Os espinhos
“Quanto mais bonita é a rosa, mais espinhos ela tem” é uma conhecida metáfora que significa que na vida, o que é considerado belo surge sempre conjugado com o complexo. Embora possa ser tentadoramente comparável, não estou a escrever sobre mulheres mas sim sobre projetos de engenharia.
Que fique claro que sou um acérrimo defensor da tecnologia KISS, ou seja, do Keep It Simple and Stupid. Esta filosofia já utilizada na engenharia já provou que no desenvolvimento de projetos tecnológicos deve-se evitar complexidades desnecessárias sendo um princípio que nos garante o sucesso mais eficaz e controlado. Se no desenvolvimento de um novo modelo de carro são precisos noventa parafusos, para quê meter duzentos se isso não altera em nada a estabilidade do carro se um pneu furar por acaso?
Comparativamente, na questão da Cibersegurança existem duas estratégias, a centralizada e a distribuída. Todos percebemos que é mais fácil, mais barata e segura gerir uma plataforma centralizada com soluções de monitorização como o SIEM (Security Information and Event Management) mas que – tal com as rosas – tem os seus espinhos.
O comprometimento de um único ponto de controlo, por exemplo, um ataque DDos (Distributed Denial of Service) a um serviço do sistema ou uma invasão maliciosa a um servidor de autenticação pode afetar todo o País ou Região, ou seja, os danos podem atingir todos os serviços que dele dependem em larga escala.
E será a infalibilidade dos sistemas conexa? A 6 de junho de 2023, a depressão Óscar atingiu a Madeira provocando recordes de pluviosidade. Sem qualquer relação, nesse mesmo dia, entre as 16H00 e as 19H00, o Data Center em Lisboa da Equinix (uma empresa internacional que disponibiliza Data Centers sofisticados por todo o mundo) esteve alegadamente sem energia provocando constrangimentos nas comunicações da Vodafone, MEO e NOS em todo o País. Esta falha das comunicações, completamente alheia à depressão Óscar, incluiu a Madeira que ficou assim sem acesso a dados meteorológicos enquanto durou o apagão.
Que fique registado que não há soluções infalíveis e seja qual for a solução, o ponto fraco mais comum é sempre o humano. Nos anos 90 Kevin Mitnick ficou famoso por utilizar um método pouco ortodoxo para invadir sistemas informáticos. Pura e simplesmente, Kevin telefonava para funcionários da Motorola e da Sun apresentando-se como um engenheiro do sistema convencendo-os a revelar as passwords, que ele dizia estarem comprometidas, e ultrapassar assim complexos sistemas de cibersegurança das duas grandes Multinacionais.
Na verdade, de que serve criar sistemas sofisticados com passwords complexas, que por serem difíceis de memorizar, guardamo-la depois no notepad do portátil de casa, que pode ser acedível em qualquer altura pela empregada da limpeza?
Será que existem rosas sem espinhos?