26 de dez de 2013

Mais que e-mail governo precisa de arquitetura segura

Fonte: Convergência Digital.
O governo ainda busca respostas às recentes denúncias de espionagem e acaba de criar um grupo interministerial que deve elaborar uma estratégia de defesa cibernética. Para profissionais de segurança de informação, porém, as reações precisam avançar da política para soluções técnicas. E as anunciadas até aqui, como o próprio "e-mail seguro", estão mais no primeiro que no segundo campo.
"Quando a gente não confia em mais nada, o melhor é voltarmos aos conceitos. E nesse caso o conceito está certo. Mas mais do que um e-mail seguro, é melhor uma arquitetura segura", defende o ex-comandante de ciberguerra da Marinha, Valter Monteiro Jr.
Segundo ele, que mais recentemente foi coordenador operacional dos centros de comando e controle que o Ministério da Justiça implantou em cidades da Copa do Mundo, a abordagem pela arquitetura foi a aposta da Marinha, muito por conta do projeto do submarino nuclear.
"As comunicações só se dão dentro de uma rede segura. Não tem (porta) USB. Não sai documento. Não dá para imprimir e levar. Só dá para trabalhar dentro da rede. Em um e-mail seguro, se não tiver incluído com um sistema operacional, não é seguro. Nem o compilador é seguro", dispara.
Daí, explica ele, que a Marinha apostou nessa 'arquitetura segura'. "É o mesmo conceito do e-mail. Nessa rede segura coloca-se um sniffer (farejador) na boca da rede e olha tudo que está passando. E, claro, criptografia em tudo", explica. Na prática, concentra a vigilância em busca de inconsistências no tráfego.
Monteiro, como é conhecido, esteve no primeiro SecureGov, promovido pela ISC2, uma entidade que certifica profissionais em segurança da informação. Ele insiste que há diversos pontos vulneráveis, a começar pelas placas-mãe, pelos componentes eletrônicos dos equipamentos.

Ele duvida, no entanto de afastar os fabricantes "suspeitos". Temos é que chamar a Cisco, a Microsoft, etc, e ter acesso aos códigos, poder auditar. Não vamos criar uma indústria da noite para o dia. A NSA usa equipamentos Citrix e Cisco, mas tem uma camada em SELinux entre eles, onde controla tudo. Nem eles confiam nos fabricantes". 

Nenhum comentário: