LAB GSTI 2.0: Hacktivismo, porque sim?
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Ilustração 1 - David e Golias
Existem muitas faces nos ataques informáticos, diferentes fontes de ameaças e cada vez mais e maiores impactos. Recentemente em conversa com especialistas de segurança da informação discutia-se sobre o crescente aumento das vulnerabilidades dos sistemas informáticos e a cada vez maior facilidade com que se deteta e explora essas vulnerabilidades . Compreendendo a oportunidade e racionalização do fenómeno, questionei-os sobre quais seriam as principais motivações para os ataques, quer fossem mais ou menos éticos. E é aqui que começam a surgir os primeiros “Porque sim”!
A comunidade de profissionais da segurança da informação em Portugal desde há alguns anos que se tem vindo a desenvolver, existindo diversos fóruns [1] onde periodicamente se discutem em partilham visões sobre os riscos de segurança que vão surgindo um pouco por todo o mundo e em particular os impactos que essas ondas de choque globais podem ter no nosso “cantinho à beira mar plantado”. Numa dessas recentes discussões falava-se sobre as tendências da segurança da informação para 2013 e entre as muitas análise e projeções existiam 2 fenómenos que se destacavam entre todos os outros:
- Mais Oportunidades – É cada vez mais evidente que a crescente complexidade dos sistemas de informação levam a um aumento dos riscos relacionados com a sua gestão . O ritmo da evolução tecnológica ultrapassa em muitas situações os recursos disponíveis, não sendo fácil a muitas Organizações, públicas ou privadas, acompanhar a necessidade de competências dos seus recursos humanos ou financeiros para capacitar o sistema de informação com controlos adequados aos riscos. Neste sentido, existem cada vez mais “portas abertas” que as Organizações não conseguem ou não sabem fechar ;
- Mais fácil Racionalização – Por outro lado, as ferramentas de suporte à exploração de vulnerabilidades são hoje cada vez mais acessíveis e fáceis de utilizar, estando muitas delas ainda sem qualquer enquadramento legal que permita entender se se tratam de facto de armas ou simples e inofensivas aplicações. É neste contexto que grupos ou indivíduos, muitas vezes sem grandes recursos e até esforço, conseguem colocar a nú informações ou outro tipo de ativos que se consideravam guardados em verdadeiras casas-fortes . Na internet e redes sociais aparecem cada vez mais verdadeiros diretórios de “portas abertas”, guias de “arrombamento for dummies ” ou mesmo os segredos mais privados que despertam o voyeur que há em nós.
Perante esta discussão, parecem estar reunidas as condições quase perfeitas para uma cada vez maior proliferação de ataques ou avisos à segurança da informação das Organizações. São cada vez mais aqueles que “Sabem” e “Podem” explorar as vulnerabilidades de pequenas ou grandes Organizações, dando forma a uma espécie de “David contra Golias” dos tempos modernos .
Mas faltava algo a este enredo, algo que na minha opinião pode ser tão ou mais importante que a Oportunidade e a Racionalidade para cometer qualquer tipo de ataque (ou brincadeira!). Imaginem que estão a chegar a casa e a vizinha do vosso prédio deixou a porta aberta. Sabendo que a vizinha mora sozinha e que normalmente só chega ao final da noite não é difícil concluir que podem estar reunidas as condições para o assalto perfeito. “Podem” entrar e “Sabem” que ao fazê-lo muito provavelmente não serão detetados. Mas qual é a motivação para assaltarem a vossa vizinha? Porque o haveriam de fazer?
A Motivação (ou Pressão) é a terceira variável do triângulo da fraude [2] e aquela que muitas vezes representa o fator de equilíbrio, sendo esta, na minha opinião, a principal ameaça no contexto da segurança da informação nos próximos tempos :
Triangulo da fraude
Se a Oportunidade e Racionalização estão sobretudo relacionadas com os recursos tecnológicos e processuais do sistema de informação, a Motivação vai mais longe e considera os contextos sociais, económicos, políticos ou organizacionais onde estes fenómenos ocorrem. Mais uma vez, independentemente das vulnerabilidades dos “bits e bytes”, no limite as motivações estão relacionadas com fatores bastante materiais como a conquista de Dinheiro, Fama ou Poder .
A origem do hacktivismo [3] está precisamente centrada na Motivação, recorrendo à Oportunidade e Racionalização para atingir os objetivos. No entanto, existem cada vez mais movimentos que se deixam levar pela emoção ou até curiosidade, ficando muitas vezes difícil de entender quais as verdadeiras Motivações relacionadas com determinados ataques ou avisos.
Qual a motivação para se colocar no elevador um aviso a todos os restantes vizinhos de que existe uma vizinha que deixa a porta aberta? Qual a motivação quando se apregoa no bairro que foram capazes de entrar em casa da vizinha apenas para dar uma olhada? Será igual dizerem à vizinha que deixou a porta aberta e dizerem-lhe que deixou o tampo da sanita levantado e as meias foram do lugar?
No final da discussão a explicação da Motivação é sempre a tarefa mais complicada. Entre as justificações mais voluntariosas ou mais justiceiras existe um sem número de motivações possíveis, mas há sempre uma motivação . O conhecimento dessas motivações é um desafio importante no controlo das ameaças à segurança, mas também para enquadrar alguns movimentos que por vezes procuram caracterizar-se apenas como meros curiosos… Ninguém explora vulnerabilidades “porque sim”, porque “porque sim” nunca é resposta!
Muito se tem discutido e vai continuar a discutir sobre novas regulamentações e adaptações legais, locais ou transnacionais, para enquadrar estes fenómenos do cibercrime. Importa que sejam sempre avaliados de forma holística não deixando de considerar as sinergias entre as Oportunidades digitais e as Motívações físicas do fenómeno.
Conclusão
O Triângulo da Fraude é um modelo que tem por objetivo mostrar a mistura explosiva que pode resultar da combinação de Oportunidade, Racionalização e Motivação. Ao mesmo tempo, permite explicar que a melhor forma de reduzir o risco de fraude é destabilizando o triângulo atuando sobre um ou mais dos seus vértices. No contexto da cibersegurança reduzir as Oportunidades deve ser o objetivo de qualquer estratégia de segurança da informação, no entanto é importante não deixar de atuar sobre os demais vértices, em particular na avaliação das Motivações que podem estar na origem destes fenómenos .
É sabido que os recursos tecnológicos podem representar um aumento exponencial do Poder, mas qualquer movimento, mais ou menos ativista, não se deverá esquecer da máxima do homem aranha “Com grandes poderes vêm grandes responsabilidades!” [4]
Cumprimentos desde Portugal… estamos juntos!
[1] Um dos fóruns mais ativos é a Confraria da Segurança de Informação promovida pelos colegas da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI).
[2] http://en.wikipedia.org/wiki/Fraud_deterrence#Fraud_Triangle ; http://en.wikipedia.org/wiki/Donald_R._Cressey
[3] http://pt.wikipedia.org/wiki/Hacktivismo
[4] http://pt.wikipedia.org/wiki/Homem-Aranha