Home > Notícias

Lidar com segurança não é mais um problema de tecnologia e sim criminal, diz o Scott Charney, da Microsoft

Em entrevista, o vice-presidente corporativo em computação confiável da Microsoft, sobre implementação de políticas de segurança, do risco crescente das ameaças e da necessidade de se educar os usuários

Por Jaikumar Vijayan, do COMPUTERWORLD (EUA)

18/01/2008 às 18h03

Foto:

scott_charneyEx-promotor federal em cibercrimes e ex-juiz distrital assistente do Bronx, em Nova York, Scott Charney é o atual vice-presidente corporativo de computação confiável da Microsoft e está entre aqueles que lideram todos os esforços da empresa para aperfeiçoar a segurança de seus produtos. Em entrevista ao COMPUTERWORLD, Charney fala sobre políticas de segurança, o aumento das ameaças em tecnologia e sobre a importância da educação dos usuários.

Não é frustrante para você o fato de a Microsoft ainda enfrentar tantos problemas relacionados com segurança?
Costumávamos ser alvo de piadas quando o assunto era segurança, mas agora você encontra inúmeros artigos falando que todos deveriam seguir nosso modelo. O desafio é, na maioria das vezes, lidar com expectativas surreais. Ainda temos vulnerabilidades em nossos códigos e nunca vamos conseguir erradicá-las. Vez por outra iremos enfrentar vulnerabilidades e as pessoas vão dizer: “Então o desenvolvimento do ciclo de vida de segurança [do inglês SDL – Security Development Lifecycle] é falho, certo?”. Errado! Nossa aspiração era erradicar qualquer tipo de falha. Mas sejamos realistas: esta não é uma meta plausível.

Qual é a maior contribuição que a Computação Confiável da Microsoft já produziu?
Nossa maior colaboração foi na definição do SDL. Temos processos em andamento nos quais construímos modelos documentados de ameaças já na fase de desenho dos projetos e, à medida que o código vai sendo construído, mitigamos os riscos baseado em tais modelos. Ao final do processo, uma nova análise é feita para avaliar se o produto final está adequado para ser liberado sob o ponto de vista da segurança. Penso que esta foi a maior mudança.++++

O Vista é o primeiro sistema operacional que passou pelo processo completo de SDL. Você está satisfeito com o efeito do SDL na segurança do novo sistema operacional?
Sim e não. Estou satisfeito com o fato de o número de vulnerabilidades do Vista ser menor do que o do XP, transcorrido o mesmo tempo desde o lançamento. Também estamos cientes de que as vulnerabilidades nunca desaparecerão completamente – por causa dos códigos complexos criados por seres humanos e tudo o mais.  A pergunta é: até onde podemos ir? Já chegamos lá? E eu digo que ainda não. Precisamos de melhorar as ferramentas automatizadas de detecção de falhas, um dos maiores problemas de toda a indústria. De um modo geral, o Vista tem feito muitos progressos, mas precisamos continuar em busca de melhores ferramentas automatizadas.

Como avalia o atual cenário de ameaças?
Nos últimos anos, com a redução das vulnerabilidades baseadas em código, os caras maus tiveram de se adaptar, e o resultado, por exemplo, é o crescimento das ameaças que envolvem engenharia social. Muitas da vítimas de roubo de identidade sofreram isso porque clicaram em um link que se parecia com um link legítimo mas, na verdade, apontava para algum lugar do leste europeu, pedindo para que se digitasse nome de usuário e senha. Note que não há vulnerabilidades técnicas exploradas nesse tipo de ataque. Estudos têm mostrado que grande parte das invasões nas empresas são resultado de ações internas, causado por pessoas que utilizam acessos autorizados, ou por sistemas mal configurados.

O que as empresas deveriam fazer para reduzir a parte do risco que lhe cabe?
Vejo duas situações distintas. Uma delas está relacionada com a própria empresa e a forma com lida com seus dados e a segurança deles. Também existe o risco criado por conta das interdependências. No mundo pós-11/09, o setor financeiro foi obrigado a acordar para o impacto das telecomunicações nos seus negócios. Elas poderiam ter voltado a funcionar rapidamente, mas a infra-estrutura [das empresas de telecomunicações] foi destruída. Compreender esse tipo de interdependências é difícil.

O outro ponto é que os modelos de negócios estão mudando. Tudo - desde a mudança da telefonia tradicional para o VoIP, offshoring, utilização global de recursos, acesso remoto, e até a “desperimetrização” da rede –, todas essas mudanças na forma de se fazer negócios exigem uma reflexão sobre o modelo de risco e como ele afeta a maneira como as empresas estão acostumadas a trabalhar e o que deve ser feito para que possam minimizar esses riscos.

E quanto ao usuário final e os riscos a que estão expostos?
Um dos exemplos que eu costumo citar é a minha mãe, que  tem 78 anos e descobriu o e-mail. Lembro-me de tê-la encorajado a usar uma conexão de banda larga em vez de linha discada. Expliquei também se seria importante instalar um firewall. Ela me perguntou por que a banda larga provoca “incêndios”. O que quero dizer é que minha mãe não a menor intenção de tornar-se uma administradora de segurança. O que precisamos fazer é educar os usuários para que não cometam erros, tais como abrir anexos de remetentes desconhecidos ou clicar em qualquer link que aparecer pela frente, e coisas assim.

Também sabemos que um usuário irá clicar no botão OK sempre que uma caixa de diálogo é aberta. O que precisamos é encontrar formas de lidar com isso. É crucial que a indústria de TI faça um trabalho melhor no que eu denomino usabilidade segura.++++

Então, quem é o responsável pela segurança desses usuários?
Uma das razões pelas quais as empresas são mais seguras é que elas contam com um profissional responsável pela informação (CIO), outro pela segurança operacional (CSO) e com pessoas que cuidam da segurança da rede. Mas quem é o CIO ou o CSO do usuário doméstico? Tal resposta não é simples. Alguns provedores de acesso podem proporcionar algo nesse sentido porque eles são o ponto de entrada para a Internet, fazem o controle de acesso e fornecem ferramentas que ajudam a proteger seus clientes. E alguns provedores já fazem isso. Fornecedores aplicativos para desktops certamente têm a obrigação de produzir códigos mais seguros e mais facilmente gerenciáveis. Ou seja, a responsabilidade é compartilhada entre o usuário, o provedor de acesso e o fornecedores.

Existe algo que lhe tira o sono?
Duas coisas. Uma é complacência. Você sabe como é, na Microsoft, fizemos todo esse esforço com relação à segurança, nossos números se mantiveram em constante crescimento e cada vez mais pessoas estão dizendo “Eles fizeram um bom trabalho e outros devem seguir seu exemplo”. Já os “escovadores de bits’ (technologists) rebatem: “Ok! Nosso trabalho está feito, e agora?” O que tento explicar às pessoas é que não se trata de resolver um problema tecnológico, e sim um problema criminal. O outro é o avanço dos modelos de ameaça.

O que o deixa irritado?
Perguntarem qual o número do meu telefone no caixa de qualquer local. Quando eles fazem isso, respondo: você não precisa do meu número. Tem a intenção de me ligar? Pode me dar o número do seu celular? Tudo o que eles estão fazendo é coletar dados e isso viola todos os princípios de informações justificáveis.

O que faz quando não está pensando sobre segurança?
Tenho três filhos, vou assistir a partidas de futebol e nadar. Um dos meus filhos tem só dois anos, o que significa que gasto boa parte do meu tempo correndo atrás dele pela casa.

Torce para qual time?
Costumo torcer para o time da casa. Quando estava em Nova York, as pessoas diziam: ´Yankees ou Mets?´ e eu respondia ´Nova York. Fui ao estádio do Shelsea; ao do Yankees... Agora que estou em Seatle, estou torcendo para o Seahawks e para o Mariners.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail