O Richard Beijtlich recentemente fez um paralelo entre os piratas de navio dos tempos da expansão marítima com nossos representantes contemporâneos. Eu neste post vou fazer uma outra analogia histórica um pouco mais forçada.

Muitos profissionais de segurança hoje em dia vem de um passado de “hacker”

A maior parte dos analistas de segurança que eu conheço nunca exploraram o quintal do vizinho. Mas ainda assim conheço muitos que o fizeram. E tem muita empresa que acha isto bacana. Até o Bruce Schneier.(veja também os contrapontos do Markus Ranum(link no artigo) e Richard Beijtlich) Não deixo de concordar com o Bruce e com muitas pessoas que pensam assim que em vários pontos seus argumentos tem sentido. Mas com certeza não sou o único a me perguntar se “Dá para confiar ?”

Porque razão no mundo você colocaria uma raposa para tomar conta do galinheiro. Se a pessoa tem uma formação na sua estrutura de caráter e valores que acha legítimo se valer dos seus conhecimentos para abusar dos direitos dos outros porque esperar que ela de uma hora para outra irá mudar de comportamento e valores ? Só porque você está pagando salário para ela ? Como já convivi com algumas destas peças o que posso dizer é que realmente elas parecem assumir uma postura responsável nos seus empregos. Mas basta sair do escritório para perceber que elas continuam as mesmas. Em coisas simples como o relacionamento pessoal com outras pessoas e entidades, a forma como dirigem no trânsito. Então porque quem é responsável por mitigar riscos colocaria mais esta ameaça na equação ? Basta lembrar que este profissional hoje “está” na sua empresa, e sendo pago para usar todos os seus conhecimentos para fazer avaliação de vulnerabilidades. Se amanhã ele não “estiver” mais funcionário talvez não tenha mais o incentivo para ser tão responsável, e ainda por cima tem todo o conhecimento das suas falhas.

Não que eu esteja defendendo que não se tenha profissionais curiosos quanto as técnicas de segurança. É óbvio que o expertise é necessário para poder oferecer o famoso “teste de invasão” (que se é importante ou efetivo é outra discussão para post futuro), tanto quanto para ser capaz de entender e achar os atalhos no ambiente do cliente. É a questão já comentada antes do security mindset, que é necessário. O que eu estou dizendo é que ter interesse em botar em prática de forma ilícita são duas coisas diferentes. Eu por exemplo sempre fui curioso, mas nunca invadi um site sequer.(Sem falar no ótimo ponto do Ranum, reforçado pelo Beijtilich de que a abordagem de achar vulnerabilidades não tem paralelo na segurança física, onde se tratam as ameaças, o que é a única coisa que funciona.)

Então vamos a analogia. Nos filmes de velho oeste sempre vemos aquela história de faltar um Xerife na cidade. Então pessoal vai lá e cola uma estrela no peito do cara que sabe atirar melhor. Em muitos filmes o cara é até meio safado, aquele velho mocinho com crises morais. Mas ele é o atirador mais rápido da região. Hoje em dia isto não acontece mais porque a sociedade americana se organizou e cada cidade tem seu próprio corpo policial, que optou pela carreira, frequentou academia de polícia e esta lá pronto para defender a ordem e de quebra espancar uns negros e mexicanos, porque é isto que policial americano gosta de fazer nos filmes né ?

Sei que este post é meio polêmico e não digo que não respeite e admire alguns ex-hackers(será que são ex) que conheço. Não digo nem que nunca tenha contratado nenhum. Mas acho que se hoje o mercado é assim é porque é imaturo. Nas próximas gerações quando uma “cabeça de sociedade virtual” estiver mais disseminada um novo consenso sobre o que vale e não vale será consolidado. Existirá muito mais gente que entende este mundo e portanto maior disponibilidade de talentos. Aí não haverá a necessidade de se contratar os poucos que entendem este novo mundo. E aí ser “hacker” será ponto contra, pois haverá oferta suficiente de gente de passado imaculado com competência equivalente.

Recentemente o Bruce Schneier escreveu sobre o security mindset. Realmente é impossível evitar pensar de um jeito diferente.

Ontem, dia das mães e último dia para trocar seus tiquetes de compras para concorrer a um carro em um Shopping Center próximo de casa, fui eu com minha esposa conseguir uns tickets para, com sorte, posar de Jack Bauer (ele fez anúncio do carro em questão recentemente).

O processo consistia em passar por uma atendente que realizava um cadastro seu em um computador, conferia as notas, cadastrava as notas em seu nome e entregava o número correspondentes de coupons. Ai você preenchia o coupon com seus dados: nome, cpf, rg, endereço, telefone, etc. E colocava em uma urna transparente. Ou seja, se você fosse ’sorteado’ seu coupon poderia estar chapado no vidro para qualquer um ver. E com as profusões de câmeras digitais que temos inclusive no celular é uma forma fácil e rápida de coletar um pequeno cadastro pessoal.

Ai eu fico pensando… nome, telefone, e número da nota de compras vá lá. É uma referência necessária e uma forma rápida de contactar o felizardo. Mas será que os outros dados são necessários ? Algumas perguntas:

1- A promoção é feita pela VISA. Ou seja eu já tenho cadastro com eles ou com algum banco com quem eles tem contato. Eles não tem os meus dados cadastrados ? Suponho que não seja tão fácil assim ter acesso a estes dados… Ok

2- Eu fiz o cadastro no computador e a mocinha registrou todos os meus dados de  novo, em um banco diretamente ligado a promoção. Ela inclusive fez a associação das notas com o cadastro. Eu acredito que se o negócio for minimamente sério algum batimento é realizado antes de se entregar as chaves ao sortudo. Preciso preencher no papel os meus dados de novo ? Todos aqueles ? Não seria mais fácil apenas colocar, nome, telefone e o número da nota ou do cadastro ?

3- Preencho meus dados pessoais e coloco na urna. A urna tem que ser transparente, expondo os dados dos concorrentes ? Precisa mostrar que esta cheia, então não pode ser translúcida ? Um plástico embaçado ?

4- Para onde vão estes papéis depois do sorteio ? Alguém garante a sua destruição ?

Se for começar a entrar nesta seara posso até começar a questionar se uma vez cadastrada a nota para concorrer se eu preciso dar meus dados antes de ganhar, mas aí até entendo que muita gente perderia a nota e isto poderia complicar o processo porque iria requerer vários sorteios, blá-blá-blá…

Tá, o cara tem meus dados e daí ?

• Daí que número de cpf e identidade é passe-livre no Brasil(o que também é um outro problema). Ligue para qualquer call-center e tente mudar algo no seu cadastro. O que vai ser pedido via de regra são estes dois maravilhosos dados. Se não forem naquela ficha ainda tinha telefone, endereço e outras coisas que as vezes ajudam.
• Estes dados facilitam muito uma engenharia social em você ou em alguém relacionado a você.
• E mais um monte de outras gracinhas ou nem tanto que fogem ao escopo do que quero dizer neste post.

O que deveria me assustar é que a VISA, que teoricamente é uma empresa que deveria vender segurança, e principalmente prezar pela segurança dos seus clientes, e em última instância minimizar seu prejuízo. Logo ela promove algo que expõe os dados dos seus clientes desta forma e ainda por cima manda uma mensagem de deseducação para os usuário.

Deveria mas não me assusta. Porque eu sei como são as empresas.  Porque tenho certeza que os profissionais de segurança que lá trabalham tem consciência e devem viver tentando melhorar as coisas. Mas isto é uma ação de marketing e quem tocou este projeto não se consultou com eles, ou no máximo fez pouco porque como sempre o importante é “preencha com qualquer buzzword de marketing que você queira”.

Eu sou da opinião que quem faz pouco de mim como cliente deve receber tratamento recíproco. Se eu realmente perceber que algum outro concorrente se preocupa realmente comigo me ganha para sempre. Para a sorte da VISA ainda não percebo em nenhum dos outros algo consistente, então por hora vou ficando.

Security Officer, Analista de Segurança, Gerente de Segurança, seja lá o nome. Hoje em dia está ficando cada vez mais comum a existência desta figura nas empresas.

E o que esta pessoa faz afinal ? Muitas vezes eu me pergunto se as pessoas sabem qual é o papel dela na organização, o que é trabalhar com segurança, e o que de fato é segurança da informação.

Mas o que fazem os profissionais de segurança afinal ? Dependendo de um lugar ou outro os seus papéis passam por funções tais como:

• Avaliar os riscos a que a empresa está exposta
• Elaborar políticas de segurança da informação
• Desenvolver processos ligados a sua área
• Auditar sistemas
• Compilar boas práticas de trabalho
• Fazer palestras de transferência de conhecimento
• Apontar erros e falhas arquiteturais em sistemas internos
• Criar controles para alertar sobre problemas ou atuarem automaticamente na sua correção
• Mensurar a segurança da empresas através de métricas apropriadas a sua realidade

e por último, mas sempre o mais importante:

• Levar a culpa caso algo dê errado.

Pode parecer uma piada, e obviamente é. Mas é uma piada de mal gosto.

Imagine o desafio desta pessoa:

• Ter que convencer toda uma organização a mudar seu jeito de trabalhar. Quem conhece um pouco de administração sabe que a mudança cultural é a mais difícil de implementar. Imagine  uma mudança cultural que vai contra a produtividade, contra a lei do menor esforço, contra tudo que as pessoas fazem intuitivamente. Isto sem trazer nenhuma recompensa imediata, nenhuma fonte de receita. É um grande teste de política e jogo de cintura.
• Entender o funcionamento da empresa e criar processos para minimizar sua exposição. Claro que existem boas práticas de segurança para se mirar. Mas cada empresa tem sua realidade e a aplicação dosada das boas práticas é fundamental ou então o trabalho não está sendo feito adequadamente.
• Ter conhecimento técnico profundo em cada uma das tecnologias que compõe o funcionamento da empresa, em geral mais profundo do que os técnicos que são especialistas, para ser capaz de visualizar os relacionamentos e interdependências e ainda achar no meio deste palheiro os pontos de falha. (Em geral, no nível de maturidade que estamos eu diria que é achar um paralelepípedo no palheiro, mas pensando no mundo ideal…)

Se você reparar existem atividades que lidam diretamente com um universo humano, com caráter administrativo, com políticas e processos. E existe um universo  que lida com questões absolutamente tecnologicas, abarcando todo espectro das disciplinas de TI.

Em geral os bons praticantes da segunda disciplina são em geral no mínimo  übber-nerd wannabees. Este tipo de pessoa em geral não é o com mais tendência a socialização.  E diria que o contrário também é verdadeiro. Poucos animais políticos tem o tipo de inteligência, a dedicação e o interesse por tecnologia requeridos para atingir um bom kung fu na parte tecnológica.

Existe alguém com este perfil ? Eu duvido. Ainda que existam pessoas com um mix razoável entre as duas coisas é muito difícil ter o domínio total. Alguém com perfil totalmente gerencial existe as pencas como em qualquer área. Übber geeks que manjam de tudo em tecnologia são poucos e cada vez  mais raros, pois cada vez mais crescem as opções entre sistemas operacionais, linguagens de programação, bancos de dados, etc.

Então por que se criou esta figura mítica ? Minha opinião é exatamente esta. É uma figura mítica. Ninguém entende o que é segurança então se terceiriza para um ser mágico capaz de absorver a responsabilidade. Isto salta aos olhos quando se espera que esta pessoa tenha que dar um parecer em um ou dois dias sobre algo novo ao qual esta sendo apresentado naquele momento. Se quem é especialista não foi capaz de perceber problemas será que é um pobre coitado, ainda que com toda uma experiência e um security mindset, que vai bater o olho e imediatamente achar os problemas ? Só acha mesmo porque como eu disse hoje em dia temos muito pouca maturidade, e o que ele faz é mostrar as falhas risíveis. No fundo não é para resolver, mas para eu poder dizer “o pessoal de segurança disse que tava bom” e praticar o bom e velho CYA.

Aonde quero chegar ? Quero dizer que eu acho que no futuro vai chegar um momento em que as pessoas vão ter a consciência de segurança, assim como ninguém sai de casa e não tranca a porta. Que esta responsabilidade vai ser dividida por todos. Se você gerencia um projeto e ele apresenta um problema de segurança a culpa é sua. Se você administra um sistema e ele tem falhas a culpa é sua. Se você é um gestor de RH e os funcionários da sua empresa tem uma cultura que permite o vazamento de informações a culpa é sua.

E qual o papel do “analista de segurança” nesta organização ? Ele é um guru, um consultor. É aquele que as pessoas procuram para ajudá-las a assumir sua responsabilidade. Não tenho o raciocínio de avaliação de riscos da minha área ? Não tem problema procuro o guru e ele vai me dar uns bons toques, me referenciar para a literatura correta, e comigo avaliar a efetividade do que estou implantando. Ele vai dar palestras internas sobre o tema. Seu papel será o de facilitador e não mais de responsável. Afinal de contas para ser responsável é preciso poder de mudar as coisas, e ninguém tem conhecimento, tempo, capacidade intelectual de absorver a empresa inteira e cuidar de todos os riscos pelos outros.

Isto transforma o profissional de segurança em solução e não mais problema. Afinal de contas ele está ali para me ajudar a fazer o meu papel. Quem nunca ouviu um “o pessoal de segurança só atrapalha”. Atrapalha porque é responsabilidade dele deixar a empresa segura, então ele que se dane com seus projetos, prazos, e problemas que eu vou cuidar do meu. Mas mudando a perspectiva quem vai ter que procurar, talvez implorar para ser ajudado é cada um no seu pequeno cubículo, com sua pequena responsabilidade.

Será que eu estou sonhando muito alto ?

É uma velha questão que ninguém sabe a resposta. Cada um tem a sua opinião e cada lado tem argumentos muito fortes. É um daqueles pontos que segurança da informação deixa de ter um forte viés tecnológico e passa a ser quase que pura ciência social.

Mas afinal os usuários tem que ser educados ou não ?

Eu já pensei que sim, porque afinal de contas a tecnologia está aí para resolver seus problemas e basta que eles saibam utilizar. Mas a complexidade é muito grande e a ferramenta meio acaba virando fim.

Eu já pensei que não, afinal de contas porque não podemos como indústria oferecer um produto seguro para nossos usuários ? Mas a que custo isto viria ? Que funcionalidades teriam que ser eliminadas ? Como se conseguiria uma interface amigável e ao mesmo tempo segura ? É um grande desafio.

Hoje eu procuro andar no caminho do meio.

A coisa toda é muito mais do que isto. Informática não é um carro projetado por engenheiros e produzido em uma fábrica para nós usuários finais leigos. É algo muito mais complexo, orgânico e integrado na nossa vida. Quem produz software é uma software house, mas também é um hobbista, sem formação na área que “coça suas próprias coceiras” e do seu quartinho com um pc velho faz software open-source para o mundo todo.

A coisa toda, este mundo de software/serviços/internet, cresce de uma forma desordenada, meio que por seleção natural. Colocar regras não faz sentido. Porque se ninguém me dá a funcionalidade que eu quero eu mesmo faço. Eu não compro o software de prateleira, mas pego o que alguém disponibilizou na internet. As funcionalidades mais do que nunca estão na mão do usuário e das escolhas que ele faz. Porque de uma forma nunca vista ele pode escolher…

Se ele pode escolher então ele tem que fazer as escolhas certas, e para tal precisa saber mais, pois de suas escolhas dependerá a sua segurança e a dos demais. Mas uma coisa que eu acredito é que ninguém ensina ninguém. Quando você estiver pronto para aprender você o fará. Sim, eu acredito que educar o usuário é necessário, senão não faria este blog. Acho que temos que disponibilizar a informação para aqueles que estão prontos para absorvê-la.

Continuo achando que temos que melhorar sempre o software que produzimos, e estamos muito longe do que pode ser feito sem prejuízo algum em funcionalidade. Podemos entregar o que entregamos muito mais perto de ser bug-free do que hoje.

Mas acima de tudo acredito que o ser humano gosta de liberdade e aprende com seus erros, pagando o preço por isto. Cabe aos usuários as escolhas, e eles sempre escolhem viver no limite de onde sentem que podem ir. Por isto acima de tudo acredito na frase final do Markus Ranun: no futuro as coisas serão tão inseguras quanto poderão ser, de forma que ainda funcionem. Assim como hoje !

Esta citação eu tirei de uma interessante discussão de dois grandes pensadores em segurança Bruce Schneier e Markus Ranum. Vale a pena ver os dois artigos:

http://www.ranum.com/security/computer_security/editorials/point-counterpoint/homeusers.htm

Pessoal, estou de férias. Achei que conseguiria ter acesso mais fácil a internet, mas não estou conseguindo com freqüência. Mesmo assim vou tentar deixar alguma coisa pronta para postar da próxima vez.

Semana que vem estou de volta.

Voltando ao DRM, conforme já expliquei no post anterior o DRM é uma idéia praticamente fadada ao fracasso porque:

1. Você está tentando proteger o conteúdo de quem deve ter acesso a este. E portanto você tem que dar acesso ao conteúdo de uma forma “controlada”
2. Se sua proteção funciona para 99% dos usuários e apenas uma pequena parte é capaz de burlar seu sistema falhou. Porque provavelmente boa parte dos 99% já seriam usuários que não iriam tentar burlar. E quem conseguiu burlar tem custo nenhum para fazer quantas reproduções desejar, ou distribuir online, etc, etc…
3. O sistema penaliza quem não deveria ser penalizado. Repare que muitas vezes a proteção causa algum tipo de amolação ao usuário, justamente o bom usuário que te sustenta. Muitas vezes ele não consegue usar o produto em todos os seus reprodutores, mesmo os que deveriam legitimamente tocar, ele perde o direito a fazer alguns usos que sempre foram considerados razoáveis (fair use) como ter uma cópia de segurança, e por aí vai. Ou seja é um sistema que causa muito mais problemas para quem é honesto do que para quem não é.
4. Algumas proteções não precisam ser necessariamente quebradas. Se meu dvd possui conteúdo criptografado eu não preciso quebrar a criptografia. Basta conseguir fazer uma cópia 100% fiel da mídia.

Entrando mais em detalhes no ponto 1 temos que entender o que é uma forma “controlada” de prover conteúdo. Como eu já expliquei se eu encripto um conteúdo eu tenho uma chave de criptografia.

(abrindo um parênteses, criptografar nada mais é que aplicar uma função matemática que torna praticamente impossível a um terceiro “ler e entender” o conteúdo. Esta função tem que ter uma função de retorno que permita recuperar o original. Se eu utilizar todas as vezes a mesma função eu perco a capacidade de individualizar a mensagem. Basta eu conhecer a função de retorno da mensagem A para ser capaz de ler a mensagem B, mesmo que eu não deva. Criar um algoritmo de criptografia de qualidade é algo bastante desafiador, e utilizar uma funcao diferente para cada mensagem seria impossível. O que se faz então é utilizar algoritmos muito bons que tem como uma das suas entradas uma chave que permite individualizar aquela “sessão de encriptação”. )

E esta chave criptográfica é necessária ao recipiente para poder decriptar. Logo ela deve vir junto de um conteúdo de mídia com DRM. Recentemente o tão badalado esquema de criptografia dos novos formatos de vídeo de HDTV foi quebrado simplesmente realizando uma busca em todo conteúdo do DVD. A idéia do sujeito foi super simples. Se ela está lá basta fazer uma busca byte a byte. E ele varreu todo o conteúdo do DVD testando todas as seqüências de byte como chave para decriptar o conteúdo. Batata ! Em algum tempo achou.

Então como podemos acrescentar algum controle a isto ? Somente se o usuário não puder fazer o que quiser com os leitores de mídia. Mas os computadores são de propósito geral e fazem tudo que seus donos os “instruem” a fazer dentro do que é computacionalmente possível. E esta arquitetura aberta que é o grande charme do PC. E quando eu digo PC aqui, quero dizer no sentido lato, mas principalmente na família IBM PC, que foi realmente um projeto totalmente aberto. Nã0 é por outro motivo que foi a arquitetura vencedora da guerra mercadológica nas últimas décadas apesar de em muitos casos não ser tecnologicamente a mais avançada.

Então a solução é criar um PC em que seu dono não possa fazer tudo. Isto tem nome e já existe. É a chamada Trusted Computing Plataform (plataforma de computação confiável). Na qual é possível confiar que o usuário não vá bolir com “certas áreas protegidas”. E a proteção é por hardware. Imagine um pc de propósito geral igual ao que você possui. Mas ele tem áreas de memória que você (e nem mesmo o sistema operacional) consegue acessar, e roda códigos que você não pode alterar.

Aí dá para ter DRM. Porque eu mando uma mensagem para o seu TC module e ele cuida das funções de decriptar e te repassar o conteúdo (não exatamente, mas próximo disto). Dá para ter proteção contra cheating em jogos online (MMORPGS), dá para ter ferramentas de segurança mais poderosas (antivírus, antispywares), dá para proteger o conteúdo do HD do seu laptop contra roubo(criptografando). Dá para fazer coisas muito legais como identificar sua máquina na internet de forma única e sem repúdio (e viva a privacidade) !! Dá até para impedir que você troque o sistema operacional da sua máquina. Sua ? Bom… acho que não é mais uma máquina para chamar de sua… Reparou que isto quebrou totalmente o grande charme da arquitetura do PC e a raíz do seu sucesso ?

Outra opção é não sofisticar tanto, não precisa ser por hardware. Se eu consigo simplesmente mexer no seu sistema operacional e colocar um módulo de software rodando no nível mais alto de permissão. Com este módulo eu posso monitorar e controlar muita coisa que o usuário pode tentar fazer mas não é do interesse do proprietário do conteúdo. E eu posso fazer isto tudo sorrateiramente de forma a ficar transparente para o usuário que existe este módulo. Mas os hacker já faziam isto há muito tempo. Era chamada a tecnologia de rootkit. Pois foi exatamente o que a Sony fez há pouco tempo atrás e o resultado foi o maior bafafá quando descobriram. Engraçado que apesar de pedir desculpas em público ela parece que não aprendeu a lição pois recentemente lançou um USB Stick utilizando a mesma tecnologia.

Agora porque você precisa burlar o sistema operacional se você já pode ter todas estas “features” com alta agregação de valor para o usuário final embutidas pelo próprio fabricante. É isto que a Microsoft fez no Vista. Reescreveu o sistema operacional inteiro do zero para incluir nova arquitetura de segurança que inclui um suporte visceral para DRM. Uma análise completa do que implica esta nova arquitetura eu deixo para o Peter Guttman em seu paper Uma análise de custo do Sistema de DRM do Windows Vista. O paper é inglês e esbarra em um certo tecnicismo, mas não é uma leitura difícil.

Sempre gostei de compartilhar o que sei e de escrever. Então já fazia um tempo que tinha a idéia de fazer uma página de segurança escrevendo artigos. Isto mesmo antes de blogs existirem.

A idéia nunca foi para frente porque uma página de artigos precisa ser feita e cuidada. Artigos precisam ser escritos e dão trabalho. Nada pior do que fazer algo para nunca ser atualizado e cair na mesmice.

Então sempre fiquei nesta até que há alguns meses comecei a pensar neste blog mais no formato final. Inspirei-me em alguns outros projetos.

Talvez o principal seja o Security Now. Este é um podcast semanal que o Steve Gibson, junto com o apresentador Leo Laporte, faz todas as quintas-feiras explicando segurança para “leigos”.

O Steve Gibson é uma figura controversa. Ganha dinheiro principalmente com um produto de recuperação dados de HDs que até hoje escreve em ASSEMBLY. Para quem não sabe é praticamente linguagem de máquina, a forma mais complexa possível de desenvolver algo.

Hoje em dia desenvolver aplicações totalmente nesta linguagem é uma coisa para “macho”, e totalmente sem sentido pois é plenamente possível escrever apenas partes específicas do seu sistema que requeiram velocidade extrema e chamá-las de um esqueleto mais organizado escrito em uma linguagem de mais alto nível.

O Steve Gibson também já comprou umas brigas esquisitas, meio por causa de sua personalidade de papagaio. Afirmou que uma vulnerabilidade do Windows no ano passado (wmf) só poderia ter sido criada deliberadamente, e nunca um erro de programação, o que foi negado pela MS posteriormente.

O Leo Laport além deste podcast, tem vários outros, cobrindo uma gama de assuntos relacionados a tecnologia. Na verdade ele prefere chamá-los de netcasts, devido a política da Apple que tem processado que usa o afixo Pod em seus produtos. Outro que gosto muito é o TWIT (This Week in Tech) onde ele discute com um grupo de nerds famosos o que aconteceu na semana.

O problema do Security Now é que apesar do Steve Gibson ser muito bom nas suas explicações e procurar ser didático em alguns momentos escorrega na linguagem. Eu diria que é perfeito para quem tem uma boa noção de computação mesmo não sendo profissional. É bem estruturado. Os tópicos vão evoluindo em uma linha lógica. Mas é em inglês falado que derruba muita gente, até quem lê e escreve.

Outra iniciativa que me inspirou foi do Scott Granneman, que é um colunista da Security Focus.  Praticamente quando eu decidi que precisava realmente colocar em prática a idéia deste blog, foi ao ler sua coluna. Ele comentou há um tempo atrás da necessidade de educar o usuário com exemplos simples. E resolveu criar um wiki para hospedar estas explicações. Aberto para quem quiser contribuir. Mas em inglês é claro. Curiosamente ele fala do Steve Gibson também ao explicar a sua iniciativa.

Fora isto devo citar o Bruce Schneier que foi uma pessoa que já colocou muitas idéias no lugar para mim. Conceitos que você aprende de uma forma técnica ou empírica, mas que não sabe como explicar de uma maneira fácil. Ou que nunca correlacionou com outras coisas. A referência básica é o Segredos e Mentiras. Leitura de qualidade para qualquer pessoa independente do nível de conhecimento de segurança e computação. Este livro que me mostrou pela primeira vez que dá para falar de segurança de uma forma simples e clara para que qualquer um possa entender e ainda assim chegar em um nível de profundidade muito bom.

Uma questão bastante presente hoje é o gerenciamento digital de direitos autorais. Mas que direito é este ?

Parece-nos óbvio com nossa cabeça de sociedade cristã ocidental do início do século XXI que uma obra pertence a seu autor. Mas porque será que é assim ?

“Porque é justo, ora bolas.” você me dirá.

E o que é justo ? Quanto você utilizou da cultura da sociedade onde vive, de anos de pensamento, teorias científicas, interações sociais para se construir como uma pessoa ? E quanto desta mesma fonte você utilizou para dar sua contribuição. Quando Newton disse: “Se eu vi mais longe foi porque eu estava sobre os ombros de gigantes” ele estava apenas dando o devido valor ao trabalho dos seus predecessores.

Então como pode ser justo você acrescentar seus dois centavos a esta herança milionária e chamar de sua ? Mas os direitos autorais, patentes e cia estão ai, e não é a toa que foram criados.

A mesma sociedade que te fornece toda a matéria-prima também percebeu há um tempo atrás que ela se beneficia do produto do seu trabalho, principalmente se ele for inovador. E portanto é interessante criar instrumentos para incentivar a produção cultural (direitos autorais), e evolução científica(patentes), permitindo que você coloque uns caraminguás no bolso além da satisfação por um bom trabalho realizado. Mas não podemos perder de vista que a verdadeira função econômica da patente e dos direitos autorais é promover o desenvolvimento cultural e social.

Então o que é o movimento do software livre ? Apenas alguns malucos que acham que se todo mundo compartilha seu código-fonte a computação como ciência, e os produtos gerados por ela tendem a se desenvolver mais rápido.

A grande questão é saber então pesar como estes direitos tem que ser concedidos, sob quais condições, por quanto tempo, etc, etc, etc. A sociedade muda, as relações mudam e os direitos autorais também tem que mudar.

Mas para sair da discussão filosófica que não é o foco primário deste blog e voltar para a “segurança” que aí está eu deixo a melhor apresentação que já vi sobre o assunto que foi feita pelo Cory Doctorow, que é um escritor de livros, “embaixador” da EFF na Inglaterra e escreve em um dos blogs mais famosos do mundo o BoingBoing. Uma palestra que ele ministrou na Microsoft na versão em português ou inglês (aqui tem até o vídeo).

Voltamos a parte técnica. Já que existe o direito e já que no mundo digital é assim tão fácil copiar surgiu a idéia de proteger o conteúdo através da tecnologia. Mas que tecnologia ?

Que tal criptografar o conteúdo ?

A criptografia é uma tecnologia que serve para enviar uma mensagem da pessoa A para a pessoa B (Alice e Bob ? ) sem que outra pessoa E (Eve ? ) no meio do caminho consiga ler. Para tal existem algoritmos que em geral requerem uma chave para individualizar a sessão. O conhecimento da chave por Alice e Bob é que garante o entendimento. Mas pensa bem, quem é o Eve nesta história ? Não é o Bob ? Hmmm… então eu quero te vender um DVD e você pagou pelo conteúdo, logo tem que ver. E eu encripto o conteúdo para protegê-lo de você ? Já deu para entender sem entrar em detalhes técnicos que isto não vai dar certo. Bom… isto é de uma forma simples o motivo pelo qual eu acho que ele não funcionou e nem nunca funcionará.

Deixa eu ficar por aqui hoje.

Como prometi vou continuar o post anterior sobre negação de serviço. Desta vez vamos falar de quais recursos podemos exaurir para tirar um serviço online do ar.

Já falamos da rede, que pode ser entupida. Mas do outro lado da linha temos computadores. E computadores utilizam CPU e memória para trabalhar. Logo outra forma de tornar o sistema indisponível é utilizar o sistema de forma a gastar mais memória e/ou capacidade da CPU do computador. Isto é fazendo o sistema rodar o que tem de mais complexo. E quem sabe um pouco de computação é capaz de avaliar o quão custosa uma certa funcionalidade pode ser.

Aqui temos um paradoxo interessante. Muitas vezes pode-se tentar acrescentar funcionalidades complexas de forma a “proteger” um sistema. E esta funcionalidade é que pode permitir que se derrube o mesmo.

No computador também temos um Sistema Operacional rodando, (Windows, Unix, MacOS…) e dentro deste também temos recursos finitos. Por exemplo temos uma tabela onde se controla quais são as conexões de rede estabelecidas por este computador, afinal de contas ele tem que saber com quem está conversando. A medida que eu abro conexões eu vou preenchendo esta tabela, mesmo que eu não troque quase nada de dados. Eu posso chegar a um ponto de utilizar todas as conexões do computador, não estar trocando dado nenhum, não consumir portanto CPU, memória e rede, mas o Sistema Operacional não ser capaz de armazenar nenhuma nova conexão, ignorando todo mundo que deseja conversar com ele. Uma variação deste ataque já foi muito comum no passado. Hoje em dia já há mecanismos para controlar este tipo de ataque quando feito sob certas condições.

Por fim existe aquele tipo de negação de serviço que já citei no exemplo do carro no post anterior. que consiste em achar algum bug no software que roda no servidor e utilizá-lo para fazê-lo parar. Bugs existem para todos os gostos. Alguns permitem coisas muito danosas como executar código de um atacante, roubar uma sessão autenticada de um usuário, etc. Também existem bugs que simplesmente fazem o programa capotar, isto é parar de executar. É fácil ver que esta última classe não é das mais difíceis de ocorrer, porque ela simplemente requer que o programa se perca, de uma forma mais ou menos “genérica”, apenas suficiente para que não consiga mais executar naquele estado, sem dar qualquer facilidade a mais para o atacante.

Acho que com isto dei um panorama geral do que são os tipos de ataque de DOS. Eu deliberadamente omiti o chamado DDOS que é a negação de serviço distribuída.

Autenticação é um requisito de sistemas com mais de um usuário em que se queira personalizar a utilização. Ou seja, praticamente todos. Mas nossa cabeça limitada de seres humanos não consegue armazenar um sem número de logins e senhas de cada sistema.

Quem trabalha com segurança sabe que este é sempre um ponto difícil de gerenciar. Pois os usuários tem coisas mais importantes para gastarem seus neurônios do que ficar armazenando senhas complexas. E cometem todo tipo de pecadilhos. Senhas de palavras de dicionário, muitas vezes relacionadas com seus dados biográficos, repetidas entre sistemas. Isto para não falar de quem anota no Post-It e cola na tela do computador a mostra de todos.

Por isto mesmo já se tentaram várias soluções, algumas delas bastante eficientes para gerenciar multiplas senhas. Eu particularmente utilizo o PasswordSafe. Assim reduzo meu problema a lembrar de uma senha apenas, para o bem ou para o mal. Mas como mantenho meu banco de dados de senha em um pendrive a segurança está baseada em dois elementos de proteção (que costumamos chamar de 2 fatores): ter a posse do meu pendrive e saber a senha mestra, que obviamente não é das mais fáceis.

A questão das múltiplas identidade no entanto tem muito mais aspectos do que simplesmente a senha. Se você é uma pessoa só porque sua identidade é diferente em cada lugar ?

É comum se falar de sistemas de SSO, ou Single Sign On nas empresas que consiste em ter uma conta única para tudo e só se autenticar uma vez, passando de um sistema para o outro já logado. Mas não é disto que estou falando. Estou falando da nossa vida online, com esta multitude de portais e serviços. Sem uma administração centralizada.

Porque você tem que se cadastrar múltiplas vezes ?

Eu particularmente odeio ter que preencher um cadastro para ler um artigo apenas, ou baixar um programa uma única vez. (Mas como para tudo tem solução existe o BugMeNot que provê senhas pré-cadastradas para sites não-pagos). Não resolve no entanto o problema de postar um comentário em um blog de um amigo onde não sou cadastrado.
Ninguém expressou isto tão bem qual é a nossa necessidade nesta Web2.0 como a famosa palestra do Dick Hardt na Oscon 2005 sobre Identidade 2.o . Tirando o lado marketeiro é isto mesmo que nós queremos.

E a questão dos relacionamentos ? Porque eu não posso carregar meus amigos do Orkut para o Myspace, Flixter, Facebook ?

E meu perfil, meus gostos tudo mais. Porque a minha autenticação não pode ser algo mais que simplesmente um login e senha cadastrado, mas representar minha identidade na rede, como um Netizen ? Quebrar a barreira entre os sites, mudar o paradigma. Eu passo a ter um ponto único que provê minha identidade de uma forma muito mais ampla. E me afilio aos sites que me interessam, ou utilizo-os apenas uma vez.

Isto existe ? Bom… é o que o pessoal do OpenID propõe. Muito bem apresentado pelo Simon Willison na palestra abaixo.