Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)
Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui ler um artigo do The Register sobre a palestra de Michael Bailey no evento Security B-Sides.
Para ler esse artigo, clique no botão abaixo.
Essa semana tivemos um evento de segurança interessante ocorrendo em San Francisco, o Security B-Sides, que em tradução livre significa “Os Lados ‘B’ da Segurança”. Os nomes a comparecerem não são nem de longe tão famosos quanto os que geralmente aparecem na conferência da RSA, sobre a qual falei essa semana, mas também se trata de gente que está na vanguarda da segurança de TI.
Um desses experts é o consultor Michael Bailey, da empresa Mad Security. Michael e seus colegas de trabalho são especialistas em demonstrar vulnerabilidades de segurança em empresas que contratam a Mad Security, através de técnicas chamadas testes de penetração.
Em uma apresentação de uma hora, Bailey e o colega Michael Murray falaram sobre a maior e mais permanente de todas as vulnerabilidades: a natureza humana. Não pude deixar de sorrir quando essas duas palavras apareceram na pauta, pois eu já disse várias vezes aqui no 5 Minutos de Segurança que é exatamente na natureza humana e em suas características que residem os principais problemas de segurança. Os engenheiros sociais vivem da exploração dessas falhas, e Bailey acertou na mosca em seu discurso, penso eu.
Numa tentativa de entender porque é de nossa natureza depositar confiança em situações que exigiriam que desconfiássemos, ele nos remeteu aos primórdios da espécie humana, quando nos juntamos em grupos para melhorar nossas chances de sobrevivência diante de um cenário totalmente hostil. Se alguém, movido pela fome, se arriscava a comer uma fruta silvestre desconhecida e não morria envenenado, então os demais componentes do grupo, confiando no exemplo do amigo vivo, comeriam a fruta também. Essa relação de confiança nos conhecidos, em outras palavras, é ancestral e profundamente enraizada em nossa natureza.
Corta para várias dezenas de milhares de anos depois: recebemos um e-mail de alguém conhecido ou esse mesmo alguém nos indica um link “interessante”, e nossa propensão para seguir em frente é enorme. Mesmo profissionais de segurança, afirmou Bailey, se entregam a essas vulnerabilidades se o tom da comunicação for adequado. E olha que como sempre digo para meus alunos, a principal tarefa do profissional de segurança é desconfiar de tudo e de todos, o tempo inteiro. O resultado é que se um e-mail chega à caixa de entrada do funcionário vindo da área de segurança da empresa e pedindo para que esse funcionário descumpra uma regra de segurança, em muitos casos a pessoa vai de fato descumprir a regra, sem questionar ou criticar o pedido. “Veio da área de segurança, e eu confio na área de segurança” é o nosso raciocínio, sem pensar que alguém pode justamente ter burlado a área de segurança e nesse momento tenta nos enganar.
É fato que temos um dia-a-dia bastante atribulado, e nesse sentido é lícito buscarmos formas de facilitar nossa vida. “Terceirizar” alguns processos e decisões é algo bastante comum e muito útil para que possamos cumprir tudo o que se espera de nós. Contudo, alguns desses processos e algumas dessas decisões não podem ser deixadas nas mãos de outros, sob pena de entrarmos em fria. E o assunto “segurança” é um que exige nossa atenção e nosso raciocínio o tempo todo. Em questões de segurança, perguntar “será que isso que estão me pedindo, mesmo vindo de alguém em quem confio é adequado?” é fundamental para nos protegermos. Dá mais trabalho que simplesmente seguir em frente e fazer o que está sendo pedido. Mas como os exemplos são prolíficos em demonstrar, esse tipo de “deixadinha” é receita para o desastre.
Bom fim de semana e até a próxima.
Um desses experts é o consultor Michael Bailey, da empresa Mad Security. Michael e seus colegas de trabalho são especialistas em demonstrar vulnerabilidades de segurança em empresas que contratam a Mad Security, através de técnicas chamadas testes de penetração.
Em uma apresentação de uma hora, Bailey e o colega Michael Murray falaram sobre a maior e mais permanente de todas as vulnerabilidades: a natureza humana. Não pude deixar de sorrir quando essas duas palavras apareceram na pauta, pois eu já disse várias vezes aqui no 5 Minutos de Segurança que é exatamente na natureza humana e em suas características que residem os principais problemas de segurança. Os engenheiros sociais vivem da exploração dessas falhas, e Bailey acertou na mosca em seu discurso, penso eu.
Numa tentativa de entender porque é de nossa natureza depositar confiança em situações que exigiriam que desconfiássemos, ele nos remeteu aos primórdios da espécie humana, quando nos juntamos em grupos para melhorar nossas chances de sobrevivência diante de um cenário totalmente hostil. Se alguém, movido pela fome, se arriscava a comer uma fruta silvestre desconhecida e não morria envenenado, então os demais componentes do grupo, confiando no exemplo do amigo vivo, comeriam a fruta também. Essa relação de confiança nos conhecidos, em outras palavras, é ancestral e profundamente enraizada em nossa natureza.
Corta para várias dezenas de milhares de anos depois: recebemos um e-mail de alguém conhecido ou esse mesmo alguém nos indica um link “interessante”, e nossa propensão para seguir em frente é enorme. Mesmo profissionais de segurança, afirmou Bailey, se entregam a essas vulnerabilidades se o tom da comunicação for adequado. E olha que como sempre digo para meus alunos, a principal tarefa do profissional de segurança é desconfiar de tudo e de todos, o tempo inteiro. O resultado é que se um e-mail chega à caixa de entrada do funcionário vindo da área de segurança da empresa e pedindo para que esse funcionário descumpra uma regra de segurança, em muitos casos a pessoa vai de fato descumprir a regra, sem questionar ou criticar o pedido. “Veio da área de segurança, e eu confio na área de segurança” é o nosso raciocínio, sem pensar que alguém pode justamente ter burlado a área de segurança e nesse momento tenta nos enganar.
É fato que temos um dia-a-dia bastante atribulado, e nesse sentido é lícito buscarmos formas de facilitar nossa vida. “Terceirizar” alguns processos e decisões é algo bastante comum e muito útil para que possamos cumprir tudo o que se espera de nós. Contudo, alguns desses processos e algumas dessas decisões não podem ser deixadas nas mãos de outros, sob pena de entrarmos em fria. E o assunto “segurança” é um que exige nossa atenção e nosso raciocínio o tempo todo. Em questões de segurança, perguntar “será que isso que estão me pedindo, mesmo vindo de alguém em quem confio é adequado?” é fundamental para nos protegermos. Dá mais trabalho que simplesmente seguir em frente e fazer o que está sendo pedido. Mas como os exemplos são prolíficos em demonstrar, esse tipo de “deixadinha” é receita para o desastre.
Bom fim de semana e até a próxima.
Nenhum comentário:
Postar um comentário