DevSecOps

17 mar, 2014

Entrevista com Cristine Hoepers, gerente geral do CERT.br

Publicidade

Cristine Hoepers é gerente geral do CERT.br e trabalha com tratamento de incidentes de segurança na instituição desde 1999. Além disso, atua no apoio para a criação de novos Grupos de Resposta a Incidentes de Segurança (CSIRTs) no Brasil, no desenvolvimento de boas práticas de segurança e na conscientização de usuários de Internet e de administradores de redes. Paralelamente a isso, é instrutora dos cursos do CERT Program, da Carnegie Mellon University, nos EUA.

Cristine Hoepers

Nesta entrevista, conversamos sobre os recentes ataques à Presidência da República revelados por Snowden, a resposta dada pelo governo brasileiro e o atual panorama do mercado de trabalho para os profissionais dessa área, cada vez mais relevante nos dias de hoje. O resultado pode ser conferido nas linhas abaixo.

Os recentes episódios de espionagem da rede pela NSA (a Agência de Segurança Americana) foram amplamente divulgados pela mídia, mas ouve também muita confusão sobre a natureza técnica desses episódios. Você não acha que esse caso deveria ser encarado como um incidente de segurança sem precedentes na história da Internet?

É difícil fazer uma análise dos fatos por conta da incompletude técnica das informações reveladas pelas matérias — elas e os trechos de documentos publicados não eram específicos sobre como eram feitas algumas coisas, mas apenas descreviam o que, a princípio, era feito. Assim como só há especulações sobre como o Snowden conseguiu acesso a todos os documentos, uma vez que ele não era Analista de Inteligência.

Também me atenho aqui aos acontecimentos ocorridos na Internet, sem entrar nos que teriam ocorrido na área de telecomunicações.

De qualquer modo, existem dois aspectos de todo o ocorrido que serão lições sobre o tratamento de incidentes nas próximas décadas:

  1. Do ponto de vista das técnicas utilizadas para espionagem, a aparente facilidade com que redes foram comprometidas sem que nenhum alerta fosse gerado;
  2. Do ponto de vista do vazamento das informações da NSA, o impacto gerado por um único funcionário que teve acesso não autorizado a informações confidenciais.

Com relação às técnicas utilizadas para conduzir a espionagem, salvo algumas exceções, a maioria delas parece ser uma variante ou uma combinação de técnicas já usadas por outros atacantes ou criminosos. A maior novidade foi quão extenso era o uso, suas finalidades e os alvos. Mas acho que um lado positivo da exposição maior do uso dessas técnicas de ataque e do impacto na privacidade é que está começando a cair o mito de que para ter mais segurança temos que abrir mão da privacidade. Só é possível ter privacidade na Internet se forem utilizadas técnicas de segurança. Não se pode confundir controle (surveillance) com segurança.

Quanto ao vazamento em si, ele é um clássico exemplo de “insider attack”, ou seja, uma ação realizada por um funcionário ou terceirizado, que possui acesso à sua infraestrutura e abusa desse acesso para perpetrar um ataque – em geral sabotagem, vazamento de informações ou furto de propriedade intelectual. Há toda uma área de estudos dedicada a esse tipo de risco.

A Internet é bastante antiga e, apesar de ter evoluído bastante nesses 40 anos, desde de seu surgimento com a ARPANET, não se levou em conta as necessidades atuais de privacidade, por exemplo, pois naquele momento era impensável imaginar a proporção e a importância que a rede tomaria nas décadas subsequentes. Você crê que a partir desses incidentes haverá um estímulo maior para que os protocolos de base da Internet sejam reescritos, levando em conta esses aspectos?

Essa questão é mais complexa do que apenas reescrever os protocolos e, não necessariamente, reescrever protocolos resolverá alguma coisa.

Por exemplo, o ar é um meio de transmissão inerentemente inseguro, mas nem por isso deixamos de nos comunicar via wireless, wi-fi, rádio ou satélite. Mas sempre se tem que ter em mente que qualquer um que possa “ouvir” esse meio também poderá ter acesso às informações por ele compartilhadas. A solução sempre foi que as “pontas” tentem proteger a comunicação – o que sempre levará interessados na informação a tentarem quebrar a proteção. O maior exemplo disso foi o uso e as tentativas de quebra da criptografia na segunda guerra mundial.

Sem dúvida, a Internet não foi criada pensando em segurança, mas esse é um desafio que perdura até hoje no desenvolvimento de qualquer sistema, de qualquer software. Os requisitos de uso serão sempre o balizador de desenvolvimento. Ao mesmo tempo, os sistemas estão ficando cada dia mais complexos e mais difíceis de proteger. Uma melhoria virá somente quando todos os profissionais, de todas as áreas, se conscientizarem se que têm um papel para melhorar a segurança.

Qual é o papel das diferentes tecnologias de criptografia disponíveis hoje dentro desse cenário? O que falta para que tecnologias como OTR, OpenPGP, IPSec, TOR etc. se popularizem?

A realidade é que o uso dessas tecnologias ainda é muito complexo e acaba ficando restrito às comunidades mais técnicas ou de pessoas que gostam muito de tecnologia. As tecnologias para usuários finais ainda requerem habilidades maiores no uso de computadores e da Internet. E tecnologias como IPSec ainda têm desafios na parte de gerenciamento de chaves, dificuldades de uso nas redes IPv4 com NAT etc.

Existe um congresso muito interessante que trata especificamente do aspecto de usabilidade de softwares de segurança e privacidade: Symposium On Usable Privacy and Security – SOUPS. Foi desse congresso que saíram estudos sobre a facilidade de compreender as barras de proteção dos browsers, sobre a efetividade de treinamentos sobre phishing, entre outros.

Aconselho principalmente a desenvolvedores de software para Web que procurem acompanhar esses trabalhos, pois a facilidade de uso da tecnologia ainda é uma barreira enorme não só para segurança, como também para inclusão digital.

E o Marco Civil, você acha que ele poderia contribuir de alguma forma?

Do ponto de vista de aspectos jurídicos, sempre existiu uma grande preocupação com relação à territorialidade de atividades realizadas pela Internet, pois as legislações se aplicam a territórios. Mas não é só um jargão de que a Internet não tem fronteiras. No momento em que se tem serviços ou dados fora de um determinado país, ou que o tráfego, por questões inúmeras, pode deixar um país e ir para outro, para depois voltar, todas as questões jurídicas ficam mais complexas, incluindo o alcance das leis de um determinado país. Essa complexidade tem levado a muitas discussões sobre territorialidade de dados, não só no Brasil.

Do ponto de vista de segurança, independentemente do país onde os dados estejam, se os sistemas estiverem conectados à Internet, o risco de ataques externos é muito similar. E para proteger se desses ataques o que mais conta são questões como:

  • idoneidade e políticas da empresa;
  • medidas de segurança adotadas (desde análise de risco, até uso de controles e ferramentas de segurança);
  • controles para impedir que funcionários ou terceiros abusem do acesso aos dados.

E do ponto de vista de proteção aos dados privados, uma boa análise de riscos tem que levar em conta também ataques de “insiders”, como a venda ou a alteração de dados por funcionários/parceiros.

Você acredita que o texto atual do Marco Civil distorce as motivações que deram origem ao projeto de lei?

Não tenho conseguido acompanhar todas as mudanças ao texto do Marco Civil tão de perto quanto gostaria, mas creio que é importante ter princípios nessa área, que é muito nova.

Qual o papel que o software livre exerce dentro desse cenário? Você acredita que a adoção de software livre em larga escala pode ser parte da solução para os problemas de segurança dentro do governo ou mesmo de grandes corporações privadas?

Em tese, ao se ter acesso ao código fonte de um sistema, seria possível ter controle sobre o que ele faz. A realidade é mais dura, pois pouquíssimas organizações auditam esses códigos e, mesmo que auditassem, não necessariamente conseguiriam detectar mudanças sutis ou backdoors. E tem-se ainda as possibilidades de backdoors em hardware e em compiladores. Ken Thompson, em 1984, fez um discurso brilhante ao receber seu Turing Award abordando essas sutilezas. Veja neste link.

Em resumo, o mais importante é que as organizações possuam pessoal altamente qualificado e invistam em sistemas mais proativos de monitoração do que sai de suas redes, para a detecção de possíveis técnicas de evasão de dados.

De que maneira a adoção do IPv6 pode contribuir para uma maior segurança dentro da internet brasileira, ou ainda há desafios técnicos para serem superados? O IPv6 pode ser considerado mais seguro que o padrão anterior, o IPv4?

O modelo TCP/IP é baseado em camadas que são relativamente independentes. A migração de IPv6 para IPv4 é uma mudança em apenas uma dessas camadas: a camada IP.  A mudança é basicamente nas questões de endereçamento e roteamento na Internet.

Os protocolos como DNS, HTTP e SMTP, que efetivamente implementam os serviços que utilizamos, continuam iguais – com a única diferença de que agora precisam lidar com endereços de 128 bits, e não mais 32 bits.

Ou seja, os problemas nesses protocolos que implementam os serviços e nas aplicações que implementam esses protocolos continuam os mesmos. E são nessas implementações que estão a maior parte das vulnerabilidades exploradas pelos atacantes.

A migração para IPv6 tem vários aspectos positivos, como o fato de que NAT não será mais necessário, simplificando bastante a estrutura da redes, e o fato de que essa simplificação vai facilitar a adoção de tecnologias como IPSec.

Já, por outro lado, até termos um conjunto maior de profissionais com experiência em IPv6, podemos até ter um número maior de problemas.

Como você enxerga o perfil do profissional de segurança brasileiro?  Ele tem capacidade de responder com eficiência aos desafios que o mundo atual impõe?

Não creio que exista uma diferença tão grande entre os profissionais do Brasil e de outros países. O que noto é que o enfoque da maior parte dos profissionais é muito grande em ferramentas, esquecendo-se de que são necessárias políticas e educação. Não adianta ter o melhor IDS, IPS, Firewall, Antivírus e Software de Forense se tudo isso não for implementado com base em uma análise de riscos bem feita. Também não adianta ter tudo isso sem pessoal treinado e sem usuários que tenham passado por um processo de conscientização sobre o uso seguro das tecnologias e sobre a importância das políticas de segurança.

Excesso de investimento em ferramentas é um mal que afeta também muitos gestores.  Vemos muitas organizações que gastam milhões em software de segurança, mas não investem em treinamento de seus profissionais. E não adianta treinamento para uso das ferramentas, mas sim para entendimento das ameaças, análise das situações e proposta de estratégias de mitigação e recuperação.

Na área de segurança é o profissional preparado, com conhecimentos de administração de sistemas, TCP/IP e outras tecnologias de Internet que faz a diferença.

Há algo que você gostaria de dizer aos profissionais de TI brasileiros que irão ler esta entrevista?

Independentemente da área em que você atue, seja desenvolvimento, administração de sistemas, gerência de redes, Web ou mobile, pense que você também é parte da solução dos problemas de segurança e privacidade.

Nós precisamos mudar a mentalidade de que segurança é algo que alguém vai colocar depois, numa camada adicional.

Se a preocupação com segurança estiver na hora de especificar, projetar e desenvolver um software, uma aplicação ou uma infraestrutura de redes, toda a proteção será mais fácil. Cada pequeno esforço pode fazer uma grande diferença no todo.

***

Artigo publicado na Revista iMasters de fevereiro.