Como estimular a comunidade de segurança da informação a ir além das pesquisas em segurança ofensiva e desenvolver também o lado defensivo? Foi o que perguntamos ao Stefano Zanero em entrevista concedida ao Mente Binária. Palestrante na H2HC este ano, Zanero é PhD e professor na Politecnico di Milano, na Itália. É também parte do comitê da Black Hat, uma das principais conferências da área, e destaca que hoje o principal problema da indústria é que os profissionais de segurança preferem ser conhecidos por seus ataques e investem pouco em construir técnicas de defesa em prol de solucionar problemas que a área revela.
Leia a entrevista completa:
Mente Binária — Em suas apresentações, você fala que participa de conferências da área de segurança já há um tempo e vê muitas palestras com pesquisadores mostrando o lado ofensivo, de como eles invadem, burlam sistemas, etc. Muita coisa acontece no lado de ataque. Mas seria muito bom se tivesse mais pesquisadores do lado defensivo. Por que você acredita que isso é tão importante?
Stefano Zanero — De maneira geral, a maioria dos pesquisadores de segurança deveria estar objetivamente melhorando a segurança, e melhorar a segurança através de ataques é típico, já que a segurança defensiva é filha da ofensiva. Você nunca tem uma técnica defensiva que vem primeiro, ela vem da observação de técnicas ofensivas. Mas nós, por sermos interessados e por ser fascinante, ficamos cavando as técnicas ofensivas, que são complexas, elaboradas e quase mágicas, às vezes. Técnicas defensivas não funcionam no mesmo ritmo e temos vários problemas. O lado ofensivo não é interessante de ser mais explorado, são problemas velhos, mas que não estão resolvidos, evidentemente.
Tomemos por exemplo, o problema básico da autenticação. Nós estudamos isso na Universidade e parece um problema resolvido. Temos a teoria e a prática, as ferramentas, mas ainda, a maioria dos ataques atuais se baseia no comprometimento da autenticação, então, evidentemente, não resolvemos isso corretamente. Nós temos o conhecimento e essas coisas parecem velhas, mas temos muito espaço para fazer isso como pesquisadores, como empresas, startups...
Pense na Duo Security. Eles não fizeram nada extraordinário, mas trouxeram para a perfeição um subconjunto específico do problema da autenticação, e criaram uma empresa muito grande e bem-sucedida que foi comprada depois disso. Então, pesquisar no lado defensivo, mesmo que os problemas pareçam velhos, eles estão lá e ainda precisamos descobrir um jeito de se livrar de senhas completamente. Precisamos encontrar maneiras de fazer desenvolvedores que não são experts em segurança escreverem códigos mais seguros.
MB — Se pegarmos o caso de ransomware, que ainda é um grande problema que causa prejuízos financeiros. Você acredita que essa é uma das áreas em que as pessoas deveriam investir mais no lado defensivo? E se sim, será possível encontrar uma solução para isso?
SZ — Há soluções promissoras ao nível de pesquisa, talvez não ao nível da indústria. É uma área importante, pois nós somos engenheiros de computação e sabemos a importância de fazer backup dos nossos dados, aí vemos alguém que está perdendo seu dados por causa de um ransomware a gente tira sarro, porque dizemos que era só elas terem feito backup. Mas se temos pessoas perdendo seus dados, isso significa que as soluções para backup dos dados provavelmente não são tão boas quanto deveriam.
Por exemplo, pense no problema de aplicar patches em software. Pense em quão automática, consistente, difundida é a aplicação de patches em smartphones, no ecossistema iOS, por exemplo. Se você comparar o problema de patching nos casos recentes dos worms para Windows, em que pessoas ficaram sem patches em seus computadores por 6 ou 7 meses, mesmo depois que estes foram publicados... Não melhoramos a confiabilidade dos patches, sua distribuição automática, a maneira como podem ser testados, etc. Portanto, há muito trabalho para fazer nesta área. E precisamos melhorar isso. Não é sexy melhorar gestão de patches, mas...
MB — Você usou a palavra "sexy". Você acredita que num evento o público vai admirar um pesquisador que apresentar algo do lado defensivo tanto quanto admira quando alguém invade algo? Isso influenciaria jovens pesquisadores a irem para o lado ofensivo, porque eles serão mais admirados pela comunidade do que se fossem defensivos?
SZ — O maior problema é a definição do valor da pesquisa. Na Black Hat tentamos começar uma trilha para segurança aplicada que apresentaria pesquisas que podem ser aplicadas em nível de produção, e não somente o lado teórico delas. Seriam pesquisas que mostram uma ferramenta e ao aplicar essa ferramenta, você obterá estes resultados. Uma entrega prática. Mas há poucos pesquisadores que se qualificam para isso. Não acredito que essas pesquisas vão acabar nos jornais, na TV, então se seu objetivo é se tornar famoso, se você fizer pesquisa ofensiva é mais fácil. Mas mesmo nela, é preciso fazer pesquisa ofensiva em áreas atraentes.
Os estudos defensivos não vão te levar às capas dos jornais, mas vão ser mais interessantes e úteis para legiões de administradores de sistemas e profissionais de segurança que não vão às nossas conferências, ou se forem, é para ir para festas e fazer networking, mas quando voltam, talvez não tenham adquirido coisas que ajudem eles no dia a dia do trabalho, e isso é algo que precisa mudar. Não tirando o lado ofensivo, mas fazendo o lado defensivo e a pesquisa defensiva mais sexy, mais atraente.
MB — Quem é o responsável por essa mudança? Você acredita que pesquisadores experientes os que são experts no lado ofensivo, deveriam mudar ou fazer um esforço para inspirar pessoas a irem para o lado defensivo?
SZ — Eu achei fascinante o que aconteceu com Charlie Miller e Chris Valasek quando começaram a trabalhar no lado defensivo. Eles não puderam, de fato, publicar sobre o que estavam trabalhando, e mesmo se pudessem, as pessoas ficariam mais felizes em assistir palestras deles falando sobre como hackearam carros ao invés de estudos sobre tudo o que precisamos nos preocupar quando conectamos dispositivos num carro. Ainda assim, provavelmente essas experiências em defender são mais úteis para a nossa indústria. É um problema largamente difundido, e não acho que alguém seja responsável. É um problema da comunidade, é nossa comunidade que deveria mudar a abordagem. Nessas conferências conversamos entre nós e nossas apresentações são voltadas a nós mesmos. As outras pessoas ao redor, mesmo que a gente desenhe uma apresentação que eles entendam, não fizemos isso por eles, e sim por nós, enquanto comunidade, porque achamos interessante e queremos mostrar aos nossos amigos que fizemos algo legal. Isso é legítimo e faz parte do espírito hacker, mas precisamos elevar o nível de importância das apresentações que resolvem ou abordam um problema.
MB — Você deu boas recomendações à comunidade de segurança, no geral. Há algo que as empresas ou a indústria precisa fazer para ajudar esse objetivo a ser alcançado?
SZ — Eu acredito que a indústria é grande parte do problema. A maioria dos desafios de segurança que temos não é resolvida por uma única "bala de prata", por um único produto, por uma único mecanismos ou uma única abordagem. E a maioria dessas abordagens, se você olhar cuidadosamente, elas caem, porque não temos nada muito robusto. Então, acredito que a indústria deveria dar dois passos. O primeiro é tentar vender seus produtos com um pouco mais de humildade. Há diferentes jeitos de se vender um produto. E há companhias que estão fazendo isso certo, mostram o produto, mostram o que ele faz e suas limitações e dizem que estão trabalhando para melhorá-lo. É um caminho mais difícil, mas é um caminho mais honesto. O segundo passo é tomar conhecimento dos problemas que estão supostamente resolvidos, mas não estão, e do motivo pelo qual não estão.
No momento, se você disser que quer fazer uma pesquisa, por exemplo, sobre como fazer gerenciamento de chaves em sistemas embarcados distribuídos, um dos grandes problemas que ninguém fala sobre é como enviar chaves para sistemas embarcados de um ponto de vista de engenharia que possa ser feito em escala. É um problema interessante e tem muito dinheiro para pesquisa, mas a indústria fecha os olhos, porque se admitir que isso existe, você tem que admitir imediatamente que todo ecossistema em questão está vulnerável e as soluções não são suficientes.
MB — E para os iniciantes, há um caminho mais fácil ou recomendável que devem seguir para se tornarem pesquisadores defensivos?
SZ — Do lado dos iniciantes, eu diria que segurança ofensiva pode ser mais fácil de levar alguém para a área de pesquisa. Mesmo que pareça que somos heróis, não somos. Heróis são aqueles que conseguem manter tudo funcionando. Isso exige habilidades mais complexas. Pesquisa ofensiva pode ser feita às cegas às vezes, mas pesquisa defensiva é feita em empresas específicas e é necessário ter muito mais experiência para construir do que para destruir. Então, meu conselho é para que sejam construtores e vão além de serem invasores, e isso é uma mudança de mindset. Construir corretamente leva muito mais tempo e mais experiência do que invadir. Para chegar lá, é preciso estudar muito sobre os fundamentos da computação. Em segurança holística ou defensiva, entender como a engenharia da computação funciona é uma habilidade muito importante.
Edited by Bruna Chieco
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.