Matar o hacker não vai resolver o problema de segurança!




A atividade de "hackear" um computador já não é mais mesma. Vejam, por exemplo, os fatos recentes acontecidos na China, quando dois irmãos foram sentenciados à morte por usar computadores para desviar US$ $31,4 mil para contas bancárias que eles controlavam. Muitos acreditam que a sentença é radical demais, mas ela levanta algumas questões interessantes sobre a área cinza que existe entre a atividade de "hacking" e a atividade de "cracking" e qual o melhor jeito para lidar com tais incidentes. Nós ainda não vimos números, mas suspeitamos que tal retaliação contra crimes por computador vai reduzir sua incidência, pelo menos no curto prazo. Mas qual sua eficiência a longo prazo e, será que ela tem peso considerando que conexões digitiais não respeitam fronteiras geográficas? A primeira reação de uma pessoa ao ser atacada por um hacker via rede de computadores é tradicionalmente de muita frustração, seguida pelo desejo imediato de colocar um fim no problema e no atacante não importam os meios.

Nós suspeitamos que as sentenças aplicadas contra os dois irmãos da China foram ajustadas como exemplo por um governo que peca pela falta de sofisticação em segurança de computadores e que prefere lidar com o problema aplicando mão pesada. Isso funciona bem, é claro, até que a falta de sofisticação se transforme na incapacidade de conseguir detectar novos ataques.

Estamos vendo uma reprise desse mesmo sentimento com o movimento "strike-back" ("devolver na mesma moeda"). O movimento envolve o lançamento de contra-medidas tecnológicas e não tecnológicas contra eventuais atacantes cibernéticos. Por exemplo, um firewall detecta um ataque a uma porta de sua rede vindo de um endereço IP específico. Ele poderia ser configurado para devolver o ataque lançando contra o invasor um ataque aniquilador.

Alguém aí vê similaridade entre a reação visceral do strike-back e do governo chinês? Uma das grandes parábolas de um dos nossos filmes favoritos -- O Poderoso Chefão --, ensina que a vingança a quente pode consumir não só os inimigos como também atingir quem não tem nada com isso. Profissionais experientes em segurança percebem que manter o sangue-frio e prestar atenção aos passos básicos da segurança é melhor a longo prazo do que tentar dar pancada em todo scanner de porta que aparecer. Até porque é pelo trabalho dos hackers que se descobrem os "furos" de segurança e os bugs de sistemas e redes.

Tem sido frequente nós defendermos o uso do termo "hacker" (ao invés de "cracker") em nossos textos. Nada, nem o rancor da mídia, vai mudar o fato de que os hackers invadem as redes como um modo de vida, enquanto que os crackers o fazem com objetivos mais nefastos. É claro que toda a motivação do hacker, seja malícia ou curiosidade, acaba impactando os proprietários das redes que eles invadem.

Mas isso não justifica colocá-los na cadeia ou sentenciá-los à morte. A tradição de hacking é de sempre divulgar abertamente suas atividades, e isso pode ser o que diferencia um pesquisador de segurança de um ladrão comum. Sem esse empurrão do "desmonte dos códigos" -- que permite ver as coisas sob outra luz -- a segurança não progrediria. A melhor expressão para esse sentimento vem do slogam de um grupo bem-sucedido de hackers, o L0pht, que diz: "Transformando a teoria em prática desde 1992."(Stuart McClure é gerente sênior e Joel Scambray é gerente da divisão de Information Security Services da Ernst & Young. Ambos têm experiência de nove anos nas áreas de gerenciamento da segurança de informações nas áreas acadêmica, governamental e corporativa. Dúvidas ou sugestões para a coluna devem ser enviadas por e-mail, em inglês, para [email protected]).

Por Stuart McClure e Joel Scambray