“As ameaças reais através da exploração das vulnerabilidades, não tem sido altas”

Para Virgil Gligor director do Cylab, é muito imporante distinguir ameaças e vulnerabilidades, na avaliação do “hype” em torno da segurança informática. O número de vulnerabilidades é “maciço”, diz.

virgil_gligol

O professor da Universidade Carnegie Mellon e director do Cylab, Virgil Gligor, ficou bem impressionado com o entendimento sobre as ameaças de segurança informática presente em Portugal. Em resposta a algumas questões para o Computerworld, o responsável alerta para as particularidades do cloud computing e para a importância da arquitectura de segurança dos sistemas. Porque nem sempre a culpa é das pessoas.

Computerworld – Quais os três temas mais importantes de cibersegurança?
Virgil Gligor –
Um tem a ver com a facilidade de utilização dos mecanismos de segurança e das políticas implementadas em sistemas. Por outras palavras, como é que as empresas e as pessoas usam as ferramentas disponíveis para protegerem os seus sistemas. Tem a ver com o facto de o utilizador estar no centro do problema da segurança. Outro tema importante, e que não nos tínhamos apercebido, relaciona-se com a ameaça da própria tecnologia. À medida que novas tecnologias são criadas e introduzidas no mercado, abrem-se novas avenidas de intrusão de ataque. É preciso estar consciente disso, e pedir aos produtores de tecnologias de informação análises profundas de vulnerabilidades, antes de serem adoptadas novas tecnologias.
O terceiro problema tem a ver com a formação e a consciencialização da importância da segurança. Muitas pessoas usam equipamento de TI em empresas, na administração pública, em casa, no café, sem estarem conscientes dos perigos, e depois temos ataques de phishing, de engenharia social, em que os utilizadores revelam informação sem estarem conscientes disso. Isso acontece em todos os níveis, desde as pessoas mais simples às mais sofisticadas.

Computerworld – Qual é a maior ameaça que enfrentamos em Portugal?
Virgil Gligor
– Duvido que as ameaças sejam específicas. Com efeito, considero não haver qualquer questão específica em Portugal capaz de o tornar mais ou menos vulnerável a estes ataques. Qualquer serviço português pode ser atacado se houver valor nisso por parte de um adversário. As empresas e serviços portugueses estão tão globalizados como os de outros países. Não há nada mais seguro em Portugal do que no resto do Mundo.

Computerworld – Como se desenvolve uma maior consciencialização?
Virgil Gligor
– Há três receitas. Uma delas é a formação geral e contínua. A educação através dos media públicos. Muita gente vê televisão e seria bom que as estações dessem exemplos de problemas experimentados por outras pessoas, como serviço público. E a terceira forma para criar consciencialização é através do governo, o qual tem o papel de tornar as pessoas conscientes das ameaças nacionais, sem que entrem em pânico…

Computerworld – Mostrando que se trata de uma questão nacional?
Virgil Gligor
– Exacto. Mostrando que não é uma questão localizada, nem de um serviço ou sector.

Computerworld  – Quais são as suas primeiras impressões sobre a cibersegurança em Portugal?
Virgil Gligor
– O nível de entendimento sobre a ameaça da cibersegurança em Portugal é muito bom. Notei um leque enorme de ameaças percebidas, em representantes do governo, da defesa nacional, dos bancos, das universidades. A minha preocupação, que não é específica de Portugal, é que as pessoas não se apercebem da quantidade de investigação e desenvolvimento necessária para sermos capazes de reduzir a ameaça. Para a ameaça ser reduzida em 50% o que será necessário? E antes disso é preciso medir o potencial de ameaça de um adversário capaz de funcionar à escala nacional, fazendo ataques de negação de serviço a operações de governos. É um desafio significativo conseguir medir a ameaça, apesar de conseguirmos de fazer usando bots, cujas redes se podem comprar no estrangeiro, no mercado negro. Consequentemente o que eu gostava de ver era a definição de um problema, e mostrar que os mecanismos de segurança conseguem reduzir essa ameaça.
virgil_gligol (600 x 402)Computerworld – E isso pode ser também uma receita para consciencialização sobre as ameaças…
Virgil Gligor
– Certo.

Computerworld – Mas e o “hype” criado por fabricantes de produtos de segurança?
Virgil Gligor
– É muito difícil de dizer o que é “hype” e o que é realidade. Mas baseado em várias estatísticas é claro que temos um problema sério. Até onde é rentabilizado é difícil de dizer. Há uma diferença importante entre uma vulnerabilidade e a exploração dessa vulnerabilidade. Portanto quando se fala de “hype” referimo-nos à vulnerabilidade. E no essencial, os sistemas são muito vulneráveis. Isso não quer dizer que se vai ser atacado todos os dias. A única razão porque ainda não foram atacados é por ainda não conseguirem ganhar dinheiro com isso. As vulnerabilidades são maciças, não são “hype”. Mas as ameaças reais através da exploração das vulnerabilidades, não tem sido altas. Só agora é que estamos a ver ataques de escala nacional, entre países. Embora tenham sido previstos há muito tempo. Os ataques de negação de serviço foram previstos no início da década de oitenta. E ninguém ligou. De 1983 e 85 ninguém investigou ataques DOS, sem ser eu, e também não era um grande problema, nem tínhamos ataques à escala mundial, nem era rentável.

Computerworld – Considerando a evolução das tecnologias em várias direcções. O que prevê para daqui a poucos anos?
Virgil Gligor – Se assumirmos os telemóveis como a tecnologia com maior capacidade de penetração, percebemos que abrem uma vasta “avenida” para ataques a telemóveis. Temos malware capaz de propagar para telemóveis. Não era importante há dez anos porque ainda não havia muitos telemóveis. Mas agora temos mais telemóveis do que telefones fixos. Portanto os ataques verificados na Internet serão propagados para os telemóveis…

Computerworld – Mas e a possibilidade de telemóveis serem usados para atacar redes fixas?
Virgil Gligor
– Ainda têm pouca capacidade de computação. Mas podem ter o suficiente para aceder a um ponto central de computação e lançar ou coordenar um ataque na Internet, através de uma rede de bots.

Computerworld – E o que traz o cloud computing?
Virgil Gligor
– O cloud computing pode ser uma boa solução mas também pode ser um problema. É uma solução porque se uma pequena empresa fizer o outsourcing da computação a gestão da segurança fica nas mãos de profissionais. Mas é preciso ter muito cuidado na avaliação de como a empresa de outsourcing está a implementar medidas de segurança. Agora a computação está num ambiente partilhado.

Computerworld – É necessário manter ainda competências.
Virgil Gligor
– Exacto. É preciso assegurar que as computações estão separadas umas das outras na mesma nuvem. E não é claro que essa separação esteja a ser de facto feita, entre aplicações, e entre diferentes computações.

Computerworld – Há uma empresa em Portugal a vender já produtos de segurança de tecnologia quântica. Faz sentido as companhias  investirem já nessas tecnologias?
Virgil Gligor
– Depende do que fazem. Hoje o mercado dos dispositivos quânticos constitui um nicho de mercado. Há geradores de números assentes em tecnologia quântica, base de muitos produtos de segurança, especialmente na cifragem, há também cifragem probabilística, baseada em geradores de números aleatórios, que agora são muito bons. E isso ajuda. Mas as pessoas falam de cifragem quântica e essa parte ainda está longe. Por outro lado, a distribuição quântica de números é ainda só para empresas especializadas.
Para o quotidiano as empresas não precisam de dispositivos baseados em tecnologia quântica. Daqui a dez ou 15 anos, os dispositivos de base quântica serão extremamente úteis.

Computerworld – Contudo o crime organizado já não possui ou usa tecnologia de base quântica? Isso não deveria exigir maior protecção?
Virgil Gligor
–  A maioria dos dispositivos de segurança quânticos são defensivos. Não há ainda computadores quânticos para quebrar a cifragem. Podem vir a existir nos próximos 10 a 15 anos e por essa altura teremos os sistemas de defesa necessários.

Computerworld – Recentemente alguns investigadores conseguiram quebrar a segurança do protocolo SSL. Ainda é seguro usá-lo?
Virgil Gligor
– A pessoa que fez isso lançou um ataque ao protocolo SSL, sem quebrar a cifragem. Foi um aluno meu(risos). O que esses ataques mostram, é que a implementação de protocolos de segurança de rede exigem muito mais além de uma boa cifragem. Por outras palavras, tirar partido da força da cifragem disponível nos dias de hoje exige um desenho ou esquema de segurança muito especializado.

Computerworld– É mais uma vez um problema do factor humano?
Virgil Gligor
– Tem a ver com a concepção do desenho de segurança. Quem o concebe, tem de perceber como integrar a cifragem em protocolos reais como os sistemas de autenticação SSL. Não podem fiar-se apenas na cifragem.

Computerworld – Mas podemos então dizer que é mais um problema de tecnologia e menos das pessoas?
Virgil Gligor
–  Nós culpamos sistematicamente as pessoas pelas quebras de segurança. Um dos mitos de segurança – de que a culpa é sempre do utilizador – afinal funda-se na ideia de tudo se poder resolver se o utilizador souber usar o “meu” desenho. E este, por definição está cheio de falhas se ninguém souber usá-lo. Portanto é necessário dar maior atenção à facilidade de utilização.




Deixe um comentário

O seu email não será publicado