O Richard Beijtlich recentemente fez um paralelo entre os piratas de navio dos tempos da expansão marítima com nossos representantes contemporâneos. Eu neste post vou fazer uma outra analogia histórica um pouco mais forçada.
Muitos profissionais de segurança hoje em dia vem de um passado de “hacker”
A maior parte dos analistas de segurança que eu conheço nunca exploraram o quintal do vizinho. Mas ainda assim conheço muitos que o fizeram. E tem muita empresa que acha isto bacana. Até o Bruce Schneier.(veja também os contrapontos do Markus Ranum(link no artigo) e Richard Beijtlich) Não deixo de concordar com o Bruce e com muitas pessoas que pensam assim que em vários pontos seus argumentos tem sentido. Mas com certeza não sou o único a me perguntar se “Dá para confiar ?”
Porque razão no mundo você colocaria uma raposa para tomar conta do galinheiro. Se a pessoa tem uma formação na sua estrutura de caráter e valores que acha legítimo se valer dos seus conhecimentos para abusar dos direitos dos outros porque esperar que ela de uma hora para outra irá mudar de comportamento e valores ? Só porque você está pagando salário para ela ? Como já convivi com algumas destas peças o que posso dizer é que realmente elas parecem assumir uma postura responsável nos seus empregos. Mas basta sair do escritório para perceber que elas continuam as mesmas. Em coisas simples como o relacionamento pessoal com outras pessoas e entidades, a forma como dirigem no trânsito. Então porque quem é responsável por mitigar riscos colocaria mais esta ameaça na equação ? Basta lembrar que este profissional hoje “está” na sua empresa, e sendo pago para usar todos os seus conhecimentos para fazer avaliação de vulnerabilidades. Se amanhã ele não “estiver” mais funcionário talvez não tenha mais o incentivo para ser tão responsável, e ainda por cima tem todo o conhecimento das suas falhas.
Não que eu esteja defendendo que não se tenha profissionais curiosos quanto as técnicas de segurança. É óbvio que o expertise é necessário para poder oferecer o famoso “teste de invasão” (que se é importante ou efetivo é outra discussão para post futuro), tanto quanto para ser capaz de entender e achar os atalhos no ambiente do cliente. É a questão já comentada antes do security mindset, que é necessário. O que eu estou dizendo é que ter interesse em botar em prática de forma ilícita são duas coisas diferentes. Eu por exemplo sempre fui curioso, mas nunca invadi um site sequer.(Sem falar no ótimo ponto do Ranum, reforçado pelo Beijtilich de que a abordagem de achar vulnerabilidades não tem paralelo na segurança física, onde se tratam as ameaças, o que é a única coisa que funciona.)
Então vamos a analogia. Nos filmes de velho oeste sempre vemos aquela história de faltar um Xerife na cidade. Então pessoal vai lá e cola uma estrela no peito do cara que sabe atirar melhor. Em muitos filmes o cara é até meio safado, aquele velho mocinho com crises morais. Mas ele é o atirador mais rápido da região. Hoje em dia isto não acontece mais porque a sociedade americana se organizou e cada cidade tem seu próprio corpo policial, que optou pela carreira, frequentou academia de polícia e esta lá pronto para defender a ordem e de quebra espancar uns negros e mexicanos, porque é isto que policial americano gosta de fazer nos filmes né ?
Sei que este post é meio polêmico e não digo que não respeite e admire alguns ex-hackers(será que são ex) que conheço. Não digo nem que nunca tenha contratado nenhum. Mas acho que se hoje o mercado é assim é porque é imaturo. Nas próximas gerações quando uma “cabeça de sociedade virtual” estiver mais disseminada um novo consenso sobre o que vale e não vale será consolidado. Existirá muito mais gente que entende este mundo e portanto maior disponibilidade de talentos. Aí não haverá a necessidade de se contratar os poucos que entendem este novo mundo. E aí ser “hacker” será ponto contra, pois haverá oferta suficiente de gente de passado imaculado com competência equivalente.
Olá Leo,
Sendo o primeiro post do seu blog que eu leio, confesso que fiquei um tanto perdido. Entendi os predicados, mas o sujeitos me faltaram. Sugiro que você coloque uma breve descrição de “quem é quem” na história para que leigos como eu possam entender a força e confiabilidade da argumentação dos citados. Outra dica é que os links no texto abram em uma nova janela (ou aba). O objetivo é não perder o leitor que pode se enveredar por outros sites e esqueçer de retomar a história…
Saudações computeiras,
Sergio Henrique
Comment por shgs — Sábado, 31/Maio/2008 @ 4:04 pm
Sergio,
Obrigado pelas sugestões. Não é a minha maior preocupação que a pessoa saiba quem disse, mas sim o que ela disse. Estou interessado no debate de idéias. Mas posso fazer um pequeno resumo dos citados:
Bruce Schneier, é um criptologista e escreveu alguns livros bastante famosos “Applied Cryptography” (muito usado em cursos universitários), “Secret and Lies” (talvez uma das melhores introduções a segurança da informação) e “Beyond fear” que trata basicamente de segurança nacional e da paranóia que o EUA virou pós 11/09. Além disso ele possui uma empresa de MSS (managed security services) chamada counterpane, escreve uma coluna mensal chamada Crypto-gram e tem o blog (que hoje em dia é a Crypto-gram em doses homeopáticas).
Markus Ranum é outra figurinha carimbada do mercado de segurança. Foi um dos criadores de um dos firewalls mais antigos (Gauntlet) e de praticamente o primeiro IDS comercial de sucesso (NFR). E escreve muita coisa interessante em seu site (www.ranum.com) ou no seu blog na Tenable. Um dos melhores textos são as “seis idéias mais idiotas sobre segurança”. Geralmente suas colocações tem um caracter meio iconoclasta, mas com sacadas muito boas e bem fudamentadas.
O Richard Beitjlich é um ex-militar americano especializado em deteção de intrusão. Seu foco é bem segurança no nível de rede mesmo. Ele possui uma página/blog chamado Tao Security. Também é um instrutor constante nos eventos de segurança da informação fornecendo cursos nesta área de segurança de redes, monitoração, IDS, etc.
Comment por leonardo — Sábado, 31/Maio/2008 @ 4:34 pm