Lá estava eu lendo o blog do amigo Augusto quando vejo referência a... Marcus Ranum, o mais polêmico e quase eremita guru do mercado de segurança. Ranum é uma lenda no mercado de segurança e uma figuraça e tanto. Além de um profissional competente, Marcus é talentoso fotógrafo que mora em uma bela fazenda. Estilo de vida invejável. Isso sem contar que é um dos pais do proxy firewall.

Ranum, assim como Bruce Schneier, é a bomba de fumaça de 10 em 10 profissionais de segurança. Funciona mais ou menos assim. Se durante um debate de idéias a linha de argumentação começar a fraquejar e o orgulho lhe impede assumir uma postura defensiva, bomba de fumaça neles. Cite Ranum ou Schneier e desapareça como por encanto. Infalível! Trata-se de um técnica milenar, primorosamente representada nas obras primas Ninja 1, 2 e 3 assim como American Ninja 1, 2 e 3. Dizem que depois da popularização do uso de Schneier e Ranum como bomba de fumaça, a carta coringa vem tentando pedir aposentadoria mas a Copag vem dificultando o processo preocupada com uma possível perda no faturamento.

Porém... Não, não dá para concordar com o radicalismo do Ranum, especialmente quando ele reafirma que falava sério em sua famosa palestra que Bruno Coelho e eu assistimos chocados durante o congresso Blackhat 97 em Las Vegas. Entre outras coisas Ranum sugeria recomeçar a Internet do zero. Como de costume, Ranum observa a importância do desenvolvimento com foco em segurança mas exagera um pouco no peso das afirmações, o que o torna um pouco repetitivo e aparentemente míope. Ao falar sobre o velho dilema da relação entre o mercado de segurança e o hacking afirma:

"without hackers, without people probing and penetrating and releasing vulnerabilities informations about our systems we wouldn't need the computer security industry"

Há algo essencialmente errado nessa frase dele. Algo tão errado que me pergunto se ele realmente considera que os problemas de segurança da informação restringem-se àqueles relacionados à hackers... O Plano de Contingência entra aonde? Ele, que gosta tanto de citar a engenharia de sistemas extremamente complexos, não deveria esquecer dessa disciplina da segurança da informação.

Escutando o podcast, dá a impressão de que a ciência evoluiu sem precisar de questionamento constante ou até mesmo que ele acha que a "engenharia" é capaz de resolver o problema de segurança da informação. Nessas horas só posso pensar, ainda bem que fiz administração!

Rich Mogull, vice-presidente de pesquisa do Gartner, declarou que hoje existem soluções para a maior parte dos problemas de segurança. "É só uma questão de implementar a tecnologia de maneira eficaz para que os recursos possam ser concentrados nas novas ameaças", declarou.

Detalhe para a frase "é só uma questão de implementar a tecnologia de maneira eficaz". Para completar o pesadelo a matéria completa:

Mogull ressalta também que questões regulatórias e governamentais também estão desempenhando papel significativo de segurança. "No momento de decidir quando adotar uma nova tecnologia, avaliar o momento é crucial. Investir cedo demais significa arriscar-se às dores de uma tecnologia imatura, enquanto investir devagar demais significa deixar sua empresa vulnerável".

E lá se foram todos os conceitos acerca de tecnologias disruptivas do Clayton M. Christensen ou o chasm do Geoffrey A. Moore.

Só resta lamentar. Conforme disse antes, analogia é o segredo para prover segurança em novas tecnologias.

Em suma, não recomendo a nota do IDG. Já a pesquisa do Gartner vou ler como prova de teimosia. :-)

"O terrorismo é o uso estratégico da brutalidade"

Dia nublado no Rio de Janeiro. O Aeroporto Santos Dummont encontra-se fechado para pousos e decolagens. Quase simultaneamente canais de fibras ópticas localizadas às margens da rodovia Presidente Dutra e próximas à malha ferroviária que liga Rio de Janeiro e São Paulo são cortados em múltiplos pontos. Uma ou duas torres de rádio comunicação digital têm suas fontes de alimentação elétrica danificadas.

Apesar de Rio de Janeiro e São Paulo não se encontrarem totalmente isolados, a perda de performance e capacidade de transmissão de dados afeta a telecomunicação entre os dois estados. Sem os canais de fibra óptica e micro-ondas a ligação entre os estados se dá através de satélites e cabos auxiliares. A espinha dorsal das principais unidades federativas foi afetada. A mídia é informada através de correio eletrônico anônimo vindo de uma grande empresa estatal. Um ataque terrorista foi realizado.

O cenário acima, até alguns anos atrás, seria visto como improvável mas nos dias de hoje não é mais possível se afirmar com tanta certeza a irrealidade desse fato. Dois eventos da história recente comprovam isso. Como demonstrou o uso de aeronaves civis nos atentados de 11 de setembro de 2001 o impossível não existe em um cenário onde a determinação em utilizar uma tecnologia é o maior limitador de um incidente. No mundo pós 11 de setembro, a pergunta não é como mas quando. As regras de conflito mudaram.

Certamente para os mais bem informados, o chamado “Information Warfare” já é uma realidade. Dia a dia a população é informada das lutas entre países através da inteligência de sinais, espionagem industrial e convencional, tráfico de influências, além de um sem fim número de mecanismos de coletar, processar e manipular informações inimigas. Em quase todos os conflitos modernos a informação foi uma arma determinante para a vitória ou derrota de um dos lados.

Em seu excelente artigo “Impacto das Novas Tecnologias no Meio Militar - A Guerra de Informação”, o Capitão Paulo Fernando Viegas Nunes, do Exército Português, descreve de forma clara e correta os diversos cenários de “Information Warfare”. Confesso que a leitura de tal documento é para mim – civil, profissional de Segurança da Informação – um tanto informativa e curiosa. Minha impressão ao ler o artigo é de que o autor sabe que há algum risco, sabe de onde esse risco virá mas não sabe com precisão o impacto que esse risco causará.

Na verdade, é prática tradicional em tecnologia da informação lidar com a segregação de privilégios da seguinte forma: fora de nossas instalações nada é confiável, dentro de nossas instalações tudo é confiável. A situação torna-se mais grave à medida em que tomamos conhecimento de que os sistemas de defesa existentes, tais como firewalls, intrusion detection system e antivírus, além de extremamente ineficientes, não costumam ser adequadamente acompanhados. Fazendo analogia entre a realidade digital e o mundo real teríamos um cenário caótico, onde portas não seriam eficientemente trancadas, alarmes não seriam acionados ou, quando acionados, não seriam averiguados. Essa é a realidade de parte da Segurança da Informação brasileira. Nesse ramo fala-se muito em tecnologia e pouco em estratégia. Parece que poucos se lembram que a Alemanha, mesmo de posse de melhores equipamentos, não foi capaz de vencer as forças aliadas...

“You may stop this individual, but you can‘t stop us all... after all, we‘re all alike.” The Mentor

Durante os últimos anos vem se condicionando o sucesso de ataques através de meio eletrônico à preparação de seus atacantes, enquanto parte dessa crença é verdadeira, outra parte não. Em sua forma tradicional, hackers são pessoas com grande capacidade intelectual cujo objetivo pessoal é descobrir formas de superar os limites de sistemas, incluisive os de segurança. O termo é, portanto, mais amplo do que o mero sinônimo para a delinqüência virtual que ainda impera no noticiário. Em 1984 o autor Steven Levy descreve em seu livro “Hackers: Heroes of the Computer Revolution” o seguinte código de ética:

• Access to computers - and anything which might teach you something about the way the world works - should be unlimited and total. Always yield to the Hands-On imperative!
• All information should be free.
• Mistrust authority - promote decentralization.
• Hackers should be judged by their hacking, not bogus criteria such as degrees, age, race, or position.
• You can create art and beauty on a computer.
• Computers can change your life for the better.
  

De fato o hacking só alcançou o status de movimento cultural nos anos oitenta, quando gangues de jovens norte-americanos e europeus passaram a fazer uso de seus computadores pessoais para acessar de forma ilegal sistemas de outros. Seus alvos tradicionais eram empresas privadas, órgãos do governo, sistemas de informação das forças armadas e o sistema telefônico.

Esse período é descrito por muitos dos defensores do hacking como a “Era de ouro” e estendeu-se até a popularização da Internet, na primeira metade da década de 90. Apesar do aparente idealismo já nesse período dois graves incidentes envolvendo hackers criaram enorme polêmica:

1983 – Um grupo de hackers norte americanos denominados “414 Gang” são presos após obter acesso a computadores do Laboratório Nacional de Los Alamos, reconhecidamente um dos mais importantes centros de pesquisa nuclear nos EUA.

1989 – Um grupo de hackers da então alemanha oriental foi preso por vender informações à KGB. Esse evento tornou-se conhecido como primeiro grande caso de espionagem envolvendo hackers na história. Uma prova de que o uso coordenado de invasores tornou-se uma realidade antes mesmo da popularização da Internet!

Durante a primeira metade dos anos noventa, parte da comunidade de especialistas desegurança da informação, em parte estimulados pelos ideais apresentados por Levy em seu livro, criou fóruns de troca de informação sobre mecanismos de quebra de sistemas e alternativas que tornassem esses mecanismos inoperantes. Esses grupos adotavam como doutrina algo que posteriormente seria denominado “full-disclosure”. Segundo essa doutrina, somente através da exposição detalhada de vulnerabilidades a um amplo grupo de pesquisadores é possível se desenvolver formas eficientes de correção.

Sem dúvida, esses grupos tiveram ampla participação na evolução que as técnicas de segurança da informação sofreram durante a segunda metade daquela década. Entretanto, com a popularização da Internet o full-disclosure teve um impacto negativo ainda maior do que sua contribuição em prol da Segurança da Informação. Ao disponibilizar grande quantidade de mecanismos de quebra de sistemas de forma irrestrita, essa doutrina contribuiu, junto com a total impunidade garantida por uma quase ausência de leis, para o enorme crescimento do número de indivíduos capazes de invadir sistemas. Porém ao contrário da crença popular, essa grande massa de indivíduos é pouco qualificada sendo seus feitos sustentados por descobertas de terceiros, obtidas através dos mesmos grupos de discussão que promovem a melhoria dos sistemas de segurança.

Outro dado normalmente desconsiderado é de que em geral as chamadas “invasões” rotineiras que ocorrem dia a dia são na verdade meras pichações. Assim como os agitadores da década de 70, os Script Kiddies – como são conhecidos entre os especialistas da área – são munidos de ferramentas, mas não são munidos de discernimento suficiente para fazer uso eficiente delas. Apesar de sua costumeira inexperiência esses agitadores não devem ser menosprezados pois com o passar dos anos adquirem experiência suficiente para fazer bom uso das armas quem tem. O hacking caracteriza-se portanto como uma verdadeira guerrilha digital onde qualquer individuo com motivação suficiente pode participar. Uma espécie de popularização do terror.

Em seu artigo "Ataque à América: A Primeira Guerra do Século XXI" os autores, David J. Shaughnessy e o Tenente-Coronel Thomas M.Cowan, do Exército dos EUA descrevem o modus operandi do terrorismo moderno como sendo assimétrico. Ainda segundo os autores “o fundamento do terrorismo é atacar a força de vontade do povo, a credibilidade do governo e a eficiência de sua segurança nacional”. A adaptação desses fundamentos e modus operandi para uma realidade tecnológica são praticamente naturais, tornando o terrorismo eletrônico, através do hacking, uma ameaça ainda mais global do que o terrorismo convencional.

De fato o uso da tecnologia ou o ataque aos meios tecnológicos garantem ao terrorismo uma maior eficiência e poder de destruição. Um programador experiente ou mesmo um técnico em telecomunicações com alguma experiência seria capaz de infligir sérios danos econômicos. O ponto principal é sempre o mesmo: “Qual a estratégia a ser adotada pelo terrorista?”, e é justo nesse ponto onde o terrorismo digital e eletrônico divergem com maior intensidade. O transporte e obtenção de armas e explosivos, recursos, informações de inteligência e infiltração em território hostil dependem em geral de uma rede de suporte extensa. Prova disso é a facilidade com que são rastreadas as redes de suporte a atividades terroristas uma vez descobertos um dos envolvidos. Porém o terrorismo eletrônico pode ser feito através de telefone ou individualmente, sem levantar maiores suspeitas ou deixar rastros. Poratanto, o terrorismo eletrônico teria as seguintes características:

• Fácil cooptação – Por envolver pouco ou quase nenhum risco para o guerrilheiro, é natural que o processo de cooptação de indivíduos torna-se mais simples e eficiente. Outro ponto interessante é que na verdade um indivíduo pode ser estimulado a agir mesmo sem concordar totalmente com os motivadores do ataque.
• Logística – Enquanto ataques com base na manipulação demandam maior esforço de planejamento, ataques simples baseados em vandalismo possuem grande poder de destruição. O corte indiscriminado de cabos de fibras ópticas, por exemplo, é fácil de ser feito e não demanda muito mais do que um alicate e uma escada;
• Baixo ciclo de planejamento;
• Alta capilaridade;
• Assimetria;Alvos, mecanismos e estratégias

Levando em conta os fundamentos descritos por Shaughnessy e Cowan, podemos determinar que o alvo primário de um ataque terrorista tem sempre como objetivo afetar a credibilidade do poder. Apesar dos métodos brutais normalmente envolvidos em atos de terrorismo, nossa história e a de outros povos demonstra que a difamação, a informação e desinformação e humilhação têm efeitos quase tão nocivos a um governo quanto uma bomba. Portanto podemos descrever os seguintes métodos:

• Propaganda eletrônica;
• Roubo de informações;
• Manipulação de informações / fraude;
• Negação de Serviços;

Quais os alvos primários de ações com bases nesses métodos?

• Órgãos Governamentais;
• Bancos;
• Empresas de Telecomunicação;

Por que? Porque essas empresas, além de tratarem informações sensíveis a possíveis adversários políticos, possuem um grau de capilaridade elevado transformando um incidente isolado em um evento de escala nacional ou até mesmo internacional. O uso coordenado desse tipo de incidentes, com campanhas e manipulação de mídia, criariam impactos devastadores na imagem das empresas alvo dos ataques. Dentre os métodos mais eficientes eu citaria a negação de serviços como aquele de melhor custo benefício. O motivo é simples, fraudar um sistema depende de sua análise, compreensão e manipulação, interromper um sistema depende apenas de um mínimo de capacidade técnica e um pouco de estratégia.

É também através da negação de serviços que surge um interessante cenário de “greve eletrônica” que apesar de ainda não ter sido explorado pela sociedade mundial é um tanto factível. Desconsiderando os fatores legais, imagine o impacto causado caso um sindicato inserisse intencionalmente um código malicioso de computador nas redes de transmissão de dados de uma empresa? Diante do enfraquecimento do movimento de greve, cedo ou tarde os interessados irão encontrar um mecanismo de devolver o equilíbrio entre as partes envolvidas.

Ferramentas de negação de serviços encontram-se amplamente disponíveis na Internet, e apesar de seu pouco poder de destruição se aplicada isoladamente, ela age como arma decisiva quando aplicada em conjunto com alguma outra ação. Outro cenário interessante que poderia ser obtido através dessas ferramentas, envolve setores econômicos regulamentados ou empresas com restrições contratuais quanto a indisponibilidade de seus serviços. A estratégia nesse caso seria forçar o poder público a punir as próprias vítimas dos ataques.

Outro mecanismo interessante de guerrilha através de meio eletrônico encontra-se na violação do sigilo bancário, telefônico e fiscal de terceiros, quer sejam adversários políticos ou não. Além do efeito negativo na imagem de adversário há também o desgaste da imagem da instituição responsável pela guarda das informações além da possibilidade prevista em lei da responsabilização criminal dessa.

Entretanto nem toda guerrilha de informação fará uso de alta tecnologia. Dado o elevado nível de especulação e tensão que um estado de sítio digital poderia causar, a simples manipulação de informações com o intuito de afetar o grau de confiança em empresas já seria capaz de infligir danos à economia inimiga.

É agravante que todos esses cenários poderiam ser causados por apenas um indivíduo e que esse indivíduo não necessita obrigatoriamente de muitos conhecimentos técnicos para realizar uma ação dessas.

Fica claro também, que quase todo ato de uma guerrilha de informação é antes de qualquer coisa, um ato de propaganda. E a manipulação do sistema legal com o intuito de causar instabilidade política e influenciar negativamente a confiança do cidadão. Assim como o fatídico dia em que o PCC parou São Paulo. Diante disso, é praticamente fato que se a guerrilha de informação não é uma realidade hoje, será uma realidade em poucos anos e a militância online que hoje já é uma realidade, em breve se cansará de gritar sem ser ouvida. Quando isso ocorrer, uma versão diferente do “mini manual do guerrilheiro urbano surgirá”. Tempos interessantes aqueles em que vivemos.

Nota:
Esse artigo havia sido publicado anteriormente porem como o considerei extremamente confuso optei por utilizar pseudônimo. Hoje, lendo sobre outros assuntos, resolvi dar uma retocada nele e republicá-lo.