Total de visualizações de página

terça-feira, 23 de março de 2021

Entenda por que não existe sistema ou software 'à prova de hackers'

===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====


Tira-dúvidas responde por que ainda não conseguimos criar um sistema imune a ataques cibernéticos, além de mostrar mais desafios da área de segurança digital.
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====
TOPO
Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos

Postado em 23 de março de 2021 às 13h00m

  *.- Post.N. -\- 3.988 -.*  

Com inovação constante, riscos nem sempre são conhecidos antes de um sistema ou serviço ganhar popularidade. — Foto: TheDigitalWay/Pixabay
Com inovação constante, riscos nem sempre são conhecidos antes de um sistema ou serviço ganhar popularidade. — Foto: TheDigitalWay/Pixabay

Saberia me dizer por que estamos em 2021 e ataques cibernéticos e vazamento de dados ainda são mais que comuns? É possível criar um sistema realmente seguro, digo "ihackeavel"? – Filipe Aruan

A sua pergunta é muito interessante, Filipe. E existem vários pontos, não sendo possível abordar em um único texto.

O que existe de mais recente na área de segurança digital prioriza a capacidade de "resposta a incidente" e incentiva uma mentalidade de desconfiança em tudo. Ideias que nos levam à noção de "confiança zero" ou até à suposição de que todo o sistema está possivelmente hackeado.

Ou seja, estamos hoje em uma situação que o mais seguro é presumir que nada ao nosso redor está seguro.

Em outras palavras, nunca conseguimos criar um sistema "à prova hackers" (ou "ihackeável", como você disse) e ainda estamos desenhando softwares e projetos de tecnologia em que nada merece confiança cega. Tudo precisa ser validado, conferido e monitorado.

Pensando dessa forma, o cenário parece desastroso. Mas a verdade é que consumidores e engenheiros têm levado a tecnologia para caminhos que não priorizam a segurança.

Vamos entender alguns pontos?

Segurança exige intenção e custa caro

A segurança jamais vai existir "automaticamente". Alguém deve desenhar a segurança de um sistema e alocar dinheiro para pagar os engenheiros dedicados à tarefa.

Na sociedade, nós temos muitos sistemas de segurança comum. Muitos deles já fazem parte da "paisagem" e não percebemos, mas até a iluminação pública contribui com nossa segurança.

Fiscalização de veículos, regras de trânsito e habilitação, vacinação, normas para construções, fiscalização de alimentos, alvarás, saídas de emergência – tudo isso tem um custo e, ao longo dos anos, nós aceitamos esse custo em troca da segurança.

O mundo inteiro ainda está engatinhando para trazer isso ao mundo digital.

O Brasil em breve terá regras para guarda de dados pela primeira vez com a regulamentação da Agência Nacional de Proteção de Dados (ANPD). Além disso, a Agência Nacional de Telecomunicações (Anatel) poderá, a partir de julho de 2021, forçar a retirada de equipamentos com vulnerabilidades do tipo "backdoor" nas redes de telecom.

Mas isso não chega perto da maturidade de segurança que temos em outros setores da sociedade. E muitos temem regulamentar o ramo da tecnologia e inibir a inovação antes que o setor possa crescer mais.

Desenvolvimento de smartphones não priorizou atualizações de segurança de longo prazo, apostando em prazos mais curtos para troca de aparelho e inovação. — Foto: Altieres Rohr/G1
Desenvolvimento de smartphones não priorizou atualizações de segurança de longo prazo, apostando em prazos mais curtos para troca de aparelho e inovação. — Foto: Altieres Rohr/G1

Inovação também inova nos erros

Não é uma verdade agradável, mas a segurança e a inovação raramente são aliadas. É claro que a segurança faz parte da inovação responsável, mas não é possível antever todos os problemas.

Seria muito difícil criar uma habilitação ou regras de trânsito se os carros mudassem completamente de poucos em poucos anos. Mas essa é a realidade da tecnologia.

Na última década, tivemos a revolução do smartphone, com aplicações e serviços que nem imaginávamos até alguns anos antes.

Mesmo que todos os desafios da segurança digital já estivessem resolvidos até então, é impossível que essas novidades cheguem sem novos desafios. Os bancos de dados que vazam hoje nem sempre são como os que vazavam anos atrás.

Um dos maiores exemplos disso é a própria web. Todas as tecnologias que utilizamos em sites de internet priorizam a flexibilidade e a inovação: cada site pode ter seu próprio visual, seu formato de dados, sua programação, sua interatividade.

Quanto mais variação existe, a complexidade também tende a ser maior. Quanto mais complicado algo for, mais complicada será sua segurança – e não é à toa que os navegadores web se tornaram grandes consumidores de memória e processador.

E a inovação não ocorre apenas para quem usa esses serviços, mas também para quem desenvolve os sistemas. O objetivo é sempre reduzir custos e agilizar processos, mas, na prática, essa aceleração também viabiliza novas tecnologias.

Quando programadores recorrem a ferramentas novas, passam por um período de aprendizagem. E se nossa tecnologia exige um constante aprendizado, erros são inevitáveis.

Não é possível que exista um especialista experiente sobre o recém-inventado.Reconhecimento facial amplo e imediato é uma das várias tecnologias que aumentam o valor dos dados armazenados em sistemas digitais. — Foto: REUTERS/Thomas Peter

Reconhecimento facial amplo e imediato é uma das várias tecnologias que aumentam o valor dos dados armazenados em sistemas digitais. — Foto: REUTERS/Thomas Peter

O digital ficou mais importante

Quanto mais valioso é o que está dentro do cofre, mais forte ele precisa ser. Conforme a tecnologia ocupa espaços na nossa vida, violar os mecanismos de segurança digital se torna uma empreitada mais e mais lucrativa.

O resultado aparece na sofisticação dos ataques. Invasões como a da SolarWinds não eram vistas até alguns anos atrás e, agora, são quase recorrentes – ainda que nem sempre na mesma dimensão.

Em uma audiência no Senado dos Estados Unidos, Brad Smith, presidente da Microsoft, afirmou que a empresa acredita que "pelo menos mil engenheiros" estavam envolvidos nessa operação de hacking contra a SolarWinds e outras empresas (que atingiu inclusive a Microsoft).

Ninguém imaginava esse tipo de adversário. Mas com sistemas digitais e conectados por toda parte, começa a valer a pena esse tipo de investimento em ataques cibernéticos. No futuro, a tendência é que isso comece a mudar a relação do preço da segurança e seus benefícios.

Um exemplo prático: pouca gente realmente entendia os riscos da adoção de torpedos SMS e chamadas telefônicas para a autenticação. Quando esse método de segurança se popularizou, as brechas começaram a aparecer. Isso levou aos vazamentos das conversas dos envolvidos na operação Lava Jato.

Dito de outra forma, o "peso" que colocamos sobre o digital começa a mostrar os limites da estrutura que foi criada como fundação dos sistemas que usamos.

É difícil de vender segurança no mercado

Você sabe qual dos aplicativos que você usa se preocupa mais com a sua segurança? A dificuldade de responder a esta pergunta ilustra como as escolhas dos usuários e consumidores nem sempre recompensam os investimentos realizados na área de segurança.

Não existe uma "fórmula" no mercado que nos permita saber de antemão quais serviços são seguros. Você pode olhar quantas vulnerabilidades são corrigidas em um aplicativo ou software, mas nem sempre essa informação está completa e, pior ainda, ela raramente tem relação direta com a segurança do produto.

Para "mostrar" a segurança, alguns sites e serviços recorrem a "selos" e outras medidas questionáveis que pouco significam para o consumidor.

Podemos evitar o uso de um serviço depois que um problema de segurança acontece, mas isso é apenas uma defesa reativa. Ela não impede o problema.

Além disso, é mais fácil que a empresa se recupere de um incidente se ela já estava com um produto atrativo no mercado. Uma empresa que começa investindo em segurança pode falir antes de ter a chance de errar.

Após a pandemia do coronavírus, a popularidade repentina do Zoom trouxe à tona os riscos decorrentes da conveniência do app, obrigando empresa a modificar o funcionamento do serviço e investir em segurança. — Foto: Altieres Rohr/G1
Após a pandemia do coronavírus, a popularidade repentina do Zoom trouxe à tona os riscos decorrentes da conveniência do app, obrigando empresa a modificar o funcionamento do serviço e investir em segurança. — Foto: Altieres Rohr/G1

A segurança não parou no tempo

O mundo aos poucos caminha para uma regulamentação maior do setor de tecnologia, com mais exigências de segurança. Isso vai ajudar, mas não vai fazer mágica.

No futuro, quando todo tipo de experimento em tecnologia já tiver sido feito e talvez não tenhamos tanto a ganhar com inovação, talvez a prioridade mude com um redesenho total das nossas tecnologias colocando a segurança acima de tudo.

No clima atual, é muito difícil exigir mais responsabilidade por parte das empresas de tecnologia. De fato, quem está errado são os hackers, não as empresas. Então, há várias formas de abordar o problema.

Por enquanto, as empresas já estão se valendo da confiança que acumulam: a distribuição de software está mais controlada, e grandes ataques com pragas digitais são raridade.

Até hoje, nunca tivemos nada como um "WannaCry" nos smartphones, enquanto computadores sofreram com muitos problemas semelhantes na década de 2000, quando eles se popularizaram.

Mas isso também tem um custo. Quando confiar no desconhecido gera muitos riscos, o mercado tende a se concentrar em marcas de boa reputação. A liberdade que devia levar à inovação acaba estrangulando a concorrência que aceleraria os avanços.

Os desafios não param, e a enxurrada de novos serviços interessantes nos mantêm navegando no desconhecido.

De todo modo, ao contrário do que parece à primeira vista, a segurança digital evoluiu muito, e os ataques que temos hoje já não são os mesmos que funcionavam antes.

É difícil de crer que algum dia haverá um sistema "à prova de hackers" – o custo de qualquer coisa infalível tende ao infinito. Também é inegável que temos muito a melhorar, não só no desenvolvimento de sistemas, mas no arcabouço jurídico para punir quem comete crimes.

Mas os benefícios da aposta que a sociedade fez em inovação também estão bem à vista – inclusive no dispositivo que você acabou de usar para ler este texto.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

Nenhum comentário:

Postar um comentário