Bomba - Crypto Break

Bomba : O enigma do Zero Day (Parte 2)

Bomba

Anteriormente, na parte 1, resumimos muitas histórias reais, aqui também é “a real”.  Não detalhamos muito,  mas apresentamos nuances que muitos profissionais de TI não percebem e, a princípio, desconhecem. Recebi comentários de muitos dizendo que não viram nenhuma bomba. Surpreendentemente, concluo que tem muito profissional ´mexendo` com segurança em ambientes de TI, como a Madame Mim (personagem Disney). O sinal vermelho da segurança da informação deveria estar aceso para o Zero Day da criptografia assimétrica e tecnologias correlatas.

Paradigma

Por exemplo, vi uma apresentação de uma profissional, com bastante experiência, que demonstrou muita qualidade e objetividade. Ela explicava sobre as dificuldades, atualmente, vividas no mundo da proteção de TI e seus usuários. Falou coisas concretas e reais, uma vez que descreveu mais de uma “bomba” que deveria transformar paradigmas carcomidos e ultrapassados. A audiência, entretanto, não caiu na real. E fica pior, quando identificamos que a maioria dos participantes atuam com segurança e proteção da informação.

A lógica apresentada, com efeito, é de que com novas tecnologias, a proteção dos dados e sistemas ficou bastante complicada. Assim sendo, a segurança com viés em ´endpoints` torna-se ineficiente – para ser bem ameno e educado – e a preocupação deve ser no usuário. A tal disruptura de acesso a dados e aplicativos deveria colocar mais interrogações do que certezas. Vejo muitos profissionais de segurança d eTI cometendo barbaridades sem o menor constrangimento.

Downsizing Radical

Inegavelmente, a inversão da lógica que tivemos nas décadas de 1990, com o downsizing dos mainframes, acelerou, de maneira dramática, o quadro de insegurança.

A lógica da mudança naquele momento, anteriormente à ruptura de plataformas, era de que:

Passado = 1 computador (mainframe) atendia 1000 usuários

Presente = 1 computador (micro) atendia 1 usuário

Futuro = 1000 computadores atendem 1 usuário

Portanto, chegamos ao ponto de que agora UM usuário tem acesso a milhões de computadores, é a nuvem sem controle ! Por outro lado, cada corporação não tem o mínimo controle de quem, como, onde e quando acessa suas informações. É a nuvem que não tem nada de passageira e que toma conta de processos onde o pessoal de startups, inovadores e quejandos. Preocupação com proteção da informação, fonte primária, confidencialidade, privacidade, autenticidade parece coisa para o futuro.

Perímetro

Da mesma forma, quem se propõe a defender informações em ambientes computacionais tem que mostrar uma noção exata e profundo conhecimento do perímetro deve ser protegido. É praticamente impossível proteger desde a geração da informação até o ambiente do usuário. A parafernália tecnológica criou absurdos e amarradas cruéis. Bancos, por exemplo, arrebentam os nossos sistemas operacionais e comem a memória de nossos equipamentos, tudo por conta de um simples acesso para ver o saldo bancário. Chamo de terrorismo virtual oficial obrigatório.

A chegada de coisas ´estranhas` como a Internet das Coisas (do termo inglês IoT – Internet Of Thinks) e de protocolos de comunicação por proximidade, jogaram no lixo qualquer projeção de proteção de borda ou limitada. E bomba está armada e os tais desenvolvedores não estão muito preocupados com proteção ou segurança da informação. Falar de irresponsabilidade de muitas grandes corporações, principalmente as que fazem de seus ERP´s verdadeiras ´balas de prata` para resolver problemas das corporações, é pouco. A cada nova ´solução` são inseridas dúzias de vulnerabilidades dentro e fora dos perímetros que as corporações devem proteger. O advento de regras como a GPDR e PGPD ativou a bomba da responsabilidade dos que trabalham por segurança preventiva e, principalmente, por aqueles que tem que ´se explicar` em caso de sinistros e outras quebras de segurança.

Babel Organizacional

Neste contexto de GPDR e LGPD, estabeleceu-se uma babel organizacional. Tenho presenciado discussões em que advogados estão estudando TI para atuarem nas questões da legislação. Muita gente inexperiente, mas que fez ótimos treinamentos de certificação em algum tema, para cuidar de ´compliance` e outros nomes bacanas. Observo, com elevadíssima preocupação, discursos nos quais é usada a figura do hacker como o grande malfeitor. Esta turma que obteve ´certificados` com diploma igual a galera da Marvel, que protege a tudo e a todos, tá se achando. Vou simplificar, #SQN.

Zero Day

Voltando tema introduzido no artigo passado (Bomba – O Enigma do Zero Day ), tenho a convicção que nosso Zero Day da criptografia assimétrica já aconteceu. Está aí, latente sendo ´testado` e como no ditado de Musashi, não é o NADA verdadeiro, é apenas confusão. E vai ficar um caos quando for provado que, muito daquilo que diz proteger bancos de dados inteiros, mesmo criptografados, não protege. E não se esqueçam de tecnologias ou processos, como Blockchain, que são sustentados pela criptografia assimétrica.

Houston, we´ve got a problem !

Muito além de Hollywood (Houston…), eu diria que a frase acima é bem atual para a segurança da informação que vivemos. Sim, meu camarada, nós (e não EU), temos um problema. Um problema que vocês ainda nem se deram conta e ficam por aí mangando de quem diz que segurança não é isto tudo que vocês pensam, ainda mais com criptografia assimétrica.

Sapos Piramidais

Um professor conhecido, que valorizo muito por sempre ter dado atenção para algumas de minhas ´paranoias`, escreveu uma série com título de ´Sapos Piramidais`. Estive em várias apresentações dele que quando ele começava a falar sobre a história dos sapos, parte da plateia levantava-se e saía. Como se não bastasse, os pobres coitados, não tem a mínima noção da parte da história que perderam. Devem estar ´mexendo` com segurança da informação até hoje. A ideia é de que sapos não se convencem de que a água fervendo irá matá-los, até que estejam mortos. Professor, o senhor tem razão, estes sapos são muito sem noção.

De acordo com Eugene Kasperky, no artigo Darwinismo em Segurança da Informação: Adapte-se ou Morra, sobre o futuro da segurança da informação existem algumas predições. O ´adapte-se ou morra`, que ele bem descreve, com a associação ao Darwinismo, com toda a certeza,  é a cara dos ´sapos piramidais`. E agora com burocratas de plantão, falseando titulação, promovendo apologia contra Darwinistas e outros absurdos, fica mais fácil sapos serem sacrificados.

Nesta altura da leitura, certamente o leitor mais distraído e confuso, já está praguejando e falando da minha ´insanidade`. Prefiro estar ao lado de Karpesky, Rezende, Aranha, Teixeira e outros ´insanos` mas que sabem o que é o NADA verdadeiro (ver citação de Musashi no post Part 1)

Nada provê segurança 100% em ambientes de TI, nem um decreto publicizado pelo TSE tupiniquim dizendo que ´A Urna é 100 segura`.

Falácias

Uma vez que, sou um homem de janeiro, um dos dez ´mandamentos` nosso é ser ´detector de mentira humano` (mentira aka falácia).

Assim,algumas falácias da computação distribuída, em nuvem, disruptiva ou qualquer outra (des)qualificação que apresentarem dizendo, dentre outras, que:

  • A rede é muito confiável
  • A latência é quase zero
  • A largura de banda é suficiente
  • A rede tem segurança elevada
  • A topologia da rede está estabilizada
  • A administração da rede é centralizada numa única pessoa
  • O custo da transferência de dados é praticamente zero
  • A rede possui homogeneidade sustentável

Certamente, qualquer profissional que conheça de criptografia assimétrica não cai nestes engodos. É absurda a quantidade de proteção da informação que está sendo colocada nos ombros da criptografia assimétrica.

Se você acredita que uma tecnologia pode resolver seus problema de segurança, 
então você não conhece os problemas e nem a tecnologia.

Bruce Schneier - Criptográfo

P.S. Utilizei esta frase na minha dissertação de mestrado defendida em Abril de 2000.

Previsões

Segundo estudo de uma das maiores empresa de segurança do planeta (McAfee), acima de tudo, as vulnerabilidades crescem à medida que mais se armazena dados na nuvem. Neste sentido, além do aumento de ataques a conteúdos na nuvem, o ataque e invasões exitosas em redes sociais é uma bomba real.

De acordo com a McAfee, ataques massivos previstos para 2019 são, por exemplo:

  • Roubo de grandes volumes de dados armazenados na nuvem.
  • Aumento no número de malwares móveis, botnets, fraudes bancárias e ransonwares.
  • Profusão de ataques simplificados que atingirão, notadamente, pequenas empresas e usuários domésticos.
  • Uso de técnicas e algoritmos sofisticados em data mining, machine learning e inteligência artificial.
  • Uso de bots vendidos ou disponibilizados gratuitamente em mensagens enganosas facilitando compartilhamentos.

Portanto, é como naquele slogan do carro a álcool no Brasil, no início da década de 1980, você ainda vai ter/ser um atingido em cheio.

Day After

A pergunta formulada na parte 1 desta trilogia era mera retórica. Assim como os alemães não estavam preparados para a quebra da criptografia da máquina enigma e confiavam mais na codificação de suas mensagens. Coitados… mudavam a ´semente` da chave privada todos os dias – rsrsrs – nós (isto mesmo, cara-pálida, NÓS!) não estamos preparados para o Day After.

Cheguei a ficar preocupado com a pecha de ´Ubaldo`, hoje tenho a certeza de que foi ótimo ser visto assim. Ainda restará provado que não tem nada de paranoia.

Em suma, “o tempo é senhor da razão” e espero que esta frase não provoque mais confusão na cabeça de muita gente bem intencionada.

A pergunta é: Será que o ataque à criptografia é somente pelos modelos previstos ? Seria melhor pensar fora da caixinha.

Bomba – Ataque na Criptografia

Enfim, este post é somente para afirmar que o Zero Day já aconteceu. O Day After é aqui e agora. Você não se deu conta e continua usando criptografia assimétrica como se fosse a coisa mais segura do mundo virtual. É como na música da Blitz ´… todo mundo quer ir para o céu, mas ninguém quer morrer …`.

Por isso, estamos (eu não !) à espera de um milagre que desarme a bomba e que as pessoas, principalmente a mídia, pare de confundir hacker com outras coisas.

Sabe aquele cadeado fechado que indica segurança com o protocolo HTTP + a letrinha “S” ? Você vai lembrar disso em breve !

 

Imagem: Reprodução Internet

P. S. – Reitero o pedido feito na página de “Advertências” deste espaço virtual. Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas. Coloquem aqui nos comentários ou na página do Facebook.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.