Quando alguém como Gene Spafford decide falar, você deve se sentar para ouvir. Pioneiro em segurança computacional, o estadunidense carrega 40 anos de experiência nas costas e atualmente é professor na Universidade Purdue, além de ser diretor do Center for Education and Research in Information Assurance and Security (CERIAS) e co-autor do best-seller Practical Unix and Internet Security. Foi ele o keynote responsável por abrir o segundo dia do Mind The Sec 2021, maior conferência sobre segurança da informação da América Latina.
- Começa hoje! Saiba o que esperar do Mind The Sec 2021
- MTS21 | Por que tantos profissionais de SI sofrem com burnout?
- MTS21 | 'Para um profissional diferenciado, não bastam apenas hard skills, as soft skills são fundamentais'
Em sua palestra, Gene comentou que muito se fala sobre estarmos enfrentando ameaças nunca vistas antes e sobre o desespero a respeito do que poderá nos salvar; porém, para o especialista, nós simplesmente estamos ignorando um grande volume de conhecimento prévio. “Como profissional que trabalha nisso há 40 anos, posso dizer que temos feito um péssimo trabalho em relembrar o passado. Uma citação muito famosa do filósofo George Santayna diz que aqueles que não se lembram do passado estão condenados a repetí-lo”.
Segurança cibernética não é algo novo, e Gene fez questão de ressaltar isso de todas as formas possíveis. Lá nos anos 60, tivemos a publicação do The Ware Report, um dos relatórios acadêmicos mais antigos que já alertava sobre conceitos de proteção computacional. “É um relatório que continua pertinente até os dias de hoje. Muito pouco mudou com relação às preocupações básicas e fundamentais”, prossegue o professor, citando outros exemplos de trabalhos pioneiros esquecidos.
Também tivemos, nos anos 70, o Project MULTICS, que contou com a colaboração de órgãos governamentais, empresas privadas e pesquisadores científicos para desenvolver um modelo de computador seguro. “Pensar sobre boas proteções e cibersegurança não é novidade, e muitas das ameaças que enfrentamos hoje foram antecipadas nesses trabalhos iniciais. Aprendemos que o software é falível; que as pessoas cometem erros ao escrever softwares ou que existem maneiras de contorná-los”, explica Gene.
A novidade velha
Se analisarmos bem, já sabíamos, há décadas, que precisávamos de controles mais fortes sobre acessos e privilégios. Para Gene, os fornecedores dos anos 90 e 2000 não contavam com estudiosos dispostos a ler tais estudos e muitos menos a vasculhar uma biblioteca em busca deles. Como resultado, muitos produtos foram colocados no mercado sem a devida atenção aos tópicos que aprendemos sobre segurança. “Temos colocado muita ênfase no que é rápido e barato, e não o suficiente no que é seguro”, afirma.
Até mesmo o Windows e o Linux falham nisso. O sistema operacional da Microsoft conta com registros — que controlam diversos aspectos do SO — facilmente editáveis por qualquer usuário, tal como bibliotecas compartilhadas em locais da memória que são acessíveis sem esforço. Em um discurso polêmico, Gene garante que os interesses comerciais impedem que as empresas se importem com segurança, pois querem produzir coisas mais fáceis de usar e mais baratas de vender.
Até mesmo “novas tecnologias” e “novas metodologias” nada mais são do que redescobertas de conhecimentos antigos. “A confiança zero foi discutida, não com esse nome, por esses princípios lá nos anos 60 e 70, quando discutiu-se a mediação completa onde cada chamada era identificada com um agente usuário e cada chamada tinha que ter a sua própria autorização”, relembra Gene. “Estamos valorizando pessoas que sabem fazer remendos, mas não necessariamente conhecem os conceitos básicos”.
O professor prevê que, no futuro, podemos ver um ransomware sequestrando uma cidade inteira e serviços de computação na nuvem sendo atacados com maior frequência pela técnica de negação de serviço (DDoS). O especialista pede que, em vez de baratear e criar sistemas que sejam “ok” para todos, sejam mais seguros e funcionem bem para determinados propósitos.
Ainda dá tempo de adquirir seu ingresso com desconto exclusivo da The Hack! Confira a programação completa do Mind The Sec 2021 e inscreva-se através deste link (usando nosso código ADTHDC-KSEYNQ você ganha 15% de desconto!) e continue acompanhando a The Hack para conferir a nossa cobertura completa do evento!