Por Tom Reeve, editor-adjunto
05 de julho de 2016
Traduzido por Afonso H. R. Alves
Fatores humanos (Segurança | Insegurança) em
sua mente
Ao projetar sistemas de segurança, é vital o fator
humano na equação, caso contrário, como explica Tom Reeve, você acaba tendo
usuários confusos e sistemas vulneráveis
Muito foi escrito sobre a interface entre
humanos e sistemas
Nos sistemas informáticos e no design da rede,
os fatores humanos influenciam seu sistema de várias maneiras: a interação
positiva de uma pessoa fazendo o trabalho que deveriam fazer, a interação
negativa de uma pessoa que cometeu erros ou o mal uso do sistema e a interação
maliciosa da Atacante que quer subverter seu sistema.
Para tornar a situação ainda mais complexa,
tanto os bons atores como os atores ruins podem pertencer ao sistema ou ser
estrangeiros.
Manter um controle sobre todos esses fatores é
uma questão vital, mas constantemente espinhosa, para os designers de sistemas.
O fato de não ter em conta a interação humana com seu sistema leva à perda de
produtividade, falha de usuário, falha no sistema e comprometimento do sistema.
Muito foi escrito sobre a interface entre
humanos e sistemas, que remonta aos estudos de eficiência no tempo e no
trabalho de movimento do início dos anos 1900, mas as interfaces de máquinas
humanas atingiram um novo nível com o desenvolvimento de sistemas de informação
cada vez mais complexos.
Para colocar esse problema em perspectiva, o
Índice de Inteligência de Segurança Cibernética 2015 da IBM descobriu que 95
por cento das violações da segurança cibernética em suas organizações de
clientes começaram com
erro humano. O relatório de 2016 descobriu que 60 por cento dos ataques
foram realizados por informantes, pessoas que agiram deliberadamente ou
inadvertidamente ajudaram um invasor de fora da organização.
A boa notícia, diz, é que a proporção de atores
inadvertidos caiu de cerca de meio para um terço. "Uma redução no número
de ataques atribuídos a atores inadvertidos pode significar que mais
organizações estão implementando políticas de segurança
e educação dos funcionários - e que estão fazendo um melhor trabalho de
comunicar o que é esperado e porque é importante", diz o relatório.
A má notícia é que o número médio de ataques
sérios contra suas empresas clientes aumentou entre 2014 e 2015 em 66%, de 109
para 178 incidentes de segurança. Isso funciona em cerca de 3,4 tentativas
graves de crime cibernético por semana, em comparação com dois incidentes por
semana no ano anterior.
Usando Phising ou
técnicas de roubar dados via e-mail, telefone ou mesmo pessoalmente
Muitos desses incidentes são ataques de
phishing direcionados, ou spams-phishing, um problema crescente para as
organizações.
De acordo com Mimecast[i],
55 por cento das organizações pesquisadas relataram que eram os destinatários
de ataques de phishing de alto nível (executivos) dentro de um período de três
meses. Nos chamados ataques de caça à baleia (quem é mais representativo dentro
da empresa), o atacante tenta convencer um membro da equipe para enviar
transferências eletrônicas, visando ou representando o CEO ou CFO. No início
deste ano, o CEO e o CFO de um fabricante austríaco de peças de aeronaves foram
demitidos após um ataque que resultou em uma perda líquida de € 40,9 milhões (£
31 milhões).
E existem inúmeros outros exemplos de empresas
que incorrem em grandes perdas devido ao phishing, apenas um dos muitos ataques
que dependem de erros humanos para ter sucesso.
A Symantec informou em 2015 que detectou uma
média de 73 e-mails de phishing diariamente e a má notícia é que o número está
crescendo. Além dos ataques destes tipos de ataques, um ataque tipo phishing
pode ser usado para infiltrar malwares em um sistema, o que pode levar a
maiores perdas financeiras.
Em um caso notório, o comerciante de bitcoin
Bitstamp perdeu 18.866 bitcoins (no valor de £ 3.6 milhões no momento) em um
ataque em dezembro de 2014. Em um relatório de incidente vazado, revelou-se que
membros seniores da equipe de administração tinham sido comprometidos por
engenharia social um laptop, que tinha acesso privilegiado aos servidores que
continham os dados da carteira.
No entanto, o maior problema em frente é talvez
o ransomware.
Montana Williams[ii]
De acordo com Montana Williams, o
ciberevangelista da ISACA que atualmente está trabalhando em um olhar para o
crime cibernético nos próximos cinco anos, o ransomware em breve se tornará o
maior ponto de dinheiro para cibercriminosos.
O resgate de um ping
O modelo atual para ganhar dinheiro com o crime
on-line é a fraude de cartão de crédito e roubo de identidade, ele diz. Mas os
criadores do ransomware estão se tornando mais sofisticados. "Costumava
estar no primeiro ataque que [os atacantes] lhe enviariam um e-mail dizendo que
desbloqueariam seu computador por US $ 1 milhão", ele riu. Claro, ninguém
pagou.
No entanto, ao longo dos anos, o número de
ataques cresceu de forma exponencial e os atacantes reduziram suas demandas até
o ponto em que indivíduos e organizações acham mais fácil pagar o dinheiro do
resgate do que lidar com as consequências de sua pobre segurança de segurança
on-line.
"Recentemente, um hospital obteve uma nota
de resgate por US $ 5.000 [£ 3.000] e eles pagaram porque era mais barato do
que a alternativa. E então, algumas semanas depois, eles tiveram que pagar Outros
US $ 5.000 porque não limparam seu sistema - eles deixaram uma porta de trás
", disse Williams. Enquanto isso, na frente do consumidor, os atacantes
visam milhares de vítimas por dia e embolsam mais modestos US $ 350 (£ 200) por
ataque bem-sucedido - mas é um jogo de volume e os lucros se somam rapidamente.
Mais uma vez, fatores
humanos entram em jogo. Não só os atacantes enganam um usuário para
baixar a infecção do ransomware, mas também dependem do fato de que uma
proporção significativa de vítimas pagará, mesmo que seja no melhor interesse
da população como um todo se todos se recusassem a pagar o resgate.
No dilema do prisioneiro clássico, dois
suspeitos foram presos pela polícia e levados separados para os quartos de
interrogatório. Eles recebem duas opções: cooperar com a polícia e implicar o
parceiro ou ficar em silêncio. Se ambos permanecerem em silêncio, ambos irão
livres, mas não se sabe qual é a escolha do outro. Se eles denunciarem o seu
parceiro, eles receberão uma sentença de dois anos, mas se eles permanecerem em
silêncio, eles receberão uma sentença de cinco anos. Nessa situação (e
pressupondo que não há verdadeiramente nenhuma honra entre os ladrões), a
escolha racional é denunciar o seu parceiro e ter dois anos porque
provavelmente é o que ele vai fazer com você.
Se ninguém pagasse os criminosos, eles iriam
parar de extorquir as pessoas, mas enquanto algumas pessoas continuam a pagar
(mesmo que não seja o que é honroso fazer), manter os ataques continua sendo
lucrativo.
Contra terrorismo
Se você tirar os seres humanos completamente da
equação, você poderia construir um sistema de computador seguro? Sua única
chance seria se você limitasse estritamente as transações que poderiam ser
conduzidas, mas mesmo assim, ainda seria vulnerável porque haveria falhas no
sistema que podem ser exploradas pelos seres humanos.
Consequentemente,
você não pode tirar os seres humanos do sistema. Se os seres humanos são o elo
mais fraco, eles também são a solução mais flexível. Os seres humanos sempre cometerão erros. No
entanto, os sistemas nem sempre poderão identificar ou corrigir esses erros. E
o mundo real sempre gerará exceções. Os sistemas são inerentemente rígidos e o
gerenciamento de exceções deve ser incorporado neles, mas o manipulador de
exceção mais flexível é o humano que, com treinamento e motivação adequados, é
muito bom nisso. No entanto, muitos funcionários dentro das organizações não
têm treinamento nem, francamente, a motivação para procurar e lidar com deficiências
sistêmicas na segurança da informação.
"Isso vai para essas pesquisas em que 70
por cento das pessoas nem sabem o que é ransomware. E, no entanto, 93 por cento
de todos os ataques de phishing têm ransomware neles ", diz Williams.
Parte da explicação para a falta de motivação
reside a falta de compreensão tanto dos vetores de ataque como das consequências.
Como Williams acrescenta, demitiu-se a demissão do CEO da Target para enviar
uma chamada de alerta para salas de aula em todo o mundo que a segurança da
informação importasse - como se, realmente importasse. E quando você fala sobre
o fator humano, você deve pensar sobre quem está lutando nessas batalhas.
Lute contra a boa luta De acordo com
representantes da Unidade Nacional de Crimes Cibernéticos da Agência Nacional
de Crime, falando no lançamento de um relatório conjunto com o CREST,
entusiastas de jogos para adolescentes estão sendo preparados por gangues
criminosas para escrever malware para eles. Apesar de ganhar milhões de dólares
para eles, um adolescente preso por crimes informáticos estava sendo pago
apenas uma centena de libras por mês - ele estava fazendo isso para a LULZ.
Enquanto isso, o governo e o setor privado estão desesperados por dirigir essas
mesmas crianças para uma vida de ciber-cultura socialmente útil. É uma guerra
de geek vs geek.
Vivemos em um mundo cada vez mais gerido por máquinas, que são, por sua vez,
guiadas por código de computador que é são tão complexos que nenhum ser humano
pode entender como funciona.
Então, os
humanos podem permanecer relevantes na era das máquinas? Felizmente, existem pessoas que
prosperam neste mundo, mas, para a maioria dos meros mortais, os computadores
permanecem inescrutáveis, misteriosos e até certo ponto perigosos. Para aqueles
que projetam os ciber-sistemas - incluindo os sistemas de segurança cibernética
- dos quais todos dependemos, deve-se ter cuidado para garantir que os geeks
não funcionem muito antes de todos os outros. Essa é a visão do engenheiro de
software do Google Chrome, Adrienne Porter Felt[iii].
Ela deu uma apresentação ao USENIX Enigma 2016 sobre o desafio de tornar os
recursos de segurança simples. Ela diz que os recursos de segurança devem ser
invisíveis para os não especialistas quando você não precisa e é útil quando
você precisa disso. "Isso é realmente difícil, muito difícil", disse
ela. Felt diz que a segurança utilizável deve ser vista como uma ciência, mas
não o suficiente para as pessoas tratá-la como tal. Isso envolve a pesquisa
científica sobre os problemas de usabilidade de segurança que você enfrenta e,
se você não consegue encontrar a pesquisa que precisa, execute seus próprios
estudos científicos com hipóteses testáveis e grupos de controle. "Há
algumas coisas que você não deve fazer: você não deve confiar em seu instinto",
diz ela. "Seu intuição - não somos representativos de usuários regulares.
As coisas que nos parecem compreensíveis ou convincentes não serão
generalizadas. "E ela adverte, não confie na" sabedoria comum ",
a menos que você possa apoiá-la com provas. Marco Cova Marco Cova, pesquisador
sênior de segurança da Lastline, diz que gostaria de ver mais tecnologia "segura pelo design". Ele
elogia o trabalho que o Google Chrome fez para melhorar os avisos para usuários
que estão prestes a visitar uma página perigosa ou fazer o download de malwares
em potencial. "Eu acho que o ser humano é culpado demais pela segurança
cibernética", ele diz ao SC Magazine UK. "Devemos ter sistemas onde
você não precisa ter um Ph.D. Na segurança do computador para reconhecer que um
anexo de e-mail, supostamente de seu colega, é realmente falso, vindo de outra
pessoa. "A qualidade da segurança cibernética é incrivelmente variável,
ele diz - falar sobre a" média "é quase sem sentido. Algumas
organizações foram excluídas do negócio, enquanto outras organizações são muito
melhores devido à sua cultura de segurança. "Há áreas tradicionalmente
mais seguras - lugares onde você pode reforçar muito o ambiente que eles [os
usuários] podem usar", diz ele, "enquanto outros lugares, é mais
difícil se todos possam trazer suas próprias coisas e é Uma luta pela segurança
para manter-se. "Então, a
evidência está em: os seres humanos são o elo mais fraco ... e o link mais
forte. Trate-os com respeito, especialmente ao projetar recursos de segurança.
No comments:
Post a Comment