Vivemos na sociedade da informação. Com o fenômeno da internet, é possível acessar informações de quase todo o mundo. Estima-se que cerca de 2 bilhões de pessoas tenham acesso à grande rede. Os indivíduos e suas máquinas “futurísticas” estão, de alguma forma, conectados por redes. De fato, a sociedade se tornou dependente da tecnologia da informação (TI) para quase tudo. Parece que não vivemos mais sem água, comida, luz e conexão de rede – banda larga, de preferência.
A esse ambiente virtual, criado pelo homem, sem fronteiras e com alcance global, chamamos de espaço cibernético (cyberspace). Ele é veloz, dinâmico e está em franca expansão. Ao mesmo tempo é lógico, caótico e hostil. Na prática, é formado por dispositivos computacionais, conectados por redes ou não, onde informações transitam, são processadas e armazenadas. Sua gênese só foi possível pela interconexão de redes com diferentes tecnologias proprietárias (intranet), por meio do protocolo TCP/IP. Este viabilizou o surgimento da internet e sua popularização na década de 1990. O espaço cibernético estava criado: necessitávamos povoá-lo com aplicações.
Porém, na busca por interoperabilidade, a pilha TCP/IP, mais simples, “engoliu” outros padrões de redes, como o modelo OSI. Com isso, herdamos sua principal fraqueza: a insegurança. Não se imaginava o espaço cibernético de hoje, mas a padronização e a interoperabilidade tiveram o seu preço: vulnerabilidades conhecidas e padronizadas... Que ironia.
Na onda do crescimento da rede, teve início a desenfreada corrida pelo desenvolvimento de softwares e sistemas operacionais. Não havia (e não há) preocupações com segurança na programação. Estava claro que um ambiente fragilizado por tantas vulnerabilidades não iria fi car “impune”.
Logo começaram a surgir as primeiras ameaças com capacidades de impor danos: vírus, worms, spywares, keyloggers e uma infinidade de pragas virtuais – malicious software (malware).
Tais ameaças virtuais se tornaram mais danosas na medida em que “intenções” humanas as viam como “oportunidades” de exploração. Assim, práticas ilegais, vandalismos, fraudes, crimes, espionagens, terrorismo e a guerra passaram a fazer parte da lista. E o que dizer do malware Stuxnet?
Aquele que afetou o funcionamento de uma centrífuga no interior de certa usina de enriquecimento de urânio iraniana “fisicamente segregada”? O Stuxnet é muito mais do que um novo worm especialista que infeccionou, via pendrive, o notebook do engenheiro da manutenção com quatro zero days exploit no “menu”: é uma arquitetura genérica construída para permitir ataques contra sistemas SCADA (Supervisory Control and Data Acquisition), ou seja, controle de plataformas. Isso é muito ameaçador.
Para “apimentar” o cenário, a carência de marcos legais e de acordos internacionais com maiores adesões dificultam a atribuição de um ataque cibernético. Só é possível combater o anonimato das ações havendo cooperação internacional. As técnicas de despistamento são fáceis de utilizar, pois há uma imensa quantidade de servidores proxy públicos abertos em todo o mundo. Além disso, redes peer to peer criadas para garantir a privacidade dos usuários são usadas por atacantes (TOR e I2P).
Por causa do famigerado anonimato, há hoje uma tendência em atribuir “responsabilidades” ao país de onde parte a “última milha” do ataque. Ou seja, a origem é utilizado fora das fronteiras do país-alvo, é de fácil localização. Obviamente, essa política é defendida pelos países mais alvejados. Recentemente, os EUA declararam que poderiam responder a ataques cibernéticos com armas convencionais, fundamentando-se no direito de retaliar citado no princípio da autodefesa, previsto na Carta das Nações Unidas. É uma evidente tentativa de dissuasão.
Em 2001, surgiu a primeira iniciativa internacional para tratar de crimes cibernéticos, a Convenção de Budapeste. Ocorrida no âmbito da Comunidade Europeia, o único país convidado a participar, além do bloco europeu, foram os EUA. Portanto, o Brasil não é signatário desse tratado. Vale ressaltar que, para alcançar efetividade global, é preciso um grande número de adesões. Para que isso ocorra de fato, a iniciativa deve pertencer à Organização das Nações Unidas (ONU).
No Brasil, o Projeto de Lei sobre Crimes de Informática tramita no Congresso Nacional desde 1999 (PL 84/99). De lá para cá, vem sofrendo alterações na sua “peregrinação legislativa” em busca do esperado amadurecimento. Contudo, a tecnologia não espera e novidades nos surpreendem a cada dia.
Esse avanço “enlouquece” os legisladores do mundo inteiro, que mais parecem “carros retardatários” tomando voltas do nosso saudoso Ayrton Senna. Nesse campo, toda Lei deveria ser a mais genérica e simples possível, deixando, para a regulamentação, os detalhes necessários. Ainda no campo regulatório, em 2008, foi publicada a Estratégia Nacional de Defesa (END), que definiu três setores estratégicos para as Forças Armadas: o nuclear, o espacial e o cibernético.
Diante desse cenário, devemos estar preparados. Sabemos que não há sistemas ou redes totalmente seguros, mas podemos adotar uma abordagem realista que um bom processo de GRC (Governança, Riscos e Compliance) pode oferecer. Conhecer as próprias fraquezas (vulnerabilidades), e assim as ameaças e os impactos que estas podem causar ao negócio, é o começo quando pensamos em gestão de riscos.
Assim, muitos são os termos que orbitam a mente de um gestor de segurança da informação: governança de TI, gestão de riscos, infraestruturas críticas, disponibilidade, integridade, confi dencialidade, autenticidade, resiliência, tratamento de incidentes, capacitação de recursos humanos, família ISO 27000, política de segurança e plano de continuidade de negócios, segurança de borda, protocolos seguros no backbone, Ipv6, gestão de patches, auditorias, controles de USB, data loss prevention (DLP), Information Right Managment (IRM), autenticação com múltiplos fatores, certifi cação digital, virtualização e segurança da nuvem, Intrusion Prevention System (IPS), correlacionamento de logs e monitoramento 24/7, análise de tráfego da rede, política do menor privilégio, forense computacional, varreduras de vulnerabilidades e testes de invasão, segurança de redes sem fi o, Network Access Control (NAC), controle de smartphones, certificação de sistemas (softwares e hardware), segurança física do ambiente, defesa em profundidade com provedores, engenharia social, antispam, phishing, controle de acesso web, criptografi a de dados, Virtual Privacy Network (VPN), VoIP, DNSSEC, zero day malware, exploit, time based security, engenharia reversa, segurança e defesa cibernética… Ufa !
No entanto, é uma boa gestão de riscos que irá determinar prioridades, opções de tratamento e o quanto realmente investir. Aí está o segredo: quais são os seus processos de negócio?
Quais são os sistemas e serviços que os sustentam? Que ativos (tecnologia, processo, pessoas, ambiente e fornecedores) compõem tais sistemas e serviços? Mapear suas relevâncias lhe dará foco no que realmente importa.
O desafio de gerir a segurança do espaço cibernético é grandioso. Harmonizar ações envolvendo pessoas, processos e tecnologias é a chave. Possuir uma visão do ponto de vista ofensivo é a nova fronteira. Saber pensar ofensivamente (Ethical Hacking) não significa atacar para se defender, mas entender a anatomia de um ataque em prol da proteção da rede. Manter-se atualizado é vital. Ler, estudar, pesquisar, participar de eventos dentro e fora do País e ter uma rede sociotécnica ativa é estar na “crista da onda”.
O mundo vem se estruturando para se contrapor às ameaças cibernéticas. Países como EUA, Rússia, China, Alemanha, França e Estônia, entre outros, já possuem estruturas em operação. Destaca-se o CDCCOE (NATO Cooperative Cyber Defence Centre of Excellence), em Tallinn (Estônia), considerado referência na Europa. Ressalta-se que a Estônia sofreu um ataque cibernético de grande escala em 2007.
Os EUA possuem uma estrutura bem mais complexa. A NSA (National Security Agency), dentre suas tarefas nas áreas de criptografi a e inteligência, conduz atividades de Computer Network Operations (CNO) a fi m de garantir vantagens no espaço cibernético para os EUA e seus aliados. O DHS (Department of Homeland Security) atua na segurança cibernética dos sítios governamentais (.gov) e comerciais (.com), por meio do Centro de Tratamento e Resposta a Incidentes em Redes (US-CERT). Além disso, o DHS vem promovendo a campanha nacional “Stop.Th ink.Connect” para conscientizar a população. O FBI (Federal Bureau of Investigation) combate crimes e terrorismos cibernéticos.
Para defender as redes militares (.mil) e realizar ações cibernéticas em proveito das operações militares, foi criado, em 2009, o US Cyber Command, dentro do Departamento de Defesa (DoD). O USCYBERCOM é composto pelas seguintes estruturas: Fleet Cyber Command/ Tenth Fleet (Navy), Air Force Space Command/Twenty- Fourth Air Force (Air Force), Army Cyber Command/ Second Army (Army) e United States Marine Corps Forces Cyberspace Command (Marine Corps).
No Brasil, os principais atores em evidência são o Gabinete de Segurança Institucional da Presidência da República (GSI-PR), por meio do Departamento de Segurança da Informação e Comunicações (DSIC), atualmente responsável pela segurança cibernética dos sítios governamentais (CERT.gov) e da Agência Brasileira de Inteligência (ABIN). A Secretaria de Assuntos Estratégicos (SAE), que vem promovendo o tema na esfera governamental, e o CERT.br, vinculado ao Comitê Gestor da Internet no Brasil (CGI.br) – que é o elo com os demais CERT do mundo. A Polícia Federal (PF) é o órgão responsável pela repressão e pelo combate ao crime cibernético no Brasil, sem prejuízo para a atuação das polícias estaduais que se especializarem.
No tocante à defesa cibernética, competência do Ministério da Defesa (MD), um grupo de trabalho vem elaborando a doutrina de preparo e emprego, sua estrutura e suas atribuições. O futuro Centro ou Comando de Defesa Cibernética das Forças Armadas (CDCFA), provavelmente estará subordinado ao Estado Maior Conjunto das Forças Armadas (EMCFA). Essa estrutura terá a tarefa de coordenar a defesa cibernética no âmbito das forças armadas, especialmente no planejamento e na execução de Operações Conjuntas.
O Brasil é uma grande nação. A segurança e a defesa do nosso espaço cibernético de interesse não é tarefa só do setor público. O sucesso está em antecipar a cooperação público-privada – é o caminho que nos levará à excelência que desejamos. É mister o envolvimento de toda a sociedade: universidades, empresas, pessoas, instituições e o setor público. Quem sabe, um dia, poderemos dizer: “Brasil, zona livre de botnet”.
Fonte: por *Nilson Vianna, M.Sc. GCED, Capitão-de-Corveta da Marinha do Brasil e Chefe do Departamento de Guerra Cibernética da Diretoria Comunicações e Tecnologia da Informação da Marinha via Revista GRC Management
No comments:
Post a Comment
Digite seu comentario