10 grandes idéias em segurança digital

Não faz muito tempo, as notícias de segurança significavam vulnerabilidades e vírus obscuros se espalhando pelos computadores desktop. Mas agora as pessoas em todo o mundo estão preocupadas com bisbilhotar agências governamentais, com o Heartbleed liberando seus dados pessoais na Web e com o aumento das ameaças móveis. Heck, a cobertura dos vazamentos de Edward Snowden sobre os esforços domésticos de espionagem da Agência de Segurança Nacional rendeu prêmios Pulitzer este ano. À medida que nossas vidas se tornam mais focadas nos dispositivos digitais e na Internet, mais pessoas ficam preocupadas com a segurança, e com razão. A questão é: quais são os problemas reais - e qual é apenas o hype do sabor do mês na mídia tradicional?

Para uma visão geral sólida do que realmente importa, retroceda até fevereiro passado, quando milhares de participantes se reuniram em São Francisco para a RSA Conference. Entre eles estavam os criadores de produtos de segurança e os pesquisadores que revelaram algumas das maiores histórias de segurança. É um dos maiores encontros desse tipo, e as idéias do RSAC terão um enorme impacto na segurança digital pelo resto do ano.

Snowden e segurança

As pessoas costumavam brincar dizendo que o governo dos EUA estava ouvindo tudo o que todos diziam, mas ninguém está mais rindo disso. O suposto acordo entre a Agência de Segurança Nacional e a RSA Security lançou uma barreira sobre a conferência, que não é mais diretamente afiliada à empresa RSA.

Surpreendentemente, a NSA decidiu mais uma vez estar presente no salão deste ano. Mesmo que não tivessem, era difícil evitar a NSA. Alguns fornecedores distribuíram montanhas-russas com o logotipo da agência, enquanto outras pessoas escreveram comentários maliciosos em quadros públicos. Um vendedor aparentemente se opôs a ficar próximo ao estande da NSA, enquanto outro aproveitou a oportunidade para rodar vídeos em loop sobre Snowden.

Alguns palestrantes fizeram suas apresentações em protesto e organizaram um evento competitivo de um dia chamado Trustycon. Isso foi feito para ajudar a aumentar a conscientização sobre questões de privacidade, embora algumas pessoas tenham visto de maneira diferente.

China Quem?

No ano passado, o bicho-papão debaixo da cama de todos era a China. O medo entre os membros da indústria era atacantes solitários patrocinados pelo Estado ou da China roubando propriedade intelectual e vendendo-a ou entregando-a a concorrentes chineses. Havia também a ameaça de guerra cibernética entre as nações, tornada ainda mais real pelos relatórios contínuos de sofisticadas ameaças persistentes avançadas.

Avanço rápido para este ano e as preocupações são mais suaves. Os palestrantes mencionaram "roubo de propriedade intelectual", mas não viram a necessidade de dizer quem estaria por trás disso. Quando os ataques de "Estado-nação" foram mencionados no ano passado, quase certamente significava "China", mas este ano poderia facilmente significar "Os Estados Unidos da América".

Dez coisas

Fora dessas grandes histórias, houve alguns desenvolvimentos promissores, novas tecnologias e conselhos testados e aprovados na RSA. Em primeiro lugar? Corrija seu software. Também havia muitos fornecedores interessados ​​em passar por senhas passadas, o que esperamos ver em breve. Além disso, espero que todos façam a leitura antes do show do ano que vem.

Essas foram algumas das grandes histórias que os especialistas em segurança estão comentando, mas não são as únicas. Aqui estão as dez principais ideias importantes que estão acontecendo em segurança no momento.

1 10. Backdoors em criptografia

A Agência de Segurança Nacional estava na cabeça de todos na conferência deste ano e foi a maior história de segurança do ano passado. E mesmo que a RSA Conference seja uma entidade distinta da empresa RSA Security, a suposta conexão de vários milhões de dólares entre a RSA e a NSA era um tópico frequente de discussão. O presidente da RSA, Art Coviello, descartou as alegações em seu discurso, mas pediu reformas na agência de espionagem. Em contraste com o ano passado, os temores sobre a China ficaram atrás das preocupações de que a criptografia não fosse tão segura quanto pensávamos.



2 9. Buzzwords Killing Words

Quando uma palavra atinge o status de palavra-chave, ela deixa de significar algo útil. Infelizmente, havia uma tonelada de palavras como essa no RSAC, onde todos estavam usando as mesmas palavras, mas ninguém concordou com a definição. Quando se trata de inteligência de ameaças, estávamos falando sobre indicadores de comprometimento ou sobre o enriquecimento de dados existentes com fontes de terceiros? O que exatamente "nova geração" significa mais? Neste ponto, devemos estar na próxima geração. Como tantos produtos podem anunciar uma revolução na segurança? A indústria sabe mesmo o que é mais promissor?

Imagem via usuário do Flickr Soumyadeep Paul



3 8. Quando torradeiras, carros e máquinas de café atacam

A Internet das Coisas entrou na Conferência da RSA este ano e todos estão preocupados com a perspectiva de protegê-las. O principal argumento - muito angustiante - é que ainda não estamos prontos para proteger todos os nossos dispositivos, sejam eles eletrodomésticos, dispositivos médicos ou carros. Mesmo assim, alguns não estavam preocupados, dizendo que os criminosos provavelmente não tentariam controlar remotamente ou bater em um carro conectado. Seria mais provável que os criminosos fossem "a montante" para comprometer servidores que usam as coisas - como os servidores OnStar para carros - e monetizá-los.

A Internet das Coisas sem dúvida surgirá cada vez mais à medida que mais dispositivos forem conectados. Na sequência do Heartbleed, os pesquisadores não estavam preocupados apenas com servidores, mas com todos e quaisquer dispositivos conectados.



4 7. Criptografar tudo

A resposta de todos sobre como melhorar a segurança - principalmente a segurança móvel - foi criptografia, criptografia, criptografia. Os aplicativos móveis estão movendo enormes quantidades de informações pela Internet, e muitos desenvolvedores estão optando por não criptografar essas transações, dando a atacantes e estados nacionais muito o que olhar. Voltando novamente à NSA, Bruce Schneier, CTO do Co3, afirmou que a agência provavelmente quebrou alguma forma de criptografia, mas não pode processar grandes quantidades de dados criptografados. Ele disse que a enorme quantidade de informações não criptografadas que voam por aí está simplesmente facilitando demais para quem quer armazenar dados. Em fevereiro, as preocupações com a criptografia eram baseadas nas vulnerabilidades criadas pela NSA e nos problemas de SSL da Apple. O anúncio do Heartbleed é um lembrete sério de que mesmo as melhores ferramentas que ainda temos não são perfeitas.

Imagem via conta anônima do usuário do Flickr

• 5 6. Não há balas de prata

  Passamos muito tempo conversando sobre apresentações e indivíduos no RSAC, mas não devemos esquecer que o evento é uma feira comercial e que o salão da feira está cheio de fornecedores trabalhando para convencer os compradores de que seu produto é o melhor. Surpreendentemente, muitas empresas de segurança ainda estavam incentivando a idéia de marcadores de prata - uma solução de serviço único para todos e quaisquer problemas de segurança. Isso é um pouco surpreendente, uma vez que o ano passado demonstrou que existem vários caminhos para ataques e que eles podem diferir dependendo de quem está por trás deles e do que está procurando. O vice-presidente sênior da HP, Art Gilliland, sugeriu que as empresas parassem de procurar novas armas e adotassem uma abordagem mais holística à segurança. O mais importante em sua lista de melhorias? Invista em indivíduos e aprimore o treinamento em segurança.



6 5. O AV móvel não funciona

Enquanto ele comemorava a comunidade de segurança trabalhando com e dentro do Android para torná-lo melhor, o Engenheiro Líder do Google para Android Security teve uma visão sombria da segurança móvel até agora. Ele disse que o objetivo do Google era fornecer segurança silenciosa e invisível e sugeriu que as empresas de segurança estivessem mais voltadas para obter atenção e aumentar as vendas. O CEO e co-fundador da viaForensics, Andrew Hoog, também questionou os modelos de segurança tradicionais no celular. Ele ressaltou que o sandbox de aplicativos em sistemas operacionais móveis faz um bom trabalho de proteção de aplicativos, mas também limita a capacidade dos aplicativos de segurança de lidar com ameaças. A solução dele? Conceda aos desenvolvedores de segurança acesso aos privilégios de root.

Não concordo totalmente com nenhuma das posições, mas as crescentes ameaças móveis exigem novas formas de proteger dispositivos. A proteção contra aplicativos maliciosos não é suficiente e, embora as ferramentas que as empresas de segurança estão adicionando aos aplicativos móveis sejam úteis, elas não serão suficientes para sempre.

Imagem via usuário do Flickr Tiago A. Pereira



7 4. Segurança no banco do motorista

Falamos muito sobre como a segurança precisa fazer parte do DNA da organização e como as equipes de segurança não podem apenas reagir a crises ou no modo de combate a incêndios o tempo todo. O consenso geral parece estar se adiantando às ameaças, seja por ter melhores práticas de segurança para fechar avenidas de ataque ou por integrar-se a outras equipes para garantir que as preocupações com a segurança sejam consideradas desde o início.



8 3. Precisamos de mais pessoas em segurança

Uma das coisas que ouvíamos falar era sobre a escassez de profissionais de segurança. As empresas que tradicionalmente não precisavam pensar em segurança - protegendo seus dados ou certificando-se de que seus produtos eram seguros - agora estão lutando para encontrar profissionais experientes em segurança. As agências governamentais estão tentando atrair os hackers mais brilhantes para preencher suas fileiras. Existe uma lacuna de habilidades, em parte porque não temos pessoas suficientes especializadas em segurança, mas também porque as empresas não estão fazendo um bom trabalho de recrutamento.

Precisamos de mais mulheres em tecnologia e segurança da informação em particular. As sessões do RSAC se concentraram na criação de estruturas de apoio para incentivar as mulheres interessadas em informações, mas também para destacar algumas de suas realizações.



9 2. Aplicativos com vazamento são piores que o malware móvel

A defesa contra malware continua sendo o foco de muitas empresas de segurança móvel, mas essa não é de longe a única ameaça. Muitos participantes da conferência do RSAC sugeriram que aplicativos com vazamento - ou seja, aplicativos que transmitem os dados pessoais dos usuários sem criptografia ou em grandes quantidades - são uma ameaça muito maior para os usuários. Para os leitores da cobertura da Mobile Threat Monday, isso não deve surpreender. Este ano, esperamos novas ferramentas como o viaProtect para ajudar os consumidores a ver o que seus aplicativos realmente estão fazendo. Dito isto, assistir alguém separar, modificar e reembalar um aplicativo Android em cinco minutos é um lembrete de que o malware ainda é um problema.

Imagem via usuário do Flickr Grotuk

• 10 1. A vigilância não está indo embora

  O diretor do FBI recém-cunhado James Comey deixou duas coisas claras em sua apresentação no RSAC 2014: O FBI precisa de cooperação das empresas para combater ameaças cibernéticas, mas essa vigilância eletrônica chegou para ficar. Em um nível, todos nós sabemos disso. Não podemos esperar que espiões e policiais continuem usando telefones quando os bandidos se comunicam com e-mail e outras ferramentas. Como sociedade, precisamos aceitar que as comunicações digitais são um alvo, e talvez legítimo. Da mesma forma, os palestrantes de uma fascinante mesa redonda de especialistas em inteligência dos EUA enfatizaram que a NSA não é uma "agência desonesta" e que todos os outros países estão envolvidos em vigilância eletrônica. Eles também disseram que a espionagem doméstica precisa encontrar um melhor equilíbrio com a privacidade, e que as pessoas não devem permitir que funcionários eleitos usem sua "história de capa" de negação plausível para operações de inteligência.