Dose de inteligência?
Lá estava eu lendo o blog do amigo Augusto quando vejo referência a... Marcus Ranum, o mais polêmico e quase eremita guru do mercado de segurança. Ranum é uma lenda no mercado de segurança e uma figuraça e tanto. Além de um profissional competente, Marcus é talentoso fotógrafo que mora em uma bela fazenda. Estilo de vida invejável. Isso sem contar que é um dos pais do proxy firewall.
Ranum, assim como Bruce Schneier, é a bomba de fumaça de 10 em 10 profissionais de segurança. Funciona mais ou menos assim. Se durante um debate de idéias a linha de argumentação começar a fraquejar e o orgulho lhe impede assumir uma postura defensiva, bomba de fumaça neles. Cite Ranum ou Schneier e desapareça como por encanto. Infalível! Trata-se de um técnica milenar, primorosamente representada nas obras primas Ninja 1, 2 e 3 assim como American Ninja 1, 2 e 3. Dizem que depois da popularização do uso de Schneier e Ranum como bomba de fumaça, a carta coringa vem tentando pedir aposentadoria mas a Copag vem dificultando o processo preocupada com uma possível perda no faturamento.
Ranum, assim como Bruce Schneier, é a bomba de fumaça de 10 em 10 profissionais de segurança. Funciona mais ou menos assim. Se durante um debate de idéias a linha de argumentação começar a fraquejar e o orgulho lhe impede assumir uma postura defensiva, bomba de fumaça neles. Cite Ranum ou Schneier e desapareça como por encanto. Infalível! Trata-se de um técnica milenar, primorosamente representada nas obras primas Ninja 1, 2 e 3 assim como American Ninja 1, 2 e 3. Dizem que depois da popularização do uso de Schneier e Ranum como bomba de fumaça, a carta coringa vem tentando pedir aposentadoria mas a Copag vem dificultando o processo preocupada com uma possível perda no faturamento.
Porém... Não, não dá para concordar com o radicalismo do Ranum, especialmente quando ele reafirma que falava sério em sua famosa palestra que Bruno Coelho e eu assistimos chocados durante o congresso Blackhat 97 em Las Vegas. Entre outras coisas Ranum sugeria recomeçar a Internet do zero. Como de costume, Ranum observa a importância do desenvolvimento com foco em segurança mas exagera um pouco no peso das afirmações, o que o torna um pouco repetitivo e aparentemente míope. Ao falar sobre o velho dilema da relação entre o mercado de segurança e o hacking afirma:
"without hackers, without people probing and penetrating and releasing vulnerabilities informations about our systems we wouldn't need the computer security industry"
Há algo essencialmente errado nessa frase dele. Algo tão errado que me pergunto se ele realmente considera que os problemas de segurança da informação restringem-se àqueles relacionados à hackers... O Plano de Contingência entra aonde? Ele, que gosta tanto de citar a engenharia de sistemas extremamente complexos, não deveria esquecer dessa disciplina da segurança da informação.
Escutando o podcast, dá a impressão de que a ciência evoluiu sem precisar de questionamento constante ou até mesmo que ele acha que a "engenharia" é capaz de resolver o problema de segurança da informação. Nessas horas só posso pensar, ainda bem que fiz administração!
"without hackers, without people probing and penetrating and releasing vulnerabilities informations about our systems we wouldn't need the computer security industry"
Há algo essencialmente errado nessa frase dele. Algo tão errado que me pergunto se ele realmente considera que os problemas de segurança da informação restringem-se àqueles relacionados à hackers... O Plano de Contingência entra aonde? Ele, que gosta tanto de citar a engenharia de sistemas extremamente complexos, não deveria esquecer dessa disciplina da segurança da informação.
Escutando o podcast, dá a impressão de que a ciência evoluiu sem precisar de questionamento constante ou até mesmo que ele acha que a "engenharia" é capaz de resolver o problema de segurança da informação. Nessas horas só posso pensar, ainda bem que fiz administração!
posted by Andre Fucs @ 13:37
4 Comments:
Oi Fucs
Já usei algumas vezes essas bombas de fumaça :)
A meu ver, boa parte dos problemas de segurança hoje são causados por falhas de engenharia, seja no planejamento ou na execução. Não vou chegar ao ponto de propor reconstruir a Internet do zero, mas tem algumas coisas que tão quebradas a mais de 20 anos e ninguém conserta. Nessas horas eu me pergunto, por que então eu fiz engenharia?
Fucs,
A sugestão de reconstruir a Internet é sempre válida. E como você mesmo disse no fechamento do seu post, é necessário questionamento. Ninguém vai pensar seriamente em possibilidades como esta se ninguém fizer a proposta de forma séria. Agora, não há nenhum mal em rechaça-la, também de forma séria :-)
A afirmação de que não seria necessário segurança sem os "hackers" (eu assumo que ele tenha usado o termo de maneira BEM ampla) também faz sentido, mas é óbvio que é uma observação retórica. Também lembrando que a disciplina de continuidade/contingência pode muito bem ser encaixada em outras frentes de TI.
Acho que você está pegando no pé de simplificações e analogias simplistas para desqualificar uma argumentação muito boa, a disparidade entre os objetivos do projeto daquilo que usamos na Internet e COMO usamos. Aí que entram as ótimas observações sobre engenharia.
A disciplina de Threat Modeling, que a Microsoft está estimulando dentro de suas equipes de desenvolvimento, é um ótimo exemplo de como incluir a segurança no projeto de um artefato para que ele possa funcionar adequadamente em um ambiente hostil, algo que não foi feito com quase todo o software que utilizamos hoje.
Já leu o relatório do Feynman sobre o acidente da Challenger? É algo extremamente interessante, principalmente por lançar luz sobre conclusões do tipo "esse anel de borracha só se desgasta em 30%, por tanto não devemos nos preocupar". Ninguém se perguntava se ele DEVIA se desgastar e POR QUE isso aconteceria. É o mesmo questionamento que deve ser aplicado à segurança. Nisso o Ranum está certíssimo. O problema dele é ter um ótimo ponto para defender e acabar não sendo ouvido por conta de posições extremamente radicais, condizentes com seu estilo meio ermitão maluco.
Essa visão do Ranum é extremamente técnica. Aliás, muitos técnicos ainda pensam que o mundo gira em torno deles. Conheci muitos. :-) Alguém seria capaz de dizer que usuários não são problema? Ou ainda, que usuários são hackers? :-D
Ranum me faz lembrar o grande Dan Bernstein -- esse sim o ninja dos ninjas (deveria ser artefato de 10 entre 10 ninjas). "Destruam o protocolo SMTP e comecem de novo" -- esbravejou em um dia de fúria. Quem já encontrou ele de bom humor (é raro) sabe o quão sério ele falou. Quem sabe seja essa a razão para ele "desistir" do Qmail.
Postar um comentário
<< Home