Pergunte a qualquer pessoa o que é Internet e ela certamente dirá que é a rede mundial que conecta pessoas e empresas para que se relacionem e façam negócios. Pergunte a um especialista de segurança o que é segurança de redes e ele certamente dirá que são os dispositivos que protegem servidores e sistemas conectados em redes das ameaças da Internet. Essas duas definições são cem por cento verdadeiras e atuais, mas há duas (r)evoluções a caminho, como sempre iniciadas há alguns anos, que as mudarão totalmente. Ambas são diferentes, sem relação, mas curiosamente chegarão juntas ao mundo real. Uma delas é a Internet das Coisas. A outra é a Segurança das Pessoas.
Internet das Coisas foi o nome dado por pesquisadores à conexão de objetos e equipamentos diversos à rede ou à Internet, seja para controle de inventário ou para acesso remoto, nos casos mais sofisticados. Para o primeiro caso a tecnologia mais promissora, já usada largamente, é o RFID. Para o segundo, estamos falando de equipamentos genéricos, como elevadores e até uma geladeira doméstica, com um sistema operacional embutidos, do termo embedded operating system em inglês. O primeiro efeito é claro: o aumento substancial do volume de dados trafegado, exigindo uma infraestrutura mais robusta, o que inclui os dispositivos de segurança de rede. O outro efeito é o aumento da complexidade, com a agregação de novos sistemas e protocolos de comunicação, o que invariamente significa novas vulnerabilidades a explorar. Já os sistemas operacionais embutidos adicionam ainda um nível extra de complexidade. São sistema especialistas, muitos baseados em Linux, outros em plataformas proprietárias, que na verdade já existem há muito tempo, e estão presentes em nosso dia. Mas a situação muda quando começam a receber endereçamento IP e a ser acessíveis remotamente. O primeiro risco advém do fato que os usuários normalmente desconhecem os riscos associados e expõem o equipamento. O segundo risco é o da dificuldade em mantê-los atualizados com correções de segurança. Da mesma forma que os usuários desconhecem riscos, eles não sabem da importância de manter atualizado o sistema.
Eu espero uma explosão desses sistemas com a instalação de fato do endereçamento IPv6. Hoje o IPv4 acaba sendo um limitador, porém com o IPv6 não haverá limites para a quantidade de equipamentos que se queira conectar. O maior exemplo do que representa isso são os telefones celulares. Os smart-phones estão tão presentes em nossa vida, tornaram-se algo tão normal, que nos esquecemos que eram apenas telefones, equipamentos usados para falar. Para quem se lembra, há mais ou menos dez anos sairam os primeiros celulares com acesso WAP. Eram os telefones que também acessavam a Internet. Agora, a cada nova geração de aparelhos, eles se parecem muito mais com um computador portátil que também pode ser usado como telefone. Mas, na prática, o que significa isto? Em dezembro de 2009, de acordo com estudo da Ericsson, o volume de dados trafegado nas redes das operadoras de celular ultrapassou o tráfego de voz, computando modens e smart-phones. Pela primeira vez, o uso do telefone para falar tornou-se algo secundário em uma rede de telefonia. Os cálculos apontam também para um crescimento de 66 vezes no tráfego de dados entre 2008 e 2013, e que, em 2015, 98% do tráfego de smartphones será dados, e desses, a maior parte será video. Não é fácil duvidar dessas previsões. O uso de chamadas com vídeo tornou-se algo corriqueiro para milhares de pessoas com o Messenger, Skype e similares. Alguém acha que não ocorrerá o mesmo com os celulares, quando os aparelhos, a exemplo do novo iPhone 4, trouxerem a câmera para chamadas com vídeo?
Proteger uma rede com tal volume de dados e em crescimento constante será um grande desafio. Não estou falando apenas de throughput, mas de milhões de sessões simultâneas, abertas por milhões de usuários conectados o tempo todo. Uma grande operadora móvil dos Estados Unidos editou uma concorrência para compra de firewall no final de 2008 prevendo um crescimento de 10 vezes no volume de dados trafegados em apenas dois anos. Mas esse não será o único desafio de segurança de redes para os próximos cinco anos. Há ainda um desafio maior: o de migrar do modelo de segurança de sistemas para o de segurança de pessoas.
Hoje, quando instalamos um firewall (e um IPS, etc) nos preocupamos em proteger os equipamentos centrais da rede, os servidores e computadores nela conectados, além é claro dos dados e informações lá armazenados. Apesar dos problemas, essa tarefa hoje é realizada de maneira satisfatória. Surgiu no entanto outras questões para os administradores de segurança, o que fazer com as redes sociais? Não só elas podem trazer ameaças para as redes, via downloads involuntários, como são também um elemento de perda de produtividade. Muitas empresas já decidiram bloquear o acesso à redes sociais e a comunicadores instântaneos. Mas a vida nunca é simples. As redes sociais se tornaram ferramentas de marketing, e é necessário que profissionais de marketing tenham acesso ao Facebook e Twitter, apenas para citar os mais famosos. Por outro lado, fabricantes de equipamento estão usando ferramentas de streaming de vídeo, para publicar vídeos promocionais ou de treinamento, e as mesmas ferramentas podem ser também utilizados pela própria empresa para suas atividades de marketing. Aqui está o desafio, personificar a segurança para que ela possa identificar as pessoas e dar-lhes o acesso que necessitam ao mesmo tempo que protege usuários, sistemas e dispositivos das ameaças da Internet. Esse nível de acesso personificado e seguro incluiria também a proteção dentro da ferramenta social, onde o acesso de um usuário ao Facebook, por exemplo, seria monitorado para bloquear um download de código malicioso.
Há varias respostas hoje disponiveis para esse problema, como as ferramentas de perfil de acesso que concedem um desktop personalisado ao usuário, e os agentes instalados no próprio computador. Mas nenhuma delas pode monitorar o tráfego de dados que deixa e chega à rede desde a Internet. O que se está discutindo é como agregar mais inteligência e discernimento ao gateway de rede, da mesma maneira que foi feito para que protocolos fossem reconhecidos e analisados por sistemas de detecção de intrusos, mas desta vez para o reconhecimento dos usuários da rede. Ao invés de se definir regras para um grupo de IPs, se definiria para um grupo de pessoas, ou para um individuo em particular. Como isso poderá ser feito com eficiência ainda é um tema em discussão na indústria, e pouco a pouco produtos irão despontar com essa idéia em mente, a exemplo dos produtos para DLP, a prevenção de perda/vazamento de dados, hoje facilmente encontrados. Ambas aliás – segurança focada nas pessoas e nas informações – será o modelo a ser seguido no futuro.
