Os espinhos das rosas
“Quanto mais bonita é a rosa, mais espinhos ela tem” é uma conhecida metáfora que significa que na vida, o que é considerado perfeito tem sempre um senão. Embora possa ser tentador, não estou a escrever sobre mulheres mas sim sobre projetos de engenharia.
Que fique claro que sou um acérrimo defensor da tecnologia KISS, ou seja, do Keep It Simple and Stupid. Esta filosofia já utilizada na engenharia já provou que no desenvolvimento de projetos tecnológicos deve-se evitar complexidades desnecessárias sendo um princípio que nos garante o sucesso mais eficaz e controlado. Se no desenvolvimento de um novo modelo de carro são precisos noventa parafusos, para quê meter duzentos se isso não altera em nada a estabilidade do carro no caso de um pneu furar por acaso?
Por falar em carros, na engenharia da Cibersegurança existem duas estratégias de implementação, a Centralizada e a Distribuída. Todos percebemos que é mais fácil, mais barata e segura gerir uma plataforma centralizada com soluções de monitorização como o SIEM (Security Information and Event Management) mas que – tal com as rosas bonitas – são mais atraentes aos hackers.
Num sistema centralizado, o comprometimento de um único ponto de controlo devido a um ataque DDos (Distributed Denial of Service) ou uma invasão maliciosa a um servidor de autenticação pode afetar todo o País ou Região, ou seja, o colapso de um sistema centralizado pode atingir em larga escala todos os serviços que dele dependem dando origem a danos imensuráveis e incalculáveis.
Mas será a infalibilidade dos sistemas dependente de outros sistemas? A 6 de junho de 2023, a depressão Óscar atingiu a Madeira provocando recordes de pluviosidade. Sem qualquer relação, nesse mesmo dia, entre as 16H00 e as 19H00, o Data Center em Lisboa da Equinix (uma empresa internacional que disponibiliza Data Centers sofisticados por todo o mundo) esteve (alegadamente) sem energia provocando constrangimentos nas comunicações da Vodafone, MEO e NOS em todo o País. Esta falha das comunicações, completamente alheia à depressão Óscar, incluiu a Madeira que ficou assim sem acesso a dados meteorológicos criticos enquanto durou o apagão.
A grande lição que se pode tirar deste episódio é que, se todos os Operadores não tivessem hospedados no mesmo Data Center, muito provavelmente teriamos comunicações alternativas no dia 6 de junho de 2023.
Que fique registado que não há soluções infalíveis e seja qual for a solução, o ponto fraco mais comum é sempre o humano. Nos anos 90 Kevin Mitnick ficou famoso por utilizar um método pouco ortodoxo para invadir sistemas informáticos. Pura e simplesmente, Kevin telefonava para funcionários da Motorola e da Sun apresentando-se como um engenheiro do sistema convencendo-os a revelar as passwords, que ele dizia estarem comprometidas, e ultrapassar assim complexos sistemas de cibersegurança das duas grandes Multinacionais.
Na verdade, de que serve criar sistemas sofisticados com passwords complexas, que por serem difíceis de memorizar, são muitas vezes guardadas no telemóvel ou num ficheiro do desktop do portátil de casa com o nome “passwords”?
Para terminar, a conclusão que se tira é que, se este texto fosse sobre rosas, se calhar seria menos controverso.