21 de junho de 2011

Operation Anti-Security

Nessas últimas semanas começamos uma nova era. Uma era onde os mouses e as mentes de milhares se unem para realizar ataques simultâneos com um objetivo em comum: pilhar e destruir. Só que, diferente da idade média, onde se usavam espadas, machados, martelos de guerra e maças, as armas são os chips, os mouses e as mentes.

E como nos protegíamos antigamente? Nos acastelávamos atrás de muralhas defendidas por espigões, flechas e óleo quente. E agora? Agora, muitos não sabem o que fazer, ou quando sabem dizem que não precisam , pois com eles não vai acontecer nada.

Já ouvi diretor de TI de empresa falar que pentest é inútil e que proteção de perímetro não serve para nada, pois na opinião dessa pessoa basta “comprar uma caixinha” que todo o problema está resolvido.

E é justamente por contar com a existência em massa de pessoas de mente embotada dessa maneira, que os grupos LulzSec e Anonymous decidiram se juntar e explorar as brechas existentes em sistemas de grandes empresas, governos e instituições militares. Agora, será que uma “caixinha preta” será a solução para tudo isso? De acordo com esse diretor que citei, sim! Vocês vão pagar para ver?

Quem não quiser pagar pra ver, meu conselhos:

  • atualizem os sistemas;

  • auditem as regras de firewall e IDS, adaptando-as à realidade que começaremos a enfrentar em breve;

  • contratem profissionais de segurança (profissionais, não o sobrinho do dono);

  • auditem toda a infraestrutura da empresa, seja física, seja lógica;

  • invistam no monitoramento, não do que o funcionário está fazendo no browser, mas sim dos incidentes da rede, com boas ferramentas e acima de tudo, uma boa equipe de resposta a incidentes.


Enquanto a mentalidade empresarial não mudar, seremos reféns de grupos como estes, que estão organizando a Operation Anti-Security.

Quando digo mentalidade, sempre surge em minha mente as frases:

  • o foco do meu negócio não é TI, então não tem porque investir tanto nesse setor de minha empresa;

  • TI me dá muito gasto e pouco retorno, chega de gastar com esses caras que ficam tomando cafezinho o dia todo;

  • entregue cedo, entregue sempre, prefiro que você me entregue 80% do projeto em 2 dias do que 100% em uma semana;

  • vendam, vendam e vendam, que o pessoal de TI se vira para entregar;

  • metodologias ágeis e TDD só servem para atrapalhar e aumentar o tempo para a entrega do projeto, vocês estão proibidos de implementar essas metodologias ao desenvolverem algo.


Parece piada, mas ouço essas pérolas ao meu redor... Será que essas empresas sabem algo de segurança? Será que elas serão alvos fáceis de uma operação anti-segurança?

Enquanto não cair a ficha de que sem TI nenhuma empresa funciona hoje em dia, que o fato de um cara ficar sentado o dia inteiro tomando cafezinho em frente ao computador (olhando gráficos, logs ou seja lá o que for) não quer dizer que não esteja trabalhando, que eficácia é diferente de eficiência, que TI precisa de escopos bem definidos e prazos coerentes e realistas, nós vamos retornar à idade das trevas no setor tecnológico. Porque quando uma operação, como essa que começará a ser deflagrada pelo LuzlSec + Anonymous, ocorrer, não será apenas a rede da Sony com nossos cartões de crédito que será destruída e pilhada, ou a Amazon que ficará fora do ar. Serão hospitais que terão equipamentos comprometidos, abastecimento de água e energia interrompidos, usinas nucleares controladas (lembram-se do Stuxnet?!) e muitas outras coisas piores do que perder os dados de seu projeto no qual investiu milhões de doláres.

Mas é justamente protegendo o seu projeto, bem como os governos protegendo seus governados, que cada um fará sua parte e a comunidade de segurança atuando através de empresas ou instituições conscientes, que conseguiremos fazer com que essa operação cause bem menos malefícios do que aquilo que pode acontecer se continuarmos no mesmo cenário atual.

E então, vai pagar pra ver ou vai começar a agir desde já? A comunidade de segurança conta com essa atitude proativa das empresas e governos para que possa atuar com todo o gás e recursos necessários.

Para saber um pouco mais sobre a operação AntiSec:

Nenhum comentário:

Postar um comentário