sábado, 16 de março de 2013

Dedos de silicone e a violação do INFOSEG: os limites da segurança informática.

"If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand technology ("Se você pensa que a tecnologia pode resolver os seus problemas de segurança, então você não entende os problemas nem entende a tecnologia", em minha tradução livre).

Não encontro melhor maneira de iniciar este texto, senão citando, pela enésima vez (já está se tornando uma das citações que faço com mais frequência!) essa frase de Bruce Schneier. Os gestores de informática (especialmente do setor público de nosso país) e nossos legisladores deveriam mandar enquadrá-la e pendurá-la na parede de seus gabinetes. Ou repeti-la, como um mantra, todas as manhãs, durante o café.

As notícias publicadas nos últimos dias, como salientei no título deste post, são mais dois exemplos do inegável acerto da mensagem de Schneier, que se somam aos muitos e muitos exemplos de outras ocorrências do nosso passado recente (e isso é tema recorrente aqui no blog, como tratado neste texto de 2010 cuja leitura lhes indico).

O uso de dedos de silicone por uma médica do SAMU para marcar o ponto de colegas ausentes foi até motivo de piadas e charges nas redes sociais, de tão burlesca que foi a fraude. O uso da biometria costuma inspirar nos desavisados uma falsa sensação de segurança. Não que a biometria não seja uma tecnologia interessante... O problema é que a biometria não é uma panacéia geral, algo que possa ser usado em quaisquer circunstâncias e para quaisquer fins, e isoladamente de outros mecanismos de proteção e repressão. O uso remoto de identificação biométrica, por redes como a Internet, por exemplo, é algo que beira a tolice.

Mesmo em ambientes adequados, em que a identificação biométrica é feita presencialmente, ainda assim esta técnica não é nada mais do que um dos elos de uma corrente de segurança. A biometria por impressões digitais (que o TSE também começou a utilizar) já foi comprovadamente violada por "atalhos" como esse, utilizado pela médica do SAMU. O que o fato traz de "novidade", é que os meios de executar esta fraude já estão largamente "popularizados".

Mas mesmo que o ponto eletrônico utilizasse outros elementos biométricos mais difíceis de simular com objetos inanimados (mapeamento de vasos sanguíneos ou da retina, por exemplo), de nada adiantaria a mais moderna tecnologia se, à falta de outros controles, o funcionário puder, por exemplo, "bater o ponto" e voltar para casa. A tecnologia só lhe causaria o desconforto de ir até lá. Ou se o restante do sistema, a base de dados gerada, ou a resposta (esta necessariamente uma tarefa humana) a esses dados não forem eficientes, o ponto biométrico será inútil...

A outra má notícia (o link aponta para a primeira da série de matérias diárias produzidas nesta semana que passou, pelo SBT) retrata o lado perverso da formação de bases de dados com cadastros populacionais. Pode-se dizer que alguns têm (e creio que não seja apenas no Brasil) uma verdadeira tara por cadastrar a tudo e a todos, como se a formação de imensas bases de dados pessoais fossem servir, por si só, para propiciar alguma segurança. E como se não pudessem também ser usadas para o mal.

Aliás, desconfio que seu potencial uso para o mal é algo que tende a superar a sua finalidade desejável. Não é à toa que os limites à formação de cadastros populacionais são objeto de rigorosa legislação nos países da Europa. As más experiências do Velho Continente devem tê-lo levado a isso.

Pois a citada reportagem aponta que crackers estão vendendo, por 2 mil reais, senhas de acesso ao sistema INFOSEG, um megacadastro populacional do Ministério da Justiça, criado com o objetivo de combater a criminalidade. Criminosos compram esse acesso e usam os dados para praticar dezenas de golpes variados, de falsa abertura de contas bancárias a "esquentar" veículos roubados com dados verdadeiros. É um escândalo (digo, para padrões civilizados, pois aqui no Brasil já nada mais escandaliza...)!

Pelos detalhes divulgados no jornal televisivo, não apenas as senhas foram fornecidas, mas o cracker também logrou instalar alguma espécie de módulo de segurança no computador dos jornalistas que conduziam a reportagem. Possivelmente, usou-se desse recurso no sistema INFOSEG para impedir que computadores estranhos aos órgãos de segurança pudessem acessar os dados (não se deu mais detalhes, mas arriscaria dizer que deve ser algo como um desses "módulos de segurança" em javascript usados em internet banking).

Como se vê, a tecnologia não foi capaz de impedir um cracker (seria mesmo um invasor de sistemas ou um criminoso interno ao INFOSEG?) de conseguir algumas senhas e de levar para casa todos os módulos de segurança que deveriam restringir o acesso indevido ao sistema (mais uma salva de palmas a Schneier!).

O que realmente causa espécie, como já salientado neste outro post aqui do blog, é como se pode distribuir amplamente as senhas de um sistema como esse, que guarda dados sensíveis de toda a população. Os jornalistas apuraram que a senha "vendida" pertencia, ou deveria pertencer, a um Policial Militar de Alagoas. Parece muito óbvio que, independentemente de falhas ou de ataques externos, um sigilo compartilhado entre milhares de pessoas já não é mais um segredo.

Nenhum comentário: