Enquanto escrevia esse artigo dei de cara com uma notícia sobre uma falha do serviço ICloud que foi explorada por atacantes que roubaram fotos íntimas de várias atrizes de Hollywood e as publicaram na Web. Notícias como estas vêm se propagando aos montes nas últimas semanas: diversos serviços que oferecem armazenamento nas nuvens tiveram problemas sérios de segurança que os levaram a vazar dados de usuários desavisados. Exemplos são o Google Drive e o Dropbox, este último citado até por Edward Snowden como extremamente inseguro.
Quando falamos de termos como cloud, integração e Big Data o que vêm à mente primeiramente são as grandes vantagens da união de diferentes sistemas e informações em uma único frontend de acesso o que facilita muito o processo de extração e visualização de dados. De fato, o processo de gestão do conhecimento hoje se baseia fortemente no processo de integração das informações obtidas por data mining e outras técnicas.
Devemos, entretanto, olhar as coisas de uma perspectiva um pouco diferente. De acordo com os fundamentos básicos de segurança: quanto mais simples de se usar, menos seguro será. Claro que não é uma regra geral, mas ainda se aplica muito bem nos dias de hoje. Para simplificar o meu ponto de vista gostaria de fazer um pequeno comparativo.
Voltemos no tempo: no início da década de 90, usávamos dezenas de produtos tecnológicos diferentes, como: máquina fotográfica tradicional, walkman, filmadora, computador, video-game e vários outros dispositivos. Se alguém invadisse a sua casa e roubasse um desses equipamentos, a filmadora por exemplo, em nada afetaria os outros. Você continuaria tendo as suas fotos, suas músicas e seus jogos normalmente. Hoje, tudo foi "integrado" em um Smartphone. Se alguém roubar então o seu celular e você não tiver backup de suas fotos, músicas e vídeos, perderá tudo. Facilitou? Sim, mas criou um único ponto de vulnerabilidade.
E essa é a grande questão. Toda integração de produtos e serviços, não só de cunho tecnológico, deve ser feita tendo como base primeiramente a segurança e não a funcionalidade. É claro que isso é uma utopia inalcançável nos dias de hoje de prazos de projetos apertados e cobranças intermináveis. Mas devemos ter um meio termo: se antes um invasor poderia causar estrago ao ter acesso à apenas uma parte dos dados, imagine agora caso ele acesse tudo de forma integrada?
Em um mundo cada vez mais conectado, em que empresas e governos tem acesso à toda vida de um cidadão online, e que serviços essenciais estão cada vez mais migrando para a nuvem, deve-se repensar toda a estratégia de segurança que utilizamos hoje. Vejo que a visão tradicionalista de métodos de proteção não está mais surtindo tanto efeito.
A grande maioria das metodologias, padrões e normas de segurança hoje focam-se na segurança do tipo passiva. É o famoso "controle isso, aplique esta regra, limite isto...". Essas técnicas são o equivalente a reforçar um castelo para aguardar um exército inimigo. Você pode reforçar o portão, aumentar os muros, colocar guardar armados no topo e colocar um fosso com crocodilos. Sempre haverá aquele indivíduo que descobrirá aquela caverna com uma passagem secreta que leva à sala do tesouro. Se o Rei deste castelo fosse um praticamente de "Segurança Ativa", a passagem já teria sido descoberta e fechada!
Proteções do tipo "façamos e imaginemos se funcionou" não mais se aplicam na atualidade. Devemos criar uma base de segurança sólida e constantemente buscar por novas vulnerabilidades de forma ativa em nossos sistemas. Somente assim podemos oferecer toda a facilidade da nuvem sem esperar grandes tempestades.
Comentários
Postar um comentário