Impossível não comentar a discussão em torno do apagão, dos rumores da inteligência americana sobre blecautes antigos terem sido provocados por hackers, sobre o programa da CBS - 60 Minutes - insinuando a mesma coisa, e sobre a noticia publicada hoje na Folha de São Paulo sobre vulnerabilidades no sistema da ONS.
Trabalho há muitos anos em segurança para duvidar de tudo. Duvido quando um executivo declara que seu site é seguro assim como duvido quando alguém diz que pode invadir determinado sistema. As coisas não são assim tão simples, tão binárias! É fato que o site da ONS estava com uma baita vulnerabilidade que dava acesso a um ou mais servidores e aplicações. Mas dizer que a partir da daí alguém poderia invadir o sistema de operação é simples chute. Há muitos "se": "se as redes estiverem conectadas", "se o sistema invadido armazenar dados que permitam ...", etc etc. Somente uma avaliação criteriosa pode dizer até onde um invasor poderia chegar e o que poderia fazer. Fora isso é chute.
Mas a imagem romântica do hacker continua. Em nosso imaginário estão filmes como "Duro de Matar 4.0" ou o antigo "A Rede" (alguém se lembra?). Hackers são aqueles que conseguem tudo, feiticeiros do século 21. Pessoas que se intulam "hackers" exercem uma atração sobre as outras. Dizer que trabalha com segurança também. Há um certo romantismo em dizer que um evento como o apagão da semana passada foi obra de hackers. Imagine como será frustrante descobrir que foi incompetência de alguém ou erro operacional de algum sistema que deveria funcionar e não funcionou. Zero de glamour.
Os problemas no site da ONS também não tem nenhum glamour. Nada. Zero. Tratam-se de vulnerabilidades banais que permitem ataques manjados contra servidores de banco de dados e que seriam identificados com um teste simples, que obviamente não foi feito. Incrivel que um site tão importante tenha sido colocado no ar sem a realização de um teste, mas essa realidade é mais comum do que deveria ser. O diretor do DSIC - Raphael Mandarino - declarou à Folha de São Paulo que um servidor do governo foi invadido porque a senha do sistema era a default! Essa é a frustrante realidade do mundo da segurança da informação. Em boa parte do tempo lidamos com essas falhas banais, não com gênios da tecnologia.
Nenhum comentário:
Postar um comentário