Durante sua palestra de abertura na Black Hat 2017, Alex Stamos, chefe da segurança do Facebook, falou sobre prevenir danos e fazer compromissos – coisas que todo especialista em segurança de informação precisa fazer. Esse CSO do Facebook não é exceção: seu time protege um sistema de TI muito complexo e dados de 2 bilhões de usuários.
De acordo com Stamos, a indústria de segurança sofre de diversos problemas adolescentes, o principal sendo o niilismo. Isso significa que especialistas preferem ter por foco problemas de segurança “chiques”, tecnicamente complexos e vulnerabilidades, não necessariamente aqueles que causam danos reais e prejudicam um grande número de pessoas. Esses especialistas também tendem a não aceitar qualquer compromisso e tornam seu único objetivo a segurança da informação, assumindo que todo mundo será vítima do ataque mais violento por parte dos autores mais perigosos.
Um dos exemplos mais marcantes dados por Stamos foi a “backdoor” no WhatsApp -que não era bem uma porta oculta. Para fornecer criptografia segura para 1 bilhão de usuários do WhatsApp, o time de desenvolvimento tomou a decisão razoável sobre como informar aos participantes de um chat que um deles acabara de receber uma nova chave de criptografia. Nessa situação, uma notificação adicional aparece na conversa, e nenhuma ação é necessária para continuá-la.
Niilistas de segurança da informação assumem que essa backdoor foi criada para que serviços especiais pudessem acessar o histórico de conversas. Contudo, seu propósito é o oposto, permitindo que as pessoas continuem a conversa mesmo depois que um dos interlocutores mude de smartphone ou reinstala o WhatsApp. Ela é usada assim com muito mais frequência do que por agências de espionagem.
O exemplo do WhatsApp traz todos esses aspectos: assume que todos usuários têm de estudar os sistemas de criptografia e comparar as chaves de desbloqueio entre parceiros de conversa, que cada um será monitorado de perto por serviços especiais e que seu tráfego de internet será atacado por variações de ataque man-in-the-middle. Os níveis de paranoia aumentaram ainda mais.
A atenção aos ataques mais complexos e as medidas de segurança mais onerosas distraem especialistas de problemas que podem causar danos reais. Stamos ainda apresentou um diagrama de pirâmide de ameaça com vulnerabilidades de 0-day (desconhecidas) bem no topo, junto com ataques financiados por governos. O resto da pirâmide é tomada por problemas “mundanos” relacionados a senhas e roubo de dados pessoais (o que inclui dados bancários), phishing, ameaças financeiras e engenharia social.
Stamos afirma que não devemos ter medo de fazer concessões ao resolver problemas. Se uma solução é imperfeita ou parcialmente efetiva, mas que protege 10 vezes mais pessoas, então é bem melhor que uma que protege apenas alguns usuários avançados.
Experts em segurança tem de começar a resolver problemas de verdade
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário