Segurança digital no mundo real

Bruce Schneier é certamente uma das maiores autoridades mundiais em criptografia e segurança digital, autor de vários livros, incluindo Applied Cryptography (1994 e 1996) — “bíblia” de referência técnica sobre criptografia — e Segurança.com – Segredos e Mentiras sobre a Proteção na Vida Digital (Campus, 2001, tradução); é também criador dos algoritmos de criptografia Blowfish e Twofish, este último tendo sido um dos cinco finalistas na seleção mundial do novo padrão de criptografia definido pelo governo americano, AES (Advanced Encryption Standard).

No Prefácio do livro Segurança.com, Bruce escreveu o seguinte, que considero um dos textos mais sensatos, profundos e inspiradores que já li sobre segurança digital, motivo pelo qual tomo a liberdade de citar e realmente sugiro que todos leiam:

Escrevi este livro em parte para corrigir um erro.

Há sete anos, escrevi outro livro: Applied Cryptography. Nele, descrevi uma utopia matemática: algoritmos que manteriam os segredos mais profundos protegidos por milênios, protocolos que poderiam realizar as interações mais fantásticas — jogos e apostas sem regulamentação, autenticação indetectável, dinheiro anônimo — de forma segura e protegida. Na minha visão, a criptografia era o grande equalizador tecnológico; qualquer um com um computador barato (e tornando-se mais barato a cada dia) poderia ter a mesma segurança do governo. Na segunda edição do mesmo livro, escrita dois anos depois, cheguei ao ponto de escrever “Não é suficiente nos protegermos com leis; temos que nos proteger com matemática.”

Mas isso não é verdade. A criptografia não pode fazer nada disso.

Não que a criptografia tenha se tornado mais fraca desde 1994, ou que as coisas que escrevi naquele livro não sejam mais verdadeiras; é que a criptografia não existe em um vácuo.

A criptografia é um punhado de matemática. E, como todo a matemática, ela envolve números, equações e lógica. Segurança, a segurança palpável, que você e eu poderíamos considerar úteis em nossas vidas, envolve pessoas: coisas que as pessoas conhecem, relacionamentos entre pessoas, como as pessoas se relacionam com as máquinas. A segurança digital envolve computadores: computadores complexos, instáveis e com bugs.

A matemática é perfeita; a realidade é subjetiva. A matemática é definida; os computadores são teimosos. A matemática é lógica, as pessoas são irregulares, caprichosas e pouco compreensíveis.

O erro em Applied Cryptography foi que eu não falei sobre o contexto de forma alguma. Falei sobre criptografia como se ela fosse “A Resposta™”. Eu era muito ingênuo.

O resultado não foi muito bonito. Os leitores acreditaram que a criptografia era um tipo de pó mágico de segurança, que poderia ser espalhado sobre o software para que se tornasse seguro. Que eles poderiam invocar palavras mágicas como “chave de 128 bits” e “infra-estrutura com chave pública”. Um colega me disse certa vez que o mundo estava cheio de sistemas de segurança ruins, projetados por pessoas que leram Applied Cryptography.

Desde que escrevi o livro, tenho me mantido como consultor de criptografia: projetando e analisando sistemas de segurança. Para a minha surpresa inicial, descobri que os pontos fracos não tinham nada a ver com a matemática. Eles estavam no hardware, no software, nas redes e nas pessoas. Trechos lindos de matemática se tornaram irrelevantes devido a uma programação ruim, um sistema operacional falho ou uma senha mal escolhida.

Aprendi a ver além da criptografia, para o sistema inteiro, para descobrir os pontos fracos. Comecei a repetir alguns dos sentimentos que você irá adquirir no decorrer deste livro: “Segurança é uma corrente: ela é tão forte quanto o seu elo mais fraco.” “Segurança é um processo, e não um produto.

Como o prefácio já é bom assim, recomendo fortemente o livro todo. “Segurança.com: Segredos e Mentiras sobre a Proteção na Vida Digital”, por Bruce Schneier, Editora Campus, 19/02/2001, 408 p., ISBN-13 978-85-352-0755-2. Tradução de Secrets and Lies: Digital Security in a Networked World (em inglês), EUA, Editora Wiley, jan/2004, 448 p., ISBN-13 978-0-471-45380-2.

Para saber mais:

8 Replies to “Segurança digital no mundo real”

  1. Nossa adorei isso…
    Era o que faltava para aplacar minha revolta contrra quem afirma, categoricamente, que existe segurança no meio digital.

    Obrigada.

  2. Olá Lire. É, existe segurança no meio digital, mas nenhuma segurança é total e absoluta. Toda segurança é relativa.

    A segurança (digital ou não) é sempre parte de um contexto e depende de uma imensidão de fatores objetivos e subjetivos, técnicos e humanos: tecnológicos, econômicos, culturais, históricos, sociais, políticos.

  3. Oi Márcio, boa noite

    Acredito que segurança depende exclusivamente de moral, coisa que pouco ser humano tem… Abraço.

  4. Loise: Creio que moral e caráter, no aspecto humano da segurança, são um elo importante — e muitas vezes frágil — sim, mas lembre-se que segurança é sempre uma corrente de vários elos. Ou seja, sua efetividade não depende exclusivamente de uma coisa só.

    Não quero entrar em questões ideológicas aqui, mas apesar do mundo moderno parecer caminhar cada vez para mais individualismo, pressão, competição social e outros aspectos negativos, ainda acredito que cada um de nós pode fazer sua parcela (mesmo que exclusivamente individual) em manter alta a moral do ser humano. Fica aqui então minha pequena mensagem de esperança. 🙂

  5. Vale ressaltar que de nada adianta cameras monitoradas, cerca elétrica, modernos sistemas de alarme, se por trás de tudo isso não houveram pessoas capacitadas/habilitadas para exercem tal função.
    Muitas vezes vemos pessoas fardadas e até armadas com distintivo de segurança, sem a mínima noção de bom sendo e educação.

    Pamela

  6. Márcio,

    Vc é uma gracinha, mas um tanto quanto “utópico”…

    Beijinhos… (posso ter esperança..?) (rs)

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *