(publicado na revista RTI - jan/2018)
O filme é bastante conhecido. Um exército de aliens praticamente indestrutível, com tecnologia militar muito mais avançada, invade o planeta Terra deixando nós, pobres terráqueos, à beira da extinção. Após perder todas as batalhas, os humanos conseguem a vitória definitiva. Como? “Hackeando” primeiro uma nave de ataque, e posteriormente a nave mãe. O final, da vitória da inteligência humana sobre a extraterrestre, no filme Independence Day, empolgou milhões de espectadores, principalmente os patriotas americanos, mas deixou, e ainda deixa, de cabelo em pé todos os profissionais de segurança de TI. Primeiro porque o “vírus” (até porque o personagem tem essa ideia por estar gripado) foi criado em uma só noite. Segundo porque os aliens, apesar de terem um campo de força resistente a uma explosão nuclear, aparentemente não haviam ainda inventado o firewall, ou o anti-virus, ou o anti-malware. Talvez porque os cidadãos do planeta fossem honestos e não saíssem por aí invadindo os computadores alheios, apesar do gosto por destruir planetas.
A mesma sorte, provavelmente, teria a raça humana ao tentar invadir algum planeta. Não porque nossos cidadãos sejam todos honestos. Longe disso. O crime cibernético é uma das maiores fontes de renda ilegal do mundo. O motivo seria mesmo a segurança das espaçonaves, levando-se em conta algumas dificuldades que temos com nossos aviões, como demonstrou um estudo realizado pelo Departamento de Segurança Interna dos Estados Unidos, (Department of Homeland Security, ou DHS), apresentado no congresso 2017 CyberSat Summit. Um especialista do governo americano conseguiu, remotamente, invadir via radio frequência os sistemas do avião, em uma demonstração de que os aviões não são invulneráveis.
Há alguns anos tirei, a bordo de um Airbus, me deparei com a telinha de entretenimento inicializando e mostrando por vários segundos, suficientes para tirar o celular do bolso e sacar uma foto, todas as informações de conexão, como endereço IP da tela e do servidor, entre outros. A ideia era obviamente ajudar o pessoal de manutenção, mas era de uma ingenuidade assustadora, até porque nas cadeiras de alguns modelos de avião há entradas de rede permitindo a conexão de um computador. Há inclusive relatos sobre isso, embora não confirmados.
Ninguém precisa ficar assustado e deixar de viajar de avião por causa disso, pois o nível de risco foi considerado baixo, e, de acordo com as fabricantes, conhecido. Eles também disseram que sistemas dos jatos mais modernos, também mais dependentes de computadores, foram construídos com segurança como prioridade. Temos que dar-lhes o benefício da dúvida, até porque até o momento nenhum evento ocorreu. O grande problema, em minha opinião, baseado em artigo publicado no site Avionics, é a incapacidade dos fabricantes em corrigir eventuais vulnerabilidades nos sistemas de um avião comercial. Primeiro pelo custo em alterar um desses sistemas, por mais simples que seja a correção. Segundo porque paralisar toda uma frota de uma companhia aérea poderia levar as menores à falência. Essas limitações representam um paradigma que não pode ser ignorado, e está levando os desenvolvedores de aviônicos, como são chamados os sistemas a bordo das aeronaves, a desenvolver sistemas específicos de segurança, uma espécie de detector de intrusos específico e especializado.
É importante notar que essa discussão é independente daquela sobre a segurança dos sistemas de controle de tráfego aéreo, ou mesmo dos intrincados sistemas de reserva e gestão de aeroportos e companhias aéreas, mais tradicionais por assim dizer, apesar de proprietários no caso do controle aéreo. Mas mesmo neste caso temos as práticas e padrões para proteção de sistemas industriais e infraestrutura. O cerne da questão é realmente os aviônicos, um “mundo” ainda não abordado. Pode-se dizer até desconhecido. O tema surge justamente no momento em que fabricantes aeronáuticos começam a pesquisar e pensar seriamente em aviões autônomos, sem pilotos, como forma de reduzir o risco de acidentes, e obviamente, o custo do transporte. Hoje, confiamos nos pilotos, mais que nos aviões, para levar-nos de um ponto a outro. Confiar inteiramente no avião será outra história.
Esse desafio não é só da indústria aeronáutica, é importante dizer. Cada vez mais todos os segmentos de negócio estão aumentando sua dependência da automação e comunicação, e não estou aqui apenas falando de carros e caminhões autônomos. Por outro lado, os estrategistas de segurança continuam a confiar no conhecido, e confiando cegamente em procedimentos e tecnologias criados para ataques de dez ou vinte anos atrás. Precisamos nos preparar, e preparar nossos negócios, para lidar com ameaças desconhecidas, e com o inconveniente fato de que em algum momento alguém irá invadir a rede de nossa empresa, usando ataques ou métodos inesperados.
O problema para todos reside em um ponto: custo. Para preparar-se para o desconhecido é necessário primeiro abster-se de produtos e pensar segurança como um todo, em todos os cenários. “Se minha rede de escritório for invadida, o intruso terá acesso à minha rede de operação ?”. Essa é uma das perguntas a se fazer. E porque o problema é custo? Porque a busca por redução de custos reduz o tamanho das equipes, ao mesmo tempo que reduz o orçamento para a contratação de especialistas externos. O resultado que vejo são muitas empresas adquirindo produtos sem saber exatamente o nível de cobertura que tem, ou terão. Nem precisamos ir muito longe para buscar um exemplo. Muitos profissionais responsáveis pela proteção de suas empresas ficaram surpresos por seus firewalls de próxima geração não bloquearem o Wannacry. Eles estavam preparados para o conhecido, não para a nova geração de ransomware apresentada. Agora várias empresas estão se preparando para novas versões dele, porém provavelmente os hackers estão preparando algo novo.
Fica então esse pensamento para 2018: preparar-se para o desconhecido. É possível. Irei aprofundar esse tema em meu próximo artigo aqui na RTI.