No início de maio, o chefe de segurança cibernética do exército, major-general Jonathan Shaw, admitiu O guardião que o Ministério da Defesa estava vulnerável a ataques on-line e que já havia um pequeno número de incidentes sérios. O que foi mais chocante foi que Shaw disse que era uma surpresa para as pessoas o quão vulneráveis ​​elas eram.

Presumivelmente, estes não eram simples ataques de negação de serviço. Eles devem ter sido organizados, coordenados e planejados, com os crackers visando sistemas e vulnerabilidades específicos. A parte preocupante é a abordagem implícita de 'cabeça na areia' a alguns dos seus procedimentos de segurança.

Soa como deixar a porta da frente aberta e confiar na vontade moral de seus cidadãos de fazer a coisa certa. E isso nunca vai acontecer. Não por causa de qualquer lapso global na moral ou um desejo de invadir ou ser mal, mas porque você não pode lutar contra a curiosidade de adolescentes inteligentes com muito tempo em suas mãos..

A opacidade é um desafio

A única maneira de fazer segurança é, na minha opinião, com transparência completa e não-cega. Ofuscar seus procedimentos apenas lhe dá uma falsa sensação de não segurança. Ele não adiciona a quaisquer sistemas que você possa ter e mostra apenas uma falta de confiança nesses sistemas e suas habilidades para impedir um ataque..

Um cracker determinado verá ofuscação como um convite e um desafio. Vai atrair sua curiosidade adolescente. A tecnologia mudou, mas duvido que haja uma diferença nas motivações dos crackers de hoje e dos de 20 anos atrás, roteirizando seus modems para discar silenciosamente números de telefone locais durante a noite na esperança de ver aquele ilusivo 'CONNECT' em uma sessão de terminal..

Se você é um geek, há poucas coisas tão excitantes. Alguns podem se tornar criminosos, políticos e perigosos, mas talvez nunca tenham chegado tão longe se não pudessem começar com alvos fáceis e colhendo os frutos mais fáceis. É por isso que o seu melhor recurso é sempre uma segurança fria e sóbria.

Para fazer isso, é claro, você precisa estar totalmente ciente de quaisquer vulnerabilidades. Você precisa manter os sistemas atualizados e saber onde procurar por incursões. A segurança não deve ser tratada como um segredo de Estado e os detentores desses segredos não podem agir como membros de uma loja clandestina..

Manter as coisas em segredo não torna as coisas mais seguras. Ler documentos sobre invadir um sistema não faz de você um criminoso da mesma forma que tentar imaginar como um ladrão pode escalar sua cerca e atravessar o telhado da garagem faz de você um ladrão.

Chapéus brancos são essenciais

Você precisa estar melhor preparado do que as bolachas. E, para estar melhor preparado, você precisa saber como eles podem atacar aprendendo sobre suas técnicas e penetração testando-os com seu próprio hardware. Você precisa usar um chapéu branco.

Se você está procurando uma prova de que essa abordagem funciona, há um exemplo óbvio: software de código aberto. Não faz muito tempo que os sistemas operacionais e o software que os rodeava estavam se tornando cada vez mais sigilosos e proprietários. Muitos de nós entramos no Linux porque não queríamos pagar por um ambiente de desenvolvimento simples no Windows, por exemplo, e a Red Hat - a gigante de software livre que acaba de anunciar US $ 1,13 bilhão em receita - construiu seu negócio no vácuo deixado por desenvolvimento fechado.

No entanto, o modelo de código aberto mudou as atitudes, não porque é mais barato (porque provavelmente não é), mas porque você obtém um produto melhor. Não apenas funcionalmente melhor, também. É melhor porque você sabe, ou pode descobrir, sua proveniência.

Como a segurança aberta, o escrutínio de muitos codificadores que verificam e usam códigos ajudou a tornar o código aberto inovador e seguro, da imensa rede do Google aos novos projetos de hardware do Facebook para seu data center de código aberto. A segurança, afinal, é encontrar bugs no seu sistema, e a melhor maneira de fazer isso é usando o máximo de pessoas possível..

A Red Hat tem uma lista de discussão interna onde compartilha quase todas as ideias e planejamento de estratégia, com apenas algumas exceções sendo feitas onde não pode fazer um anúncio legalmente. Naturalmente, alguns argumentariam que isto dá aos seus concorrentes muita informação - exatamente como um guru da segurança defendendo sistemas fechados e a restrição da pesquisa. Mas a Red Hat não está sofrendo com essa estratégia, está prosperando com isso.

Imediatamente tem um pool de 4.000 funcionários à disposição, examinando essas novas idéias e discutindo seus prós e contras. O resultado é que melhores ideias surgem em um ambiente já preparado para sua germinação, de modo que, mesmo que os concorrentes da Red Hat demorassem um pouco, eles não seriam capazes de produzir resultados tão bons..

Isto é o que a Red Hat sempre fez com seu software, com sua estratégia e com sua segurança, e é a marca de um sistema que pode ser provado que funciona. Fazer o mesmo no frio e no escuro, na esperança de que ninguém notará, está à espera de problemas. E, como com a maioria das coisas, é muito melhor encarar a tarefa, a céu aberto, sabendo que você não tem nada a temer.