Quando os sistemas de informação são cercados pela proliferação de ameaças e dispositivos móveis ligados às redes empresariais e há escassez de recursos humanos especializados a solução é fortalecer a segurança da informação. A entrevista aos autores do livro “Segurança no Software” que explicam por que há falta de profissionais de segurança.
Segurança no Software, 2ª Edição Atualizada e Aumentada” da autoria de Miguel Pupo Correia e Paulo Jorge Sousa
A divulgação massiva de ameaças, como o WannaCry ou o Bad Rabbit, junto dos utilizadores comuns através dos meios de comunicação social tradicionais e também das redes sociais teve consequências positivas. Hoje, os colaboradores das empresas estão mais receptivos à adopção de boas práticas de segurança, dizemos autores do livro do livro “Segurança no Software – 2a Edição Atualizada e Aumentada” Miguel Pupo Correia e Paulo Jorge Sousa, publicado pela FCA. A pressão legal, com novas leis e regulamentos mais exigentes, levaram é outra oportunidade de melhorar, pois está a contribuir para o fortalecimento das ‘frameworks’ de segurança das empresas.
Numa conjuntura em que as pessoas são elas próprias uma vulnerabilidade, pois os atacantes são imaginativos e os utilizadores normais têm conhecimentos limitados de informática, o processo de projecto de software tem de levar em conta a segurança desde a concepção, ou até mesmo antes.
Entretanto, a tecnologia vai evoluindo e, novas abordagens técnicas começam a ser utilizadas em segurança, como é o caso do blockchain.
Computerworld – Quais são actualmente os principais desafios do responsável máximo de segurança (de informação) nas empresas?
Miguel Correia e Paulo Sousa – O aumento das ameaças é um dos principais desafios, agravado por dois outros: a proliferação de dispositivos móveis pessoais ligados às redes empresariais e a escassez de recursos humanos com as competências necessárias para desenvolver, implementar e gerir controlos de segurança que impeçam as ameaças de se transformarem em problemas graves.
CW – E oportunidades?
MC e PS – Existem oportunidades que podem ser aproveitadas para fortalecer a segurança da informação empresarial. Devido à publicitação dos ataques informáticos e das suas consequências, os colaboradores das empresas estão hoje mais recetivos à adoção de boas práticas de segurança. A pressão legal é também uma oportunidade muito boa. Em particular, a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) em Maio de 2018, criou as condições para os CSO/CISO reverem e fortalecerem as ‘frameworks. de segurança das suas empresas.
Miguel Pupo Correia
CW – O que justifica a escassez de recursos humanos na área da segurança?
MC e PS – A falta existe, porque a procura cresceu imenso, devido à mudança de conjuntura que se verificou nos últimos anos. Em primeiro lugar, as ameaças deixaram de ser hackers que atingiam vítimas aleatórias e passaram a ser profissionais: ciber-criminosos, muitas vezes parte de verdadeiras ciber-máfias ou até ciber-espiões que procuram roubar propriedade intelectual. O grau de preparação das empresas e outras organizações é muito melhor do que há uns anos, mas o nível de ameaça é muito superior pois há quantias elevadas envolvidas. Um caso recente é o do ransomware WannaCry, que extorquiu dinheiro a empresas de todo o mundo. Em segundo lugar, começou a surgir legislação que responsabiliza as empresas que sofrem ciberataques. O caso mais óbvio é o do RGPD, que contempla multas milionárias para empresas que não consigam proteger a privacidade dos seus clientes. Esta legislação tem origem na crescente importância económica da Internet e na necessidade de que esta seja segura e de que as pessoas tenham confiança quando a usam. Esses fatores criaram nas empresas uma forte necessidade de profissionais de cibersegurança, que se traduziu na referida escassez.
CW – O que pode a Academia fazer para contornar este problema?
MC e PS – A Academia pode naturalmente formar esses recursos humanos, como faz em tantas outras áreas. Na realidade a Academia está a formar esses recursos. No Instituto Superior Técnico, o Mestrado em Engenharia Informática e de Computadores tem uma especialização em cibersegurança, frequentada por dezenas de alunos. Em colaboração com a Faculdade de Direito e com a Escola Naval, tem também um Mestrado em Segurança de Informação e Direito no Ciberespaço que dá uma formação multidisciplinar na área. A Faculdade de Ciências da Universidade de Lisboa tem um Mestrado em Segurança Informática. Esses são apenas alguns entre tantos exemplos de cursos que estão a surgir na área: Universidade do Porto, Universidade de Coimbra, IP Beja, ISEG, Academia Militar, etc.
Paulo Jorge Sousa
CW – Quais são, actualmente, as principais classes de vulnerabilidades?
MC e PS – A principal causa da existência de vulnerabilidades em software é a sua complexidade. Muito do software atual está entre as obras de engenharia mais complexas jamais realizadas e a consequência é que não é perfeito. E, portanto, existem inúmeras classes de vulnerabilidades.
Vamos referir apenas algumas das principais. Nas aplicações convencionais, aquelas que executamos nos nossos computadores, uma classe de vulnerabilidades importante é aquela que tem que ver com violações de integridade da memória: ‘buffer overflows’, ‘return-oriented programming’, entre outros. Um exemplo recente foi o Heartbleed, uma vulnerabilidade num software chamado OpenSSL, que o público em geral desconhece, mas que é usado por milhões de websites.
Em aplicações web, a classe de vulnerabilidades mais grave é provavelmente a de injeção de SQL, pois permite tanto roubar informação guardada nas bases de dados de websites como modificar a informação que aí se encontra. Há um par de anos cerca de 12 milhões de sites foram controlados por hackers devido a uma vulnerabilidade deste tipo num software chamado Drupal.
Nas apps móveis ocorrem as mesmas vulnerabilidades e outras, como o armazenamento inseguro dos dados no dispositivo, assumindo o programador – mal – que as outras apps não lhes podem aceder.
As pessoas são elas próprias uma vulnerabilidade, pois os atacantes são imaginativos e os utilizadores normais têm conhecimentos limitados de informática. Além disso, muitos mecanismos de autenticação são problemáticos, a começar pelo habitual nome de utilizador e senha.
CW – E como se podem evitar essas vulnerabilidades?
MC e PS – Evitar as vulnerabilidades em aplicações é difícil, por isso é que existem tantas. Em primeiro lugar, o próprio processo de projeto do software tem de levar a segurança em conta. Depois há uma série de processos que podem ser usados: análise de ameaças, auditoria manual, análise estática de código e teste. Além disso pode-se aceitar que algumas vulnerabilidades existirão sempre e colocar proteções dinâmicas em bibliotecas, no sistema operativo, numa camada de virtualização, etc.
CW – Na última parte do livro abordam técnicas que estão a ser começadas a usar para melhorar a segurança de software. Pode dar-nos um exemplo?
MC e PS – Um caso muito atual é o da tecnologia blockchain, tratado no capítulo sobre “tolerância a intrusões distribuída”. O primeiro blockchain foi a infraestrutura da Bitcoin, a conhecida criptomoeda com um valor estimado de cerca de 130 mil milhões de euros. Depois dessa têm surgido várias blockchains com o objetivo de implementar outras aplicações, muitas delas baseadas em ‘smart contracts’, que são contratos executados automaticamente como se fossem programas informáticos. Tanto a Bitcoin como essas aplicações precisam de ser seguras e de dar garantias aos seus utilizadores de que o são.
A forma como o conseguem é sendo executadas por vários computadores (cerca de 11 mil computadores no caso da Bitcoin). Assim, mesmo que alguns computadores sejam controlados por pessoas mal-intencionadas, o sistema como um todo fornece uma aplicação fiável e segura.
CW – Porque sentiram necessidade de acrescentar temas como a computação na nuvem, a mobilidade, os contentores e o blockchain nesta 2ª edição?
MC e PS – Quando publicámos a primeira edição do livro em 2010, a computação na nuvem estava a surgir, as apps móveis ainda eram uma novidade, os contentores não existiam e a blockchain era uma componente desconhecida de uma curiosidade chamada Bitcoin. Em cerca de sete anos todas essas tecnologias de software tornaram-se muito usadas ou muito promissoras, de modo que agora era importante falar das suas implicações em termos de segurança.
CW – Quais são actualmente os sectores de actividade que mais precisam de olhar para a segurança como uma prioridade?
MC e PS – Todos os setores são vulneráveis e todos precisam de apostar na segurança. Os mais prioritários são aqueles nos quais ataques informáticos podem matar pessoas ou causar graves danos à sociedade: saúde, transportes, eletricidade, água, etc. O sector financeiro é outro alvo óbvio de ataques, que por isso está muito atento à cibersegurança, como antes estava à segurança física.
CW – Em Portugal, o CSO/CISO já está a aproximar-se do conselho de administração das empresas, para contribuir para as tomadas decisões estratégicas?
MC e PS – A importância do CSO/CISO depende do tipo de atividade e da dimensão da empresa. Em muitas organizações, apenas agora se está a criar a função de CSO/CISO, devido ao aumento da pressão legal. Estas organizações terão maior dificuldade em conseguir cumprir o novo RGPD. Por outro lado, nas empresas que têm implementados há vários anos processos de gestão de segurança da informação e de gestão de risco, o CSO/CISO participa necessariamente nas decisões estratégicas. Um dos requisitos fundamentais de uma das normas internacionais mais importantes da área (ISO/IEC 27001) é precisamente o compromisso da administração das empresas com o sistema de gestão de segurança da informação.
CW – Por falar em RGPD, o novo regulamento obriga ao desenvolvimento de software que preveja questões de privacidade “by design e by default”. Os engenheiros de informática (e equivalente, incluindo estudantes) estão cientes desta nova obrigação directamente relacionada com a segurança dos dados pessoais?
MC e PS – O RGPD é uma peça de legislação e, como tal, algo a que os alunos de engenharia informática e os engenheiros informáticos – pelo menos os mais novos – estão pouco atentos. Os alunos de informática começam por aprender a programar software, depois a torná-lo eficiente e fiável e, só mais tarde, a torná-lo seguro. Aliás, infelizmente, este aspeto da segurança nem sempre é contemplado, mesmo que o “Computer Science Curricula 2013” da Association for Computing Machinery (ACM) e da IEEE Computer Society recomende fortemente que a segurança do software seja introduzida em todo o currículo. Apesar de tudo esse documento é recente e é provável que venha a ter influência crescente nos currículos de informática no ensino superior português. Nas empresas, essas questões muitas vezes também não são contempladas. Pôr software a funcionar já é tantas vezes um desafio enorme, de modo que torná-lo seguro muitas vezes acaba por ficar para mais tarde. No entanto, a preocupação com o RGPD e com a privacidade “by design e by default” é crescente.
Nota: Respostas escritas ao abrigo do Acordo Ortográfico da Língua Portuguesa de 1990 em vigor desde 2009.
“Segurança no Software – 2ª Edição Atualizada e Aumentada”
ISBN: 978-972-722-858-4
Nº de pág.: 488
P.V.P: 36,65€
Autores: Miguel Pupo Correia, professor associado do Departamento de Engenharia Informática do Instituto Superior Técnico da Universidade de Lisboa; Paulo Jorge Sousa, CEO e CSO da Maxdata Software, empresa portuguesa que cria software para a área da Saúde.