segunda-feira, 20 de junho de 2011

Mensagem às Futuras Gerações de CIOs, CEOs e CSOs

A onda de ataques cibernéticos que assolou o mundo recentemente, incluindo vários órgãos no Brasil, pode ser concluída em apenas uma frase: você vai ser ownado.

Ownado é um termo comum no underground de tecnologia. Quem foi ownado teve (ou ainda tem) gente com acesso aos seus dados, ao seu computador, aos seus servidores da empresa. Muitas vezes seu computador vira um escravo tecnológico, um zumbi comandado à distância para atacar e derrubar outros servidores. Mas por que você vai ser ownado ?

Entre outras coisas, porque definitivamente o ambiente digital foi reconhecido como área de guerra. Os ataques combinados dos grupos Anonymous e LulzSec sedimentaram o que já estava acontecendo em pequena escala, por um ou outro ataque em separado.

Na verdade, já tínhamos visto de tudo. Vez ou outra, tínhamos ataques derrubando grandes sites, tivemos as APTs, a operação Aurora, outras pequenas operações até que chegamos no Stuxnet e o mundo viu que o meio digital pode ser usado para sabotagem também. Esqueça tiroteios e bombas explodindo, o próximo filme do 007 vai ser filmado com um James Bond nerd não mais rodeado de mulheres maravilhosas , mas de laptops e computadores de tudo quanto é tipo, a Walther PPK dando lugar ao BackTrack ...

Depois que os militares acharam seu caminho no ciberespaço, agora foi a vez da turma que protesta. Não vou entrar no mérito da ideologia desses grupos, mas eles alegam que invadem e derrubam sites em nome da própria democracia, trazendo para o desktop e para o laptops o que antes era feito na base da gritaria e da correria. Spray de pimenta, jatos de água fria ? Nunca mais.

A questão é que, com ideologia ou não, essa turma mostrou que podem fazer estrago. Que o digam as ações da Sony, da Sega, do Citigroup ... A lista não é pequena, e vários dados roubados mostram o que é possível fazer. Eles recentemente anunciaram a paralisação do movimento, que me pareceu bastante estratégica, mas o recado foi dado. Mas por que você vai ser ownado ?

Você vai ser ownado porque a internet não é nem nunca foi a Disneylandia, embora você sempre a visse assim. Esses grupos não fizeram uma sequência de ataques, eles abriram uma nova era que não vai perdoar a forma como a Internet e a Segurança de Informações é tratada nas empresas. Esse vai ser o formato padrão de protestos daqui por diante. Se no passado o consumidor insatisfeito tinha que recorrer à Justiça, hoje ele indica o site da empresa a um grupo cracker, para que o derrubem. Políticos corruptos enfrentando jornalistas ? Coisa do passado, agora os dados deles vão parar na Web em letras grandes e em negrito. Mas por que você, logo você, vai ser ownado ?

A resposta é ainda maior do que o feito por esses grupos (não deve demorar até que sejam chamados de radicais ou recebam novos labels). Você vai ser ownado porque não consegue enxergar o que esta por trás do novo mundo digital; porque reveste seus carros com blindagens caríssimas, mas seus servidores estão completamente desprotegidos; porque você não trata os riscos mapeados, mas vive escondendo o que deveria ser feito, trocando ações reais por paleativos na única tentativa de mostrar para os agentes reguladores que você está protegendo a informação, sem mesmo sequer acreditar nem um minuto nisso.

Você vai ser ownado porque acha mais fácil enganar os auditores do que efetuar as práticas recomendadas; porque você prefere pagar alguns milhares de reais em caixinhas milagrosas para segurança a realmente implementar medidas que eduquem seus profissionais e colaboradores.

Você vai ser ownado porque sua senha, além de ridiculamente previsível, é de conhecimento de todos os que te rodeiam; porque você olha para todos os lados ao atravessar uma rua, mas não consegue perceber que o email que te mandaram está incoerente demais para ter vindo de um banco, e que você nem ao menos uma conta nesse banco tem, e nem assim você deixa de clicar no link dele; você nunca falou de sua vida para estranhos, mas põe todos os detalhes de sua vida nas redes sociais e fica postando para todo mundo ler onde você está, onde você costuma frequentar ou onde você estuda, e é por isso que você vai ser ownado.

Você vai ser ownado porque você finge que cobra o que a sua área de Segurança de Informações determina, mas você nem ao menos acredita na maioria dos controles que lá estão; porque você nunca banca atrasos no desenvolvimento dos softwares quando sua equipe o testa e comprova que a maioria dos requisitos de Segurança de Informações não foram cumpridos; Não, o prazo tem que ser cumprido e, depois, quando der, a equipe ajusta o que tiver de ser ajustado. Você lê sobre como se proteger no trânsito e envia dicas de direção segura para seus amigos, mas acha que bom senso é o único ingrediente necessário para não ter um "problema digital" e por isso mesmo as palestras de conscientização só servem para outros, nunca para você; Por isso, você será ownado.

Você vai ser ownado porque suas máquinas recebem correções de segurança completamente fora do prazo avaliado, isso quando recebem, só porque você nunca acreditou nos impactos descritos nos alertas de segurança; Você acha que antivirus e IDS são mais do que suficientes para se proteger e dorme tranquilo depois de usar seu laptop que não foi hardenizado como os demais da empresa, já que você é um executivo importante e quer fazer o que bem entende na sua máquina; não se engane, você vai ser ownado durante o seu sono tranquilo. Vai ser ownado e exposto por ter desligado a criptografia e a autenticação de sua máquina, reclamando que colocar uma senha ou carregar um token é um grande exagero e sem nenhuma necessidade "de negócio".

Essa é apenas uma pequena e modesta lista de explicações dos resultados que virão. Talvez você, CIO ou CEO, leia isso aqui e se sensibilize; provavelmente e infelizmente, isso não ocorrerá.

É fato que na nossa cultura processos só melhoram depois que problemas acontecem; providências só são tomadas depois que "o leite é derramado". Por isso, lamentavelmente o recado "não seja ownado" só valerá para as próximas gerações. A geração atual de CIOs e CEOs talvez não queira ouvir, e essa geração de CSOs, a que está aí correndo e lutando para ser ouvida, vai ser retirada de cena depois do primeiro ataque com estragos consideráveis. Os responsáveis das áreas de Segurança de Informações serão demitidos, surgirão notas dizendo que nada aconteceu, a sujeira vai aos poucos ser varrida para baixo do tapete e a nova área provavelmente ganhará, enfim, mais atenção.

Talvez então, e só então, CIOs e CEOs escutem mais e façam o que deve ser feito para não serem ownados.

Até o próximo post !

4 comentários:

Ulisses Campos disse...

Excelente texto Tony. Compartilho contigo todos os seus pontos de vista.

E como sabiamente você escreve: 'É fato que na nossa cultura processos só melhoram depois que problemas acontecem; providências só são tomadas depois que "o leite é derramado".'

Grande abraço !

Segurança da Informação disse...

Acredito que muitos dos problemas aconteçam pelo despreparo em grande parte dos executivos de TI, como proteger um sistema de tais invasões, se eles nem sequer sabem como a invasão é feita .
Boa parte desses executivos derivam de uma faculdade de Administração e se especializam em um Pós em Tecnologia da Informação ou algo assim.
Um gestor de TI que sabe como a coisa funciona provavelmente terá muito menos dor de cabeça em seus domínios.

E900 disse...

Exelente post Tony.

Parabéns!

Pierre

James Lima disse...

Parabéns pelo post..

muito bom.

James