Wednesday, July 5, 2017

Fatores humanos (Segurança | Insegurança) em sua mente


Por Tom Reeve, editor-adjunto
05 de julho de 2016
Traduzido por Afonso H. R. Alves
Fatores humanos (Segurança | Insegurança) em sua mente

Ao projetar sistemas de segurança, é vital o fator humano na equação, caso contrário, como explica Tom Reeve, você acaba tendo usuários confusos e sistemas vulneráveis

Muito foi escrito sobre a interface entre humanos e sistemas
Nos sistemas informáticos e no design da rede, os fatores humanos influenciam seu sistema de várias maneiras: a interação positiva de uma pessoa fazendo o trabalho que deveriam fazer, a interação negativa de uma pessoa que cometeu erros ou o mal uso do sistema e a interação maliciosa da Atacante que quer subverter seu sistema.
Para tornar a situação ainda mais complexa, tanto os bons atores como os atores ruins podem pertencer ao sistema ou ser estrangeiros.
Manter um controle sobre todos esses fatores é uma questão vital, mas constantemente espinhosa, para os designers de sistemas. O fato de não ter em conta a interação humana com seu sistema leva à perda de produtividade, falha de usuário, falha no sistema e comprometimento do sistema.
Muito foi escrito sobre a interface entre humanos e sistemas, que remonta aos estudos de eficiência no tempo e no trabalho de movimento do início dos anos 1900, mas as interfaces de máquinas humanas atingiram um novo nível com o desenvolvimento de sistemas de informação cada vez mais complexos.
Para colocar esse problema em perspectiva, o Índice de Inteligência de Segurança Cibernética 2015 da IBM descobriu que 95 por cento das violações da segurança cibernética em suas organizações de clientes começaram com erro humano. O relatório de 2016 descobriu que 60 por cento dos ataques foram realizados por informantes, pessoas que agiram deliberadamente ou inadvertidamente ajudaram um invasor de fora da organização.
A boa notícia, diz, é que a proporção de atores inadvertidos caiu de cerca de meio para um terço. "Uma redução no número de ataques atribuídos a atores inadvertidos pode significar que mais organizações estão implementando políticas de segurança e educação dos funcionários - e que estão fazendo um melhor trabalho de comunicar o que é esperado e porque é importante", diz o relatório.
A má notícia é que o número médio de ataques sérios contra suas empresas clientes aumentou entre 2014 e 2015 em 66%, de 109 para 178 incidentes de segurança. Isso funciona em cerca de 3,4 tentativas graves de crime cibernético por semana, em comparação com dois incidentes por semana no ano anterior.



Usando Phising ou técnicas de roubar dados via e-mail, telefone ou mesmo pessoalmente
Muitos desses incidentes são ataques de phishing direcionados, ou spams-phishing, um problema crescente para as organizações.
De acordo com Mimecast[i], 55 por cento das organizações pesquisadas relataram que eram os destinatários de ataques de phishing de alto nível (executivos) dentro de um período de três meses. Nos chamados ataques de caça à baleia (quem é mais representativo dentro da empresa), o atacante tenta convencer um membro da equipe para enviar transferências eletrônicas, visando ou representando o CEO ou CFO. No início deste ano, o CEO e o CFO de um fabricante austríaco de peças de aeronaves foram demitidos após um ataque que resultou em uma perda líquida de € 40,9 milhões (£ 31 milhões).
E existem inúmeros outros exemplos de empresas que incorrem em grandes perdas devido ao phishing, apenas um dos muitos ataques que dependem de erros humanos para ter sucesso.
A Symantec informou em 2015 que detectou uma média de 73 e-mails de phishing diariamente e a má notícia é que o número está crescendo. Além dos ataques destes tipos de ataques, um ataque tipo phishing pode ser usado para infiltrar malwares em um sistema, o que pode levar a maiores perdas financeiras.
Em um caso notório, o comerciante de bitcoin Bitstamp perdeu 18.866 bitcoins (no valor de £ 3.6 milhões no momento) em um ataque em dezembro de 2014. Em um relatório de incidente vazado, revelou-se que membros seniores da equipe de administração tinham sido comprometidos por engenharia social um laptop, que tinha acesso privilegiado aos servidores que continham os dados da carteira.
No entanto, o maior problema em frente é talvez o ransomware.

Montana Williams[ii]
De acordo com Montana Williams, o ciberevangelista da ISACA que atualmente está trabalhando em um olhar para o crime cibernético nos próximos cinco anos, o ransomware em breve se tornará o maior ponto de dinheiro para cibercriminosos.
O resgate de um ping
O modelo atual para ganhar dinheiro com o crime on-line é a fraude de cartão de crédito e roubo de identidade, ele diz. Mas os criadores do ransomware estão se tornando mais sofisticados. "Costumava estar no primeiro ataque que [os atacantes] lhe enviariam um e-mail dizendo que desbloqueariam seu computador por US $ 1 milhão", ele riu. Claro, ninguém pagou.
No entanto, ao longo dos anos, o número de ataques cresceu de forma exponencial e os atacantes reduziram suas demandas até o ponto em que indivíduos e organizações acham mais fácil pagar o dinheiro do resgate do que lidar com as consequências de sua pobre segurança de segurança on-line.
"Recentemente, um hospital obteve uma nota de resgate por US $ 5.000 [£ 3.000] e eles pagaram porque era mais barato do que a alternativa. E então, algumas semanas depois, eles tiveram que pagar Outros US $ 5.000 porque não limparam seu sistema - eles deixaram uma porta de trás ", disse Williams. Enquanto isso, na frente do consumidor, os atacantes visam milhares de vítimas por dia e embolsam mais modestos US $ 350 (£ 200) por ataque bem-sucedido - mas é um jogo de volume e os lucros se somam rapidamente. Mais uma vez, fatores humanos entram em jogo. Não só os atacantes enganam um usuário para baixar a infecção do ransomware, mas também dependem do fato de que uma proporção significativa de vítimas pagará, mesmo que seja no melhor interesse da população como um todo se todos se recusassem a pagar o resgate.

No dilema do prisioneiro clássico, dois suspeitos foram presos pela polícia e levados separados para os quartos de interrogatório. Eles recebem duas opções: cooperar com a polícia e implicar o parceiro ou ficar em silêncio. Se ambos permanecerem em silêncio, ambos irão livres, mas não se sabe qual é a escolha do outro. Se eles denunciarem o seu parceiro, eles receberão uma sentença de dois anos, mas se eles permanecerem em silêncio, eles receberão uma sentença de cinco anos. Nessa situação (e pressupondo que não há verdadeiramente nenhuma honra entre os ladrões), a escolha racional é denunciar o seu parceiro e ter dois anos porque provavelmente é o que ele vai fazer com você.
Se ninguém pagasse os criminosos, eles iriam parar de extorquir as pessoas, mas enquanto algumas pessoas continuam a pagar (mesmo que não seja o que é honroso fazer), manter os ataques continua sendo lucrativo.
Contra terrorismo
Se você tirar os seres humanos completamente da equação, você poderia construir um sistema de computador seguro? Sua única chance seria se você limitasse estritamente as transações que poderiam ser conduzidas, mas mesmo assim, ainda seria vulnerável porque haveria falhas no sistema que podem ser exploradas pelos seres humanos.
Consequentemente, você não pode tirar os seres humanos do sistema. Se os seres humanos são o elo mais fraco, eles também são a solução mais flexível. Os seres humanos sempre cometerão erros. No entanto, os sistemas nem sempre poderão identificar ou corrigir esses erros. E o mundo real sempre gerará exceções. Os sistemas são inerentemente rígidos e o gerenciamento de exceções deve ser incorporado neles, mas o manipulador de exceção mais flexível é o humano que, com treinamento e motivação adequados, é muito bom nisso. No entanto, muitos funcionários dentro das organizações não têm treinamento nem, francamente, a motivação para procurar e lidar com deficiências sistêmicas na segurança da informação.
"Isso vai para essas pesquisas em que 70 por cento das pessoas nem sabem o que é ransomware. E, no entanto, 93 por cento de todos os ataques de phishing têm ransomware neles ", diz Williams.
Parte da explicação para a falta de motivação reside a falta de compreensão tanto dos vetores de ataque como das consequências. Como Williams acrescenta, demitiu-se a demissão do CEO da Target para enviar uma chamada de alerta para salas de aula em todo o mundo que a segurança da informação importasse - como se, realmente importasse. E quando você fala sobre o fator humano, você deve pensar sobre quem está lutando nessas batalhas.
Lute contra a boa luta De acordo com representantes da Unidade Nacional de Crimes Cibernéticos da Agência Nacional de Crime, falando no lançamento de um relatório conjunto com o CREST, entusiastas de jogos para adolescentes estão sendo preparados por gangues criminosas para escrever malware para eles. Apesar de ganhar milhões de dólares para eles, um adolescente preso por crimes informáticos estava sendo pago apenas uma centena de libras por mês - ele estava fazendo isso para a LULZ. Enquanto isso, o governo e o setor privado estão desesperados por dirigir essas mesmas crianças para uma vida de ciber-cultura socialmente útil. É uma guerra de geek vs geek. Vivemos em um mundo cada vez mais gerido por máquinas, que são, por sua vez, guiadas por código de computador que é são tão complexos que nenhum ser humano pode entender como funciona.

Então, os humanos podem permanecer relevantes na era das máquinas? Felizmente, existem pessoas que prosperam neste mundo, mas, para a maioria dos meros mortais, os computadores permanecem inescrutáveis, misteriosos e até certo ponto perigosos. Para aqueles que projetam os ciber-sistemas - incluindo os sistemas de segurança cibernética - dos quais todos dependemos, deve-se ter cuidado para garantir que os geeks não funcionem muito antes de todos os outros. Essa é a visão do engenheiro de software do Google Chrome, Adrienne Porter Felt[iii]. Ela deu uma apresentação ao USENIX Enigma 2016 sobre o desafio de tornar os recursos de segurança simples. Ela diz que os recursos de segurança devem ser invisíveis para os não especialistas quando você não precisa e é útil quando você precisa disso. "Isso é realmente difícil, muito difícil", disse ela. Felt diz que a segurança utilizável deve ser vista como uma ciência, mas não o suficiente para as pessoas tratá-la como tal. Isso envolve a pesquisa científica sobre os problemas de usabilidade de segurança que você enfrenta e, se você não consegue encontrar a pesquisa que precisa, execute seus próprios estudos científicos com hipóteses testáveis ​​e grupos de controle. "Há algumas coisas que você não deve fazer: você não deve confiar em seu instinto", diz ela. "Seu intuição - não somos representativos de usuários regulares. As coisas que nos parecem compreensíveis ou convincentes não serão generalizadas. "E ela adverte, não confie na" sabedoria comum ", a menos que você possa apoiá-la com provas. Marco Cova Marco Cova, pesquisador sênior de segurança da Lastline, diz que gostaria de ver mais tecnologia "segura pelo design". Ele elogia o trabalho que o Google Chrome fez para melhorar os avisos para usuários que estão prestes a visitar uma página perigosa ou fazer o download de malwares em potencial. "Eu acho que o ser humano é culpado demais pela segurança cibernética", ele diz ao SC Magazine UK. "Devemos ter sistemas onde você não precisa ter um Ph.D. Na segurança do computador para reconhecer que um anexo de e-mail, supostamente de seu colega, é realmente falso, vindo de outra pessoa. "A qualidade da segurança cibernética é incrivelmente variável, ele diz - falar sobre a" média "é quase sem sentido. Algumas organizações foram excluídas do negócio, enquanto outras organizações são muito melhores devido à sua cultura de segurança. "Há áreas tradicionalmente mais seguras - lugares onde você pode reforçar muito o ambiente que eles [os usuários] podem usar", diz ele, "enquanto outros lugares, é mais difícil se todos possam trazer suas próprias coisas e é Uma luta pela segurança para manter-se. "Então, a evidência está em: os seres humanos são o elo mais fraco ... e o link mais forte. Trate-os com respeito, especialmente ao projetar recursos de segurança.







DHCP relay agents instead of multiple routers

What do you think is the benefit of using DHCP relay agents instead of multiple routers acting as DHCP servers? Each router works har...