Enigma do Zero Day

BOMBA: O Enigma do Zero Day (Parte 3)

Revival

Anteriormente, escrevi dois textos alusivos àquilo que denominei O Enigma do Zero Day. Muita coisa mudou e minhas expectativas de escrever um terceiro texto, tipo trilogia, logo após os dois textos, esvaiu-se. Entretanto, não foi completamente em vão. Pensei bastante, estudei muito, comecei a escrever um artigo acadêmico e resolvi reescrever completamente a parte 3. Adicionalmente, pensei em ter uma parte parte final, desmembrada deste texto. Suspendi a publicação e farei a liberação ao público e nas redes sociais, quando for o momento correto.

Parte 1

Em (BOMBA: O Enigma do Zero Day) a ideia era contextualizar e mostrar que a maioria das pessoas não estava nem pensando no assunto. A proposta foi parcialmente atingida quando algumas pessoas pararam para pensar. Entretanto, a maioria dos leitores deram de ombros como se fosse algum tipo de paranoia. Alguns poucos comentários e alguma atenção de especialistas ou profissionais de TI, nada de significativo.

Parte 2

Por outro lado, em (BOMBA: O Enigma do Zero Day), a tentativa foi de chamar a atenção de técnicos mais afeitos à questão da segurança da informação. Certamente, foi muito pior do que a Parte 1. Seja pelo interesse geral ou pela perspectiva de elevar o foco sobre a temática. As possibilidades e constatações de quebra de segurança, de algo dado como “seguro” e “confiável”, aumentam e poucos se sensibilizam.

Num primeiro momento tentei “filosofar” e fazer trocadilhos com o Enigma de Turing. Logo após, busquei abordagens mais atuais sem muito sucesso.

Agora vou ser mais direto, muito além das explicações sobre Zero Day, Exploits, Enigma, Bombe e afins. Se não entenderam, busquem ajuda com os universitários ou com algum especialista. Certamente, tem alguma empresa capacitada para implantar algum pacote, box, SendBox etc por módicos preços e que desvendam qualquer enigma.

LGPD e GPDR

Lei Geral de Proteção de Dados (LGPD) é o equivalente à General Data Protection Regulation (GDPR). Citei as siglas em textos anteriores de uma maneira crítica. Talvez, advogados e bacharéis de Direitos assumirão a prerrogativa e reserva de mercado da “proteção da informação”. Em resumo, eles pensam que as leis e a justiça são capazes de resolver o problema da insegurança da tecnologia.

Agrava-se quando profissionais de TI criticam posicionamento de profissionais de segurança aplicada tecnicamente sobre LGPD e GDPR. Talvez estejam de olho no filão que arrumaram ao se aliar a escritórios de advocacia famosos por navegar no pseudo “direito informático”. Como se não bastasse, é assustador a “briga” que vejo, sem que as pessoas pensem realmente na privacidade, segurança e qualidade da informação. Estão preocupados em multas e responsabilidade e não com a qualidade e integridade da informação.

Assim sendo, vou parafrasear Thomas Jefferson que disse: “Quando os homens são éticos, as leis são desnecessárias; quando os homens são corruptos, as leis são inúteis” (1). Eu me aproprio e digo que quando um homem é ético, não precisa de LGPD, portanto, quando um homem não preocupa-se com a ética, não tem LGPD ou GDPR que o segure.

Enigma da Tecnologia

As tecnologias estão sendo tratadas, aplicadas e avaliadas de maneira muito estranha, é provável que desvendem um enigma que as pessoas nem sabem o que realmente é.

Enigma - Signal Magazine

Máquina Enigma – Signal Magazine

BlockChain

Vejamos, por exemplo, o caso do Blockchain que tem como base a criptografia assimétrica. Quase todas as criptomoedas e processos “disruptivos” como smart contracts tem base de segurança nesta tecnologia.

Ao mesmo tempo, em eventos sobre segurança da informação presencio declarações apaixonadas e arroubos corajosos sobre estas tecnologias. Ninguém aborda a proposta de desvendar enigmas com as “soluções” encaminhadas. Num destes eventos, perguntei ao palestrante de Blockchain: E se a criptografia assimétrica tiver seu Zero Day amanhã, estamos preparados? Como fica a segurança de tudo que foi feito baseado nestas premissas?

A pergunta é enigmática, mas a resposta que ouvi de várias pessoas que entendem a pergunta é: FODEU TUDO!

Tenho lido, escrito por especialistas, que Blockchain é a solução para elevação da segurança e proteção à integridade da informação. Surpreendentemente, torna-se mais crítico quando vejo defensores de criptografia “privada” feita por raiz que pode ser construída num smartphone, ser “confiável” e “segura”.

Se bem que, quando penso neste assunto, lembro da DAO (do inglês Decentralized Autonomous Organization), que foi o mais exitoso captador de recursos para colocar Blockchain funcionando. Logo em seguida ao início do funcionamento descobriu-se um furo de segurança(2) e tiveram que refazer tudo, do zero.

Fico pensando se um problema com a criptografia assimétrica ferrar, por exemplo, com a lógica de registro de imóveis, transferência de criptomoedas, processos judiciais. Ocorrendo um problema, como proteger bilhões de documentos e processos se não conseguimos desvendar o enigma?

Enigma de Kerckhoff

Desde que passei a estudar o assunto (criptografia) fiquei assustado com alguns princípios que são levados à ferro e fogo até hoje. Fico intrigado com profissionais de TI, se passando por experts em redes e segurança da informação, colocando em dúvida qualquer um que questione dogmas e pré conceitos.

Recentemente, perguntei a outro palestrante, porque ele acreditava ser o protocolo HTTPS superior ao HTTP. Ele falou sobre algoritmos fracos e fortes, sobre tamanho da chave etc. Entretanto, quando perguntei sobre vulnerabilidades, a resposta foi: “… se não for computação quântica, não tem jeito de quebrar …”.

Desde os postulados de Kerckhoof até as descobertas de Alan Turing, a evolução foi enorme nos estudos da criptografia. Pouco depois, teorias matemáticas como as de Claude Shannon demonstraram que havia muito a se estudar. Evoluímos muito e foi possível a segurança da informação sair do mundo analógico e entrar no mundo digital, com a perspectiva de que as teorias até então seriam suficientes para sempre. Talvez, o poder computacional para prover segurança e defesa, fosse o mesmo para os atacantes. Lamento informar que vocês estão errados.

Enigma e Exploits

Um exploit é um conjunto de instruções para o computador que se aproveita de vulnerabilidades nas camadas ou nas portas de comunicação de dados. Assim sendo, um exploit é uma ameaça e pode ter uma dupla função. Da mesma forma que prevê falhas pode usar dessas falhas para tomar controle de um equipamento ou uma rede inteira. A diferença entre um e outro propósito é tênue, inexiste, e depende de quem está explorando a vulnerabilidade.

Além disso, muitos bancos digitais e portais de dados de estão tendo problemas sérios de segurança, sem, contudo, definirem a causa real das quebras de segurança. Na maioria dos casos, a responsabilidade recai, indevidamente, sobre algum pobre coitado que “vazou” alguma senha. Em outros casos, nada e nem ninguém é responsabilizado e tudo recai sobre algum hacker – no pior sentido possível – por qualquer problema.

Vejo que algumas instituições estão fazendo pouco caso das suas vulnerabilidades. Os relatos de hackers que praticam exploits, avisam os donos de domínios e informações e são, na maioria dos casos, completamente ignorados. Em outras palavras, quando não são ignorados são aliciados a cada evento que comprova a vulnerabilidade.

Terceiros

Muitos profissionais responsáveis pela segurança da informação e das redes das empresas, preferem contratar empresas especializadas e “terceirizar” a responsabilidade. Portanto, com o advento da LGPD, esta substituição de responsabilidade vai recrudescer, por conta de contratos pessimamente redigidos e sem conhecimento da tecnologia envolvida.

Por outro lado, empresas buscam outras organizações que hospedem seus dados e recursos computacionais na nuvem (tipo AWS, Azure, Google etc). A transferência de responsabilidade fica mais explícita e fecham os olhos. Cheguei a ouvir de um CEO: – se acontecer alguma coisa, eles (os da nuvem) que se virem.

A maioria destas empresas sequer contrata um “broker” que oriente o que, como, quando e onde deve ser feita a proteção da informação. Ameaças virtuais como ransomware assustam muita gente, que saiu correndo ao invés de pensar e agir de maneira apropriada.

Para finalizar, digo que estou mais do que preocupado com a quantidade de dados e informações, usando criptografia, assimétrica ou simétrica, como se fosse garantida a proteção. Parece confiável, a justiça até reconhece (EQUIVOCADAMENTE) como inviolável um arquivo criptografado, mesmo que seja de um criminoso.

Enfim, tem muita gente acreditando na falta de poder computacional para quebrar chaves criptográficas, pode ser que quebrem a cara depois das chaves (isto é um trocadilho!).

Enigma Soon

Em suma, é árdua a caminhada de evangelização pela segurança da informação nas organizações (privadas, públicas, terceiro setor). Operadores das ciências jurídicas ainda não entenderam nada e são acompanhados por profissionais de TI contratados para resolver questões de segurança.

Nos últimos tempos, finalmente, tenho recebido consultas preliminares do tipo “… estou sendo chantageado para pagar resgate de meus dados …”. Quando pergunto sobre alguns procedimentos, os responsáveis pela segurança ou vulnerabilidades, nunca são explicitamente identificados. As grandes organizações e órgãos do setor público vão pagar muito caro por algumas negligências.

Dizia um estudioso do assunto: “Toda criptografia pode ser quebrada e, sobretudo, se for implementada incorretamente, não agrega nenhuma segurança real“. Reafirmo que muitos que implementam criptografia “corretamente” não têm a mínima ideia da insegurança que estão praticando.

Parte Final

A parte final (sequência desta trilogia) está pronta e será publicizada em momento oportuno. O artigo acadêmico está sendo revisto e muitos conceitos (como o tal cadeado verde para indicar segurança de um domínio) são tão vulneráveis como login e senha sem criptografia. Questões como DPO, CSO, Blockchain e tantas outras dependentes de criptografia terão seu Zero-Day muito em breve.

De maneira decepcionante, muitos profissionais de segurança da informação, no Brasil, negligenciaram tudo quanto é enigma. Conforme o pensamento limitado de muitos, que acreditam que pacotes e receitas prontas resolvem todos os problemas de segurança. Confiam muito naquilo que não deveriam, assinam disclaimers clicando no “EU CONCORDO” de maneira criminosa.

Nos vemos em breve !

 

(1) – Este texto foi, originalmente, escrito muito antes da exposição de conversas entre integrantes da chamada “Força Lava-Jato” pelo portal The Intercept, embora tenha tudo a ver com a questão.

(2) – Na data da divulgação ampla deste texto, a eleição do Moscow City Duma, prevista para ser realizada utilizando Blockchain, teve seu sistema de criptografia quebrado em vinte minutos por um francês.

 

Imagem: Behaviour Brasil

P. S. –  Reitero também o pedido feito em muitos momentos da vida deste blog e presente na página de “Advertências“. Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas. Coloquem aqui nos comentários ou na página do Facebook.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.