Economia da segurança

(mais um da série relembrar é viver)

Existe sistema seguro? Na minha opinião, não. Existe sistema economicamente inviável de quebrar, sempre vivendo um eterno jogo de gato e rato. O ponto básico nesta discussão é que o problema técnico vem a reboque de um problema econômico. Por mais que nós, técnicos, fiquemos apaixonados com a idéia de colocar biometria em todos os computadores ou token-based autenthication para todos os usuários, temos que justificar isso economicamente.

Um exemplo de como o incentivo econômico muda o padrão de uso de segurança: os bancos no Brasil estão submetidos ao Código de Defesa do Consumidor – apesar de eles terem brigado muito contra – e por causa disso eles são, em linguagem de advogado, responsáveis objetivamente pelos vícios do sistema. Podem ser entendidos os vícios do sistema como erros de segurança. Nos EUA, o banco também é responsável. Já na Inglaterra, Noruega e nos Paises Baixos, é o cliente quem deve provar o erro do sistema. A depender de quem pagar a conta no caso de erro, há padrões de fraude e de investimentos completamente diferentes.

Outro exemplo: os ataques de DDOS. Caso os usuários detentores das máquinas capturadas fossem responsabilizados por participar dos ataques e tivessem que sofrer uma penalidade por isso, com certeza a incidência destes ataques diminuiria (considerações a parte sobre a transferência desta responsabilidade para uma Microsoft da vida).

Mais um exemplo: bugs de segurança em sistemas operacionais. Vamos analisar do ponto de vista de retorno. Caso você fosse um hacker com o objetivo de ganhar reconhecimento, iria trabalhar em cima de um bug do Windows, do Linux ou do MacOS? Qual daria maior retorno do ponto de vista de impacto? E se fosse do ponto de vista de retorno financeiro? Qual seria a decisão?

É uma briga complicada, semelhante à situação dos bandidos e da polícia do Estado de São Paulo. É muito mais simples atacar que defender. Se a Microsoft colocar 100 pessoas procurando bugs e do outro lado tiver um único hacker, a probabilidade das 100 pessoas acharem o mesmo bug que o hacker é pequena. Caso este hacker consiga achar um único bug, independentemente do esforço das 100 pessoas da Microsoft, o estrago está feito. É semelhante a polícia do Estado de São Paulo com cem mil homens e os bandidos com um número absurdamente inferior que conseguem espalhar o terror a toda população.

Hoje a Microsoft tem segurança como um dos pontos críticos. Dois anos atrás, ela parou todo o desenvolvimento durante um mês para retreinar todos os desenvolvedores no assunto segurança. Isso deve ter feito sentido econômico para ela. Para conhecer uma comparação entre bugs de vários sistemas, pode-se olhar aqui.

Analisando o caso do primeiro XBox, era um PC que estava sendo vendido com um custo menor que o de fabricação. A Microsoft colocou uma série de medidas de segurança, que foram quebradas por um hacker usando pouco dinheiro. Ele teve que monitorar a bus do chip gráfico, local em que se armazenava a chave de criptografia da primeira versão. O que mais preocupou a Microsoft não foi o sistema ter sido quebrado, mas ter sido quebrado com pouco dinheiro.

E a Microsoft está novamente envolvida em um caso como esse. No caso do Flex Go, plataforma da Microsoft para venda de PC´s baseados em assinaturas, já está sendo vendido no Magazine Luiza e o sistema de segurança é baseado em um hardware específico. Olhe o que a própria Microsoft coloca em um dos slides de uma apresentação sobre este assunto:
People

  • Good News à Most people are honest users
  • Bad News à A small minority of people in the world may want to circumvent the payment structure

Considerations

  • It is never possible to have a tamper-proof system
  • It is our desire to work with industry partners to make tampering with FlexGo systems inconvenient and uneconomic

No slide abaixo, vemos isso com maior detalhamento, as várias opções e as suas considerações:

  • O custo de quebrar o sistema deve ser superior ao valor das parcelas que ainda faltam ser pagas. Ex: um computador equivalente a R$ 1.000,00, em que as parcelas que ainda faltam ser pagas custam R$ 850,00, o custo de quebra do sistema deve ser superior a R$ 850,00, para tornar a opção inviável;
  • O valor de revenda dos componentes removíveis deve ser menor que o valor das parcelas restantes. Ex: a soma dos valores de revenda do HD e da memória deve ser de R$ 500,00, enquanto você ainda tem que pagar R$ 800,00.

E quando envolve muito dinheiro? Vamos imaginar um caso do sistema de tv paga via satélite. Todo ele é baseado em smartcards que são colocados no set top box e funcionam como chave. Se por acaso alguém quebre este sistema de smartcard, todo o modelo econômico vem por água abaixo.

Uma subsidiária (NDS) ligada à segurança da News Corp do Murdoch já foi acusada de ter contratado um hacker para quebrar o sistema da Vivendi, que, por causa deste feito, abriu um processo judicial contra a NDS no valor aproximado de um bilhão de dólares. A NDS, publicando esta informação na Internet, acaba com o modelo de negócios da Vivendi. Existem teorias da conspiração que indicam que um hacker envolvido no caso foi morto na Alemanha. Se tiver mais curiosidade sobre o caso, veja isso aqui e aqui. [o caso foi finalizado. olhe o resultado aqui]

Isso não acaba por aqui. A própria IBM foi acusada de tentar quebrar os sistemas de um escritório de advocacia que trabalha para um concorrente.

Em resumo, não vale a pena comprar um cofre de R$ 5.000,00 para proteger algo de R$ 500,00. Mas se houver muito dinheiro envolvido, de acordo com o padrão antes comentado de que é muito mais fácil atacar do que defender, nenhuma quantia seria suficiente e, neste caso, o máximo que se poderia fazer é gerenciar os riscos envolvidos.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>