domingo, 10 de abril de 2016

Hackers, criptografias e outras ilusões.

Hackers, criptografias e outras ilusões.
“legisladores não só tentam criar um código para tipificar essa conduta de criminosa, mas tentam vitimar os incompetentes.”
   Quando eu era adolescente a Informática ainda tinha boas doses de amadorismo na implementação dos sistemas. Criptografia era algo raro, os dados da rede podiam ser capturados por qualquer cliente, os sistemas eram tão simplificados que usuário podia simular seu funcionamento de cabeça. Você podia realizar uma ligação telefônica gratuita só puxando um gato e trocando o aparelho telefônico do orelhão por um convencional. Esse era o ambiente mais enriquecedor possível do ponto de vista do aprendizado de sistemas.

airline-comics 4.jpgHoje estamos em outra época, os sistemas estão cada dia mais complexos, com mais níveis de serviço (ou camadas) cada vez menos compreensíveis num único plano. Aquela época era muito promissora pra quem quisesse acessar um sistema bancário ou um governo, pois todos era vulneráveis das falhas mais manjadas da época. Apesar disso, em grandes empresas, digo que se existe alguma evolução ela é pouco efetiva. As empresas continuam com a mesma dose de amadorismo no seu nível gerencial. Tudo que elas fazem é gerar políticas pouco sólidas em valores éticos e confiar na capacidade dos seus técnicos. Quando estiverem obrigados a implementar algo não funcional, com prazos apertados, não farão.
   Maior problema das políticas de segurança está em não dar justificativas. Isso gera uma não identificação por parte dos funcionários com a empresa e o objetivo passa a ser de quebra das políticas sem ser percebido. Muitos ataques a essas politicas são isentos de culpa, ou até valorizados. Se eu ataco meu opressor, estou sendo justo. Daí vem a termo: “ética hacker”.
 Outros são uma demostração de que as empresas contratam as pessoas erradas para implementar seus sistemas. Para planejar um roubo, você contrata um bandido não um policial. As empresas cometem um erro ao pensar que vão aumentar ou provar sua segurança contratando um “especialista” do assunto. Especialistas de segurança nunca colocaram um sistema a prova por vontade própria. Especialistas seguem as receitas que encontram.
   Por outro lado os leigos  legisladores não só tentam criar um código para tipificar essa conduta de criminosa, mas tentam vitimar os incompetentes. Contudo, as supostas vítimas são os maiores responsáveis por assumir o risco de fazer um sistema sem pensar na segurança.
    A segurança deve ser vista de forma sistêmica, o especialista só vê casos específicos. Por isso que na parte mais inesperada é que surge a falha. Enquanto o especialista se preocupará com o tamanho da chave criptográfica o interceptador não vai tentar quebrar um código criptografado, não vale a pena nunca. Numa criptografia ponto a ponto existe sempre algo fora do ponto. Ele vai procurar os pontos do sistema aonde os dados são texto puro, e esses pontos sempre existirão. Assim como procurar brechas de segurança será sempre uma tarefa abrangente que visa aqueles casos mais impensáveis. Essa abrangência não existe em empresas cada vez mais segmentadas e desintegradas.
   Assim como no mundo físico, segurança é uma falsa sensação. Basta acontecer alguma coisa pro castelo de cartas desmoronar. Aqueles que acreditam estar seguros a todo caso são os mais vulneráveis, pois a certeza é traiçoeira.