem muita empresa que acha isto bacana. Até o Bruce Schneier.(veja também os contrapontos do Markus Ranum(link no artigo) e Richard Beijtlich) Não deixo de concordar com o Bruce e com muitas pessoas que pensam assim que em vários pontos seus argumentos tem sentido. Mas com certeza não sou o único a me perguntar se “Dá para confiar ?”

Porque razão no mundo você colocaria uma raposa para tomar conta do galinheiro. Se a pessoa tem uma formação na sua estrutura de caráter e valores que acha legítimo se valer dos seus conhecimentos para abusar dos direitos dos outros porque esperar que ela de uma hora para outra irá mudar de comportamento e valores ? Só porque você está pagando salário para ela ? Como já convivi com algumas destas peças o que posso dizer é que realmente elas parecem assumir uma postura responsável nos seus empregos. Mas basta sair do escritório para perceber que elas continuam as mesmas. Em coisas simples como o relacionamento pessoal com outras pessoas e entidades, a forma como dirigem no trânsito. Então porque quem é responsável por mitigar riscos colocaria mais esta ameaça na equação ? Basta lembrar que este profissional hoje “está” na sua empresa, e sendo pago para usar todos os seus conhecimentos para fazer avaliação de vulnerabilidades. Se amanhã ele não “estiver” mais funcionário talvez não tenha mais o incentivo para ser tão responsável, e ainda por cima tem todo o conhecimento das suas falhas.

Não que eu esteja defendendo que não se tenha profissionais curiosos quanto as técnicas de segurança. É óbvio que o expertise é necessário para poder oferecer o famoso “teste de invasão” (que se é importante ou efetivo é outra discussão para post futuro), tanto quanto para ser capaz de entender e achar os atalhos no ambiente do cliente. É a questão já comentada antes do security mindset, que é necessário. O que eu estou dizendo é que ter interesse em botar em prática de forma ilícita são duas coisas diferentes. Eu por exemplo sempre fui curioso, mas nunca invadi um site sequer.(Sem falar no ótimo ponto do Ranum, reforçado pelo Beijtilich de que a abordagem de achar vulnerabilidades não tem paralelo na segurança física, onde se tratam as ameaças, o que é a única coisa que funciona.)

Então vamos a analogia. Nos filmes de velho oeste sempre vemos aquela história de faltar um Xerife na cidade. Então pessoal vai lá e cola uma estrela no peito do cara que sabe atirar melhor. Em muitos filmes o cara é até meio safado, aquele velho mocinho com crises morais. Mas ele é o atirador mais rápido da região. Hoje em dia isto não acontece mais porque a sociedade americana se organizou e cada cidade tem seu próprio corpo policial, que optou pela carreira, frequentou academia de polícia e esta lá pronto para defender a ordem e de quebra espancar uns negros e mexicanos, porque é isto que policial americano gosta de fazer nos filmes né ?

Sei que este post é meio polêmico e não digo que não respeite e admire alguns ex-hackers(será que são ex) que conheço. Não digo nem que nunca tenha contratado nenhum. Mas acho que se hoje o mercado é assim é porque é imaturo. Nas próximas gerações quando uma “cabeça de sociedade virtual” estiver mais disseminada um novo consenso sobre o que vale e não vale será consolidado. Existirá muito mais gente que entende este mundo e portanto maior disponibilidade de talentos. Aí não haverá a necessidade de se contratar os poucos que entendem este novo mundo. E aí ser “hacker” será ponto contra, pois haverá oferta suficiente de gente de passado imaculado com competência equivalente.

Recentemente o Bruce Schneier escreveu sobre o security mindset. Realmente é impossível evitar pensar de um jeito diferente.

Ontem, dia das mães e último dia para trocar seus tiquetes de compras para concorrer a um carro em um Shopping Center próximo de casa, fui eu com minha esposa conseguir uns tickets para, com sorte, posar de Jack Bauer (ele fez anúncio do carro em questão recentemente).

O processo consistia em passar por uma atendente que realizava um cadastro seu em um computador, conferia as notas, cadastrava as notas em seu nome e entregava o número correspondentes de coupons. Ai você preenchia o coupon com seus dados: nome, cpf, rg, endereço, telefone, etc. E colocava em uma urna transparente. Ou seja, se você fosse ’sorteado’ seu coupon poderia estar chapado no vidro para qualquer um ver. E com as profusões de câmeras digitais que temos inclusive no celular é uma forma fácil e rápida de coletar um pequeno cadastro pessoal.

Ai eu fico pensando… nome, telefone, e número da nota de compras vá lá. É uma referência necessária e uma forma rápida de contactar o felizardo. Mas será que os outros dados são necessários ? Algumas perguntas:

1- A promoção é feita pela VISA. Ou seja eu já tenho cadastro com eles ou com algum banco com quem eles tem contato. Eles não tem os meus dados cadastrados ? Suponho que não seja tão fácil assim ter acesso a estes dados… Ok

2- Eu fiz o cadastro no computador e a mocinha registrou todos os meus dados de  novo, em um banco diretamente ligado a promoção. Ela inclusive fez a associação das notas com o cadastro. Eu acredito que se o negócio for minimamente sério algum batimento é realizado antes de se entregar as chaves ao sortudo. Preciso preencher no papel os meus dados de novo ? Todos aqueles ? Não seria mais fácil apenas colocar, nome, telefone e o número da nota ou do cadastro ?

3- Preencho meus dados pessoais e coloco na urna. A urna tem que ser transparente, expondo os dados dos concorrentes ? Precisa mostrar que esta cheia, então não pode ser translúcida ? Um plástico embaçado ?

4- Para onde vão estes papéis depois do sorteio ? Alguém garante a sua destruição ?

Se for começar a entrar nesta seara posso até começar a questionar se uma vez cadastrada a nota para concorrer se eu preciso dar meus dados antes de ganhar, mas aí até entendo que muita gente perderia a nota e isto poderia complicar o processo porque iria requerer vários sorteios, blá-blá-blá…

Tá, o cara tem meus dados e daí ?

• Daí que número de cpf e identidade é passe-livre no Brasil(o que também é um outro problema). Ligue para qualquer call-center e tente mudar algo no seu cadastro. O que vai ser pedido via de regra são estes dois maravilhosos dados. Se não forem naquela ficha ainda tinha telefone, endereço e outras coisas que as vezes ajudam.
• Estes dados facilitam muito uma engenharia social em você ou em alguém relacionado a você.
• E mais um monte de outras gracinhas ou nem tanto que fogem ao escopo do que quero dizer neste post.

O que deveria me assustar é que a VISA, que teoricamente é uma empresa que deveria vender segurança, e principalmente prezar pela segurança dos seus clientes, e em última instância minimizar seu prejuízo. Logo ela promove algo que expõe os dados dos seus clientes desta forma e ainda por cima manda uma mensagem de deseducação para os usuário.

Deveria mas não me assusta. Porque eu sei como são as empresas.  Porque tenho certeza que os profissionais de segurança que lá trabalham tem consciência e devem viver tentando melhorar as coisas. Mas isto é uma ação de marketing e quem tocou este projeto não se consultou com eles, ou no máximo fez pouco porque como sempre o importante é “preencha com qualquer buzzword de marketing que você queira”.

Eu sou da opinião que quem faz pouco de mim como cliente deve receber tratamento recíproco. Se eu realmente perceber que algum outro concorrente se preocupa realmente comigo me ganha para sempre. Para a sorte da VISA ainda não percebo em nenhum dos outros algo consistente, então por hora vou ficando.

Security Officer, Analista de Segurança, Gerente de Segurança, seja lá o nome. Hoje em dia está ficando cada vez mais comum a existência desta figura nas empresas.

E o que esta pessoa faz afinal ? Muitas vezes eu me pergunto se as pessoas sabem qual é o papel dela na organização, o que é trabalhar com segurança, e o que de fato é segurança da informação.

Mas o que fazem os profissionais de segurança afinal ? Dependendo de um lugar ou outro os seus papéis passam por funções tais como:

• Avaliar os riscos a que a empresa está exposta
• Elaborar políticas de segurança da informação
• Desenvolver processos ligados a sua área
• Auditar sistemas
• Compilar boas práticas de trabalho
• Fazer palestras de transferência de conhecimento
• Apontar erros e falhas arquiteturais em sistemas internos
• Criar controles para alertar sobre problemas ou atuarem automaticamente na sua correção
• Mensurar a segurança da empresas através de métricas apropriadas a sua realidade

e por último, mas sempre o mais importante:

• Levar a culpa caso algo dê errado.

Pode parecer uma piada, e obviamente é. Mas é uma piada de mal gosto.

Imagine o desafio desta pessoa:

• Ter que convencer toda uma organização a mudar seu jeito de trabalhar. Quem conhece um pouco de administração sabe que a mudança cultural é a mais difícil de implementar. Imagine  uma mudança cultural que vai contra a produtividade, contra a lei do menor esforço, contra tudo que as pessoas fazem intuitivamente. Isto sem trazer nenhuma recompensa imediata, nenhuma fonte de receita. É um grande teste de política e jogo de cintura.
• Entender o funcionamento da empresa e criar processos para minimizar sua exposição. Claro que existem boas práticas de segurança para se mirar. Mas cada empresa tem sua realidade e a aplicação dosada das boas práticas é fundamental ou então o trabalho não está sendo feito adequadamente.
• Ter conhecimento técnico profundo em cada uma das tecnologias que compõe o funcionamento da empresa, em geral mais profundo do que os técnicos que são especialistas, para ser capaz de visualizar os relacionamentos e interdependências e ainda achar no meio deste palheiro os pontos de falha. (Em geral, no nível de maturidade que estamos eu diria que é achar um paralelepípedo no palheiro, mas pensando no mundo ideal…)

Se você reparar existem atividades que lidam diretamente com um universo humano, com caráter administrativo, com políticas e processos. E existe um universo  que lida com questões absolutamente tecnologicas, abarcando todo espectro das disciplinas de TI.

Em geral os bons praticantes da segunda disciplina são em geral no mínimo  übber-nerd wannabees. Este tipo de pessoa em geral não é o com mais tendência a socialização.  E diria que o contrário também é verdadeiro. Poucos animais políticos tem o tipo de inteligência, a dedicação e o interesse por tecnologia requeridos para atingir um bom kung fu na parte tecnológica.

Existe alguém com este perfil ? Eu duvido. Ainda que existam pessoas com um mix razoável entre as duas coisas é muito difícil ter o domínio total. Alguém com perfil totalmente gerencial existe as pencas como em qualquer área. Übber geeks que manjam de tudo em tecnologia são poucos e cada vez  mais raros, pois cada vez mais crescem as opções entre sistemas operacionais, linguagens de programação, bancos de dados, etc.

Então por que se criou esta figura mítica ? Minha opinião é exatamente esta. É uma figura mítica. Ninguém entende o que é segurança então se terceiriza para um ser mágico capaz de absorver a responsabilidade. Isto salta aos olhos quando se espera que esta pessoa tenha que dar um parecer em um ou dois dias sobre algo novo ao qual esta sendo apresentado naquele momento. Se quem é especialista não foi capaz de perceber problemas será que é um pobre coitado, ainda que com toda uma experiência e um security mindset, que vai bater o olho e imediatamente achar os problemas ? Só acha mesmo porque como eu disse hoje em dia temos muito pouca maturidade, e o que ele faz é mostrar as falhas risíveis. No fundo não é para resolver, mas para eu poder dizer “o pessoal de segurança disse que tava bom” e praticar o bom e velho CYA.

Aonde quero chegar ? Quero dizer que eu acho que no futuro vai chegar um momento em que as pessoas vão ter a consciência de segurança, assim como ninguém sai de casa e não tranca a porta. Que esta responsabilidade vai ser dividida por todos. Se você gerencia um projeto e ele apresenta um problema de segurança a culpa é sua. Se você administra um sistema e ele tem falhas a culpa é sua. Se você é um gestor de RH e os funcionários da sua empresa tem uma cultura que permite o vazamento de informações a culpa é sua.

E qual o papel do “analista de segurança” nesta organização ? Ele é um guru, um consultor. É aquele que as pessoas procuram para ajudá-las a assumir sua responsabilidade. Não tenho o raciocínio de avaliação de riscos da minha área ? Não tem problema procuro o guru e ele vai me dar uns bons toques, me referenciar para a literatura correta, e comigo avaliar a efetividade do que estou implantando. Ele vai dar palestras internas sobre o tema. Seu papel será o de facilitador e não mais de responsável. Afinal de contas para ser responsável é preciso poder de mudar as coisas, e ninguém tem conhecimento, tempo, capacidade intelectual de absorver a empresa inteira e cuidar de todos os riscos pelos outros.

Isto transforma o profissional de segurança em solução e não mais problema. Afinal de contas ele está ali para me ajudar a fazer o meu papel. Quem nunca ouviu um “o pessoal de segurança só atrapalha”. Atrapalha porque é responsabilidade dele deixar a empresa segura, então ele que se dane com seus projetos, prazos, e problemas que eu vou cuidar do meu. Mas mudando a perspectiva quem vai ter que procurar, talvez implorar para ser ajudado é cada um no seu pequeno cubículo, com sua pequena responsabilidade.

Será que eu estou sonhando muito alto ?