Luis Campos
Kryptus Soluções em Segurança da Informação
Na edição norte-americana da RSA Conference em São Francisco deste ano, percebeu-se que a maior preocupação das soluções de segurança de grandes empresas como HP e IBM não é mais evitar um ataque cibernético, já que se considera que as redes corporativas são inevitavelmente violadas, e sim, proteger de forma mais robusta suas informações e detectar a invasão o mais rápido possível.
Essa nova abordagem visa desestimular a invasão de um hacker que fica por semanas tentando entrar em um sistema e que só conseguirá ter acesso aos dados por um período muito curto (dez minutos ou menos, por exemplo). Assim, o “custo-benefício da invasão” é muito pequeno comparado ao o tempo total gasto no ataque e será um forte desmotivador para futuras tentativas.
Pode ser muito difícil de aceitar, especialmente pelos administradores de sistemas, que qualquer corporação, civil ou militar, pode ser invadida a qualquer momento e, pior ainda, que seus dados possam ser roubados sem que ninguém tome consciência. Porém, esta situação a cada dia que passa se torna mais uma realidade, pois constantemente lemos notícias sobre roubos de dados sensíveis de grandes empresas e corporações de todo o mundo e efetivamente muito pouco tem-se evoluído para evitar esses “furtos cibernéticos”.
As brechas são inerentes a todo e qualquer software
É fato que de todo e qualquer software possui falhas (estatísticas mostram que para cada 1000 linhas de código escrita, 5 falhas ou “bugs” são em média encontrados nos aplicativos de mercado) e pessoas mal-intencionadas podem explorá-las através de “malwares” (artefato de software malicioso, como por exemplo um “vírus”).
Quando um destes “malwares” é desenvolvido visando um objetivo específico, é quase impossível detê-lo, vide o acontecido no Irã com o Stuxnet, escrito especificamente para explorar o sistema de PLC utilizado na usina de enriquecimento de urânio (circulam boatos que o desenvolvimento deste artefato foi possibilitado a partir de uma foto tirada dentro da usina e divulgada pela impressa estatal iraniana, onde em uma das telas de computador mostrava o sistema de comando e controle do PLC). Em casos como estes, aplicações de antivírus e firewall de mercado nunca detectarão tais artefatos, pois estes aplicativos só conseguem bloquear “malwares” previamente conhecidos e catalogados.
Outro fato bastante preocupante é que as empresas que desenvolvem aplicativos considerados “sensíveis” feitos nos EUA devem manter uma cópia atualizada de seu código fonte na NSA (Agência de Segurança Nacional). Ou seja, se todo software tem brechas e o código fonte do software de seu telefone celular, sistema operacional, antivírus etc. está depositado na NSA, não é necessário explicar o potencial que esta agência possui em gerar “malwares” direcionados para atacar instalações de sistemas do em qualquer parte do mundo.
Em seu livro Cyber War de 2010, já um clássico sobre o tema, Richard Clarke afirma que a China firmou um acordo com a Microsoft e reescreveu todo o núcleo criptográfico do sistema operacional Windows, se protegendo assim de possíveis brechas descobertas nesta plataforma. Ainda desenvolveu algoritmos criptográficos proprietários de Estado para garantir o máximo de sigilo dos dados (para quem ainda acha exagero esse tipo de medida, o time norte-americano CERT divulga um boletim semanal de vulnerabilidades de softwares de mercado descobertas pelo NIST no site: http://www.us-cert.gov/ncas/bulletins).
Como se defender?
Perante o exposto, a principal abordagem das grandes corporações para manter a informação sensível segura é a de manter um elevado nível de consciência situacional: detectar o quanto antes invasões aos sistemas, determinar origem dos ataques e a metodologia utilizada. Assim, as organizações podem realizar contramedidas informadas, sejam elas cortar o acesso do indivíduo, promover um contra-ataque (“active-defensing”), ou ainda em um caso extremo, puxar o plugue de seu “backbone” para que sua informação permaneça sigilosa.
Para a segurança dos dados, existem implementações robustas de sistemas em camadas com grande força criptográfica que podem fornecer grande resiliência contra adversários, evitando vazamentos mesmo em sistemas controlados pelo adversário, ou seja, o invasor não consegue ter acesso à informação mesmo estando dentro de sua rede. Para bancos de dados críticos e senhas de usuários, ainda é possível se utilizar de equipamentos HSM (Hardware Security Modules), de forma manter o sigilo mesmo para os administradores de sistema.
Em operações militares modernas, uma rede robusta de comunicação provendo informações em tempo real pode trazer uma vantagem competitiva em relação a seus oponentes (conceito de doutrina de guerra centrada em rede, do termo em inglês “Network Centric Warfare”), mas a proteção desta rede se torna o elo mais frágil para o sucesso de uma missão, pois ela também será atacada e, inevitavelmente, invadida. Assim, abordagens mais atuais para proteção de informações militares faz-se necessária, principalmente no Brasil, pois não existe aplicação mais crítica que o sigilo de dados num cenário de combate.