você está aqui: Home  → Arquivo de Mensagens

BOMBA - O Enigma do Zero Day (Parte 1)

Colaboração: Evandro Oliveira

Data de Publicação: 08 de janeiro de 2019

100 anos atrás

Em primeiro lugar, segurança da informação é um tema que está ficando complexo e multifacetado. E fica pior quando vemos muitos profissionais de TI, dizendo "estou mexendo com segurança da informação". Um professor disse, certa vez, que quando alguém com formação de TI diz que "tô mexendo" é pior do que aquele sobrinho "especialista". E o Zero Day ainda é um enigma que muito profissional de TI nem se deu conta que existe.

O título deste artigo, parte 1 de uma série de três, revela quem sabe ou não da história da segurança da informática. Comecei desde o registro da patente da máquina Enigma, cem anos atrás e vou, certamente, até a quebra da criptografia assimétrica. Enigma aliou-se à história através da máquina Bombe, desenvolvida por Alan Turing, e que foi fundamental para os Aliados vencerem os alemães que, naquele momento, ganhavam a Segunda Grande Guerra com a utilização da máquina Enigma. Finalmente, o Zero Day de Turing não foi divulgado até que a guerra fosse vencida pelos Aliados, embora já estivesse ativo.

Zero Day

Em outras palavras, as profundas divergências começam quando a forma e conceito que muitos tem sobre o termo Zero Day (aka 0-day).

Grosso modo, Zero Day é quando uma vulnerabilidade é identificada e/ou divulgada para especialistas. Neste contexto, a divulgação pode ser feita por desenvolvedores ou possíveis "descobridores" da vulnerabilidade, aka hackers do bem ou hackers éticos.

De acordo com algumas visões, este problema deve ser tratado para impedir a exploração de criminosos. Infelizmente, forjou-se um conceito de que, se alguém descobre uma vulnerabilidade, é um potencial criminoso. Além do que, questões éticas e morais são colocadas abaixo de interesses pessoais e profissionais.

Da mesma forma, a difusão de conceitos errôneos desvirtua a linha eficaz de ações corretas e éticas. E, portanto, colocam em dúvida ou numa zona desmilitarizada e nebulosa, sobre quem e o que é "do bem" ou "do mal".

Turing era do mal ao quebrar o código criptográfico da maquina Enigma?

Quem fez a máquina Enigma pensou no uso para criptografar mensagens de guerra e dar vitória ao Eixo?

Criptografia Assimétrica

Vivemos num mundo da era digital. A revolução informacional verificada após os anos 1990 fez com que muitos conceitos de segurança da informação fossem revistos.

A criptografia assimétrica evoluiu e sempre esteve calcada nos tamanhos de chave, algoritmos matemáticos complexos, números primos gerando uma pseudo-aleatoriedade e outros tantos parâmetros e protocolos.

Surpreendentemente, é assustadora a quantidade de elementos e objetos presentes nas ferramentas e plataformas de segurança atuais. Códigos proprietários e abertos ganharam o mundo de TI e a Criptografia Assimétrica ganhou status de sublime. Quando se descobre alguma vulnerabilidade, dizem que "basta aumentar o tamanho da chave" ou do hash. Cria-se uma versão nova de algoritmo e por aí vamos sobrevivendo.

Disruptura

Defendi minha dissertação de mestrado (abril de 2000), logo após o temido "bug do milênio" e, com toda a certeza, meus temores estavam corretos. Naquele momento, obrigava-se que as senhas deveriam ser criptografadas (em MD5), existia Kerberos e outros mecanismos. Indiquei no estudo que deveriam ser encaminhados trabalhos na linha biométrica, de criptografia assimétrica, diretórios do tipo LDAP. No trabalho acadêmico-profissional constatei que Zero Day de senhas, mesmo criptografadas, já estavam se proliferando.

Passados 20 anos do início dos estudos, vejo que mudou o foco, mas o problema persiste. Inventaram uma parafernália de equipamentos, hardware, software, middleware, vaporware etc. Assim sendo, o usuário de TI comum, mesmo alguns ditos "experientes", estão tateando no escuro e são reféns de coisas que nem imaginam como funcionam.

Por exemplo, cada banco ou corporação empurra uma solução tecnológica que mais Lhe convêm. Uns usam tokens, cartões inteligentes, senhas com biometria, certificado digital, todas tecnologias que, acumuladas, criam uma babel de proteção. Empresas obrigam as pessoas a fazerem senhas esdruxulas a cada 90 dias. Maktub, numa passagem sobre isto na dissertação defendida 18 anos estava escrito e ainda falam em disruptura.

Tertium Millennium

Outrossim, neste terceiro milênio vejo muita gente "mexendo" com segurança da informação, alguns até ganhando boa grana e enganando legal. É cada caso de arrepiar. O crescimento exponencial experimentado pela tecnologia denominada Blockchain seguidos de processos de criptomoedas, hyperledger e outros, todos baseados em criptografia assimétrica chega a preocupar.

A possibilidade de algum tipo de "bug da criptografia" ou "Zero Day do SHA-256" tem me deixado mais do que inquieto. Enquanto bilhões de dólares são "roubados" de corretoras de criptomoedas, os prejudicados ou beneficiados continuam no anonimato. Legislações sobre "privacidade" não atingem os proprietários destas criptomoedas. Acredito que, quando pessoas de TI (até com qualficação de segurança) ignoram a real afirmação de que "... em TI, nada é 100% seguro" (exceto algumas máquinas de votar com selo de garantia!) alguma coisa tá errada.

Por exemplo, algumas iniciativas como computação e criptografia quântica são reais. Estas iniciativas atuarão como uma real disruptura e, certamente, o Zero Day da criptografia assimétrica já aconteceu.

Assim como foi o caso de Turing, que quebrou a máquina Enigma e não divulgou nada, estamos preocupados. Eu estou e acredito que já deveríamos estar pensando se este Zero Day acontecesse amanhã.

O que acontecerá no day after, uma vez que tudo tem sido feito baseado numa segurança por criptografia assimétrica?

Estaremos preparados?

Em suma, será que pedirão para voltarmos ao mundo do papel e carimbo dos cartórios? Em tempos de retorno à década de 1930 ou até mesmo à Idade Média, fica tenebroso qualquer tipo de afirmação.

Afinal, não seria melhor e mais saudável estarmos preparados? Será que não estamos prontos para isto e nem sabemos?

As pessoas neste mundo veem as coisas equivocadamente, e pensam que o que não compreendem deve ser o nada. Mas este não é o nada verdadeiro.É apenas confusão. Miyamoto Musashi (1584-1645)

Voltarei a abordar esta questão adiante. Uma vez que, em outros textos, a vinculação às exigências de proteção dos cidadãos "digitalizados" são vistas como lei. Exigências estipuladas pela GDPR (Legislação Global a partir da UE) e LGDP (Legislação Brasileira similar À GDPR) são firmes e objetivas e o curioso é que até o site do Governo Brasileiro do link indicado, é "NÃO SEGURO".

Assim sendo, deixarei alguns tópicos para os próximos capítulos para não ser chamado de "Ubaldo, O Paranoico".

P. S. Com efeito, o Zero Day do ano de 2019 foi algumas horas atrás e o termo não existe no calendário gregoriano, chinês, judaico ou coisa que o valha.

P. S. - Reitero o pedido feito na página de Advertências deste espaço virtual. Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas. Coloquem aqui nos comentários ou na página do Facebook.

Este artigo foi reproduzido com permissão do autor. Para comentários visite o portal do Prof. Evandro Oliveira.


Veja a relação completa dos artigos de Evandro Oliveira