2 pontos por GN⁺ 2024-05-19 | 1 comentários | Compartilhar no WhatsApp
  • A segurança cibernética na Europa está deixando de ser apenas uma questão de responder a hacking e ransomware e passando a perguntar se comunicações, energia, pontes e TI governamental conseguem resistir ao caos de uma era pré-guerra
  • As condições centrais são uma infraestrutura robusta que não colapse sozinha, dependências conhecidas e propriedade técnica para consertar diretamente quando algo der errado
  • Stuxnet, a destruição de modems da Viasat e os ataques à rede elétrica da Ucrânia e à Kyivstar mostram que ataques cibernéticos podem ir além de indisponibilidade de serviços e levar à destruição de equipamentos e paralisação da infraestrutura social
  • A rede de comunicações de emergência e a operação de pontes nos Países Baixos dependem de nuvem, rede telefônica, VPN e equipes de manutenção no exterior, e a cadeia de recuperação pode se romper em situações de apagão ou guerra
  • Enquanto cresce a dependência de Google, Microsoft, AWS e da operação externa de equipamentos de telecomunicações, o número de profissionais técnicos internos diminui, enfraquecendo também a capacidade própria de recuperação das organizações

Segurança cibernética na era pré-guerra

  • Donald Tusk disse que a Europa entrou em uma “nova era”, isto é, uma era pré-guerra, e nesse contexto a segurança cibernética precisa ser tratada não apenas como proteção de segredos ou defesa contra ransomware, mas como uma questão de sobrevivência da infraestrutura social
  • O secretário-geral da OTAN, Mark Rutte, também disse em um discurso de 12 de dezembro de 2024 que era hora de “mudar para uma mentalidade de tempo de guerra”
  • Todos se preocupam com incidentes cibernéticos catastróficos como corte de energia, queda da internet e paralisação de hospitais, mas eles ainda ocorreram de forma limitada
  • Em 2013, Brenno de Winter avaliou que só um grande desastre, como o naufrágio do Titanic, faria a regulação avançar de verdade, mas mesmo sem um evento assim a UE criou várias leis de segurança cibernética
    • Já existem algo como 6 ou 7 leis redigidas, mas apenas uma foi parcialmente ativada e as demais ainda estão em implementação
    • Essas leis se aproximam de um ambiente pós-Titanic, no qual o estado da segurança cibernética pode melhorar até certo ponto

Casos reais de ataques cibernéticos militares

  • O Stuxnet foi uma operação voltada às instalações iranianas de centrífugas de urânio e não se limitou a parar o sistema: fez com que a instalação se destruísse fisicamente
  • Pouco antes da invasão russa da Ucrânia, ocorreu o ataque aos modems da Viasat
    • Os atacantes apagaram o firmware dos modems de comunicação via satélite, deixando os equipamentos em estado de precisar ser substituídos
    • Na Alemanha, 4.000 turbinas eólicas que usavam esses modems deixaram de poder operar
    • As comunicações militares da Ucrânia também foram fortemente prejudicadas, beneficiando a Rússia
  • A Rússia já havia paralisado a rede elétrica da Ucrânia de forma semelhante antes
    • Do lado ucraniano, os sistemas eram simples e robustos, e a capacidade de resposta era boa, então a interrupção durou cerca de 6 horas
  • Esses casos são raros, mas mostram que ataques cibernéticos em contexto de guerra podem ir além de falhas de rede e causar destruição de equipamentos e paralisação da infraestrutura social

Três condições necessárias em meio ao caos

  • Em situações de guerra, grande desordem ou apagão, três atributos são importantes
    • Robustez: a infraestrutura não deve cair sozinha mesmo sem sofrer ataque
    • Dependências limitadas e conhecidas: é preciso saber se ela depende de computadores ou pessoas a 5.000 km de distância
    • Propriedade reparável: é preciso entender diretamente os equipamentos, o firmware, a fiação e a configuração, e ser capaz até de improvisar soluções temporárias
  • Ferramentas modernas de comunicação como Microsoft 365 podem falhar por um ou dois dias por ano mesmo sem ataque, então é difícil considerá-las uma infraestrutura robusta nesse sentido
  • Operadoras cujo suporte de equipamentos é feito a 5.000 km de distância terão dificuldade para obter ajuda se a conexão cair
  • Em uma emergência, talvez seja necessário usar um cabo não oficial por falta do cabo exato ou até corrigir o firmware manualmente

O recuo das redes de emergência

  • O sound-powered phone é um equipamento simples que funciona sem eletricidade e permite falar com o convés mesmo se um navio estiver pegando fogo
    • É tão simples e robusto que funciona até depois de levar marteladas
    • Pode se comunicar com até 10 estações e operar com 50 km de cabo
  • A antiga Mini-noodnet dos Países Baixos era uma rede de comunicações de emergência baseada em fios de cobre ligando 20 bunkers
    • Era totalmente independente da rede telefônica comum e projetada para sobreviver a guerras e desastres
    • Tinha uma estrutura totalmente redundante em A/B
  • Essa rede foi desativada, e a infraestrutura moderna de comunicações de emergência depende de serviços VPN da KPN e de modems DSL
    • Todas as chamadas passam por vários roteadores da KPN, então se algo quebrar ali, é grande a chance de ser um dos primeiros pontos a falhar
    • Quando tentaram usar esse sistema durante um apagão alguns anos atrás, ele não funcionou
  • O WhatsApp é muito usado como meio de comunicação de desastre de fato pelo governo neerlandês
    • O conceito em si de uma rede de emergência baseada em mensagens curtas é útil
    • Mas se os cabos com os EUA forem cortados, o WhatsApp também pode cair, então a redundância da própria rede de emergência é baixa

Pontes e capacidade de reparo em campo

  • A Rijkswaterstaat frequentemente informa que “um engenheiro foi chamado” quando uma ponte não fecha
    • Para consertar a ponte, a rede telefônica precisa funcionar, e o número do engenheiro pode estar em um arquivo Excel na nuvem
    • Em 2024, a cadeia de recuperação de uma ponte pode incluir nuvem, rede telefônica, veículo de campo e, em alguns casos, até a nuvem da van elétrica
  • A infraestrutura social moderna passou a depender de energia, cabos para os EUA, nuvem e rede telefônica funcionando ao mesmo tempo
  • A Botlek Bridge é uma ponte moderna que apresentou 250 falhas no total e, no início, quebrava cerca de 75 vezes por ano
    • Era uma rota essencial para o tráfego de caminhões, então o impacto das falhas era grande
    • Manter um engenheiro dedicado em uma van no local reduziu o tempo de indisponibilidade em cerca de metade
    • Existe até um site de acompanhamento de falhas e um serviço de alerta por SMS
  • Anos depois, descobriu-se que a causa era um cabo Ethernet defeituoso ou uma porta defeituosa no servidor que gerenciava estado e sensores
    • O fato de a causa não ter sido encontrada por mais de 3 anos revela uma falta de controle sobre a própria infraestrutura
  • A Maeslantkering, por outro lado, é um exemplo de grande infraestrutura simples e robusta
    • É uma estrutura para conter águas altas, e os motores vermelhos usados para fechá-la servem apenas para empurrar a estrutura até o fechamento
    • Mesmo que os motores não funcionem, há outras formas de fechá-la, e nem precisa fechar completamente
    • É uma estrutura passiva e não depende de sensores

Infraestrutura de telecomunicações e dependência externa

  • Na época do debate sobre 5G, os políticos trataram o tema como uma decisão sobre usar ou não novos equipamentos chineses, mas na prática o lado chinês já operava muitos equipamentos de telecomunicações
  • O fato de não aparecerem vagas de operação relacionadas a 5G nos anúncios da KPN mostra uma situação em que a operadora não opera essa infraestrutura diretamente
  • No passado, as telecomunicações eram vistas como tão importantes que justificavam 20 bunkers e uma rede independente; hoje, isso foi trocado por uma estrutura operada a partir de Pequim
  • A migração das operadoras para equipamentos da Ericsson e Nokia é positiva, mas a equipe de manutenção pode não ser o “Sven” da Suécia e sim pessoal muito distante
  • China e Índia estão alinhadas de perto com a Rússia, e não está claro se uma organização externa como a Infosys conseguiria ajudar em um cenário de ataque de hackers russos
  • A Europa tem competência em óptica avançada e equipamentos de fabricação de chips, mas não deu foco suficiente a operar diretamente sua infraestrutura crítica

As vulnerabilidades são básicas demais e numerosas demais

  • O jornalista neerlandês Joost Schellevis escaneou a internet dos Países Baixos durante um fim de semana e encontrou 10.000 pontos expostos a hackers
    • O NCSC e outros vêm trabalhando em melhorias, e hoje também já é possível fazer varreduras de vulnerabilidades
    • Houve um tempo em que um jornalista podia fazer esse tipo de escaneamento, mas o governo neerlandês não podia por razões legais
  • Conselhos como “compre um bom firewall e você estará seguro” dificilmente funcionam nesse cenário
    • Muitos grandes fornecedores de segurança entregam produtos extremamente inseguros com centenas de problemas por ano
    • Situações em que atualizações de segurança de grandes fornecedores como Oracle e Microsoft trazem centenas de vulnerabilidades todo mês se repetem continuamente
  • Muitos incidentes recentes de segurança não vieram apenas de ataques sofisticados, mas de erros muito básicos
    • Em um software de help desk, bastava acrescentar uma barra no fim da URL para acessar como novo administrador e redefinir senhas
    • O GitLab teve por cerca de 6 meses um problema em que, ao redefinir a senha, enviava o link de redefinição para um segundo endereço de e-mail enquanto verificava privilégios de administrador apenas no primeiro
    • O Ivanti continua sendo um caso em que manipulações de caminho básicas como ../ ainda funcionavam em 2024
  • O governo dos EUA proibiu o uso de Ivanti, mas o governo neerlandês adotou a posição de que tudo bem desde que haja outro firewall na frente

A nuvem não é uma resposta automática

  • A conclusão de que “migrar para a nuvem deixa tudo mais seguro” não se sustenta
  • A Microsoft disse que havia detectado a invasão e estava respondendo a ela, mas depois admitiu que ainda continuava comprometida
  • Dá para interpretar que, para ver o estado real da segurança de uma empresa, é preciso ler seus comunicados ao mercado
    • Se esconder problemas nesses documentos, o conselho pode ser punido, então eles tendem a ser relativamente mais sinceros
  • O Cyber Safety Review Board dos EUA investigou um incidente relacionado à Microsoft, e este relatório é citado como referência importante
  • Europa e Países Baixos estão migrando muita TI para grandes nuvens como Google, Microsoft e AWS
    • O governo neerlandês diz que alguns itens, como informações confidenciais e registros básicos do governo, não serão levados para a nuvem
    • Fora isso, a maior parte do restante pode virar alvo de migração
  • Quando uma organização que operava sua própria TI migra para a nuvem, o pessoal interno de operação vai embora
    • Em alguns casos, o trabalho fica tão monótono que essas pessoas saem por conta própria
    • Bons profissionais técnicos migram para as empresas de nuvem, e depois disso fica difícil entender como a operação funciona lá dentro
  • O problema central é uma situação em que já não resta ninguém, dentro de organizações importantes, que saiba de fato o que os computadores estão fazendo

O custo de decisões não técnicas

  • A tomada de decisão nos Países Baixos e na Europa pode seguir um rumo muito pouco técnico
  • Em reuniões onde se decide uma estratégia de nuvem, pode haver pessoas formadas em direito, história, artes ou francês, mas faltar quem entenda o que os computadores fazem
  • Enquanto os técnicos não participam das reuniões, a empresa pode decidir terceirizar tudo para o exterior
  • A tendência atual é saber cada vez menos sobre o que se opera e depender cada vez mais de pessoas distantes
  • Esse movimento já foi longe demais e parece mais próximo de piorar do que de parar

Kyivstar e a diferença na capacidade de recuperação em guerra

  • A Ucrânia já vinha enfrentando 2 anos de guerra, e muita coisa que podia simplesmente quebrar já havia quebrado
  • Depois disso, a Rússia lançou um ataque destrutivo contra a Kyivstar, uma das grandes operadoras de telecomunicações da Ucrânia
  • A Kyivstar e o lado ucraniano estavam preparados para o caos e conseguiram reconstruir os sistemas do zero, recolocando-os em operação em 2 dias
  • Há receio de que VodafoneZiggo ou Odido, sob o mesmo ataque e sem ajuda externa, possam ficar fora do ar por meio ano
    • O motivo é que talvez não conheçam suficientemente bem seus próprios sistemas
  • Assim como na pandemia houve dependência da China por não conseguir produzir diretamente EPIs e máscaras, é arriscado ter de pedir a Índia ou a um governo Donald Trump que resolva problemas de nuvem em uma situação de guerra

Um pequeno experimento de software e o problema da complexidade

  • Ao tentar compartilhar imagens sem usar nuvem, sites modernos de compartilhamento de imagens como o Imgur passaram a ser vistos como sistemas com cerca de 5 milhões de linhas de código e altíssima complexidade
  • A solução de compartilhamento de imagens feita diretamente pelo autor tinha 1.600 linhas de código, milhares de vezes menor que os serviços concorrentes
  • A IEEE tratou desse caso, que também saiu na revista impressa
  • Especialistas em segurança auditaram esse código de 1.600 linhas e encontraram três vulnerabilidades importantes
    • Mesmo um código pequeno pode esconder vulnerabilidades graves
    • Isso leva à conclusão de que um código de 5 milhões de linhas pode na prática permanecer inseguro de forma contínua
  • Código pequeno, poucas dependências e uma estrutura compreensível ainda são possíveis, mas isso por si só não garante segurança automaticamente

Estado atual e alerta prático

  • Os sistemas que sustentam a vida cotidiana são complexos demais e frágeis demais, e falham sozinhos mesmo sem ataque
  • Quando uma grande operadora sai do ar, agora já é preciso perguntar se foi ataque cibernético ou simples incompetência
  • A manutenção técnica está sendo deslocada para cada vez mais longe, e mesmo nas vagas de operadoras quase não aparecem profissionais que lidem diretamente com a rede sem fio
  • A capacidade técnica própria está enfraquecendo, e manter as comunicações funcionando exige ajuda do mundo inteiro
  • Se essa condição for projetada para uma situação de guerra, o resultado esperado é muito ruim
  • A causa é que decisores não técnicos optaram por caminhos mais baratos ou menos trabalhosos, e embora seja necessário mais pensamento técnico, não está claro como torná-lo realidade

1 comentários

 
GN⁺ 2024-05-19
Opiniões do Hacker News
  • Concordo totalmente com a perspectiva do autor. Por exemplo, em European Train Control Systems, muita gente quer usar GPS para confirmar a posição segura dos trens, e o setor espacial gosta disso porque ajuda a justificar o custo de colocar satélites como o Galileo em órbita.
    Mas, se você fizer um exercício de checagem antes da guerra, chega imediatamente à conclusão de que, se o GPS sofrer interferência ou jamming, todos os trens da Europa terão de se arrastar até parar. Antes da guerra na Ucrânia, quase não se ouviam esses alertas.
    Infraestruturas críticas não devem depender de algo que está no espaço ou do outro lado do planeta. Nesses domínios, a regulação precisa vir antes da lógica de mercado, e não dá para esperar pelo próximo Titanic.

    • As ferrovias também já podem terceirizar o controle de trens. A “Wabtec Cloud Positive Train Control Communication Solution”, da Wabtec, é descrita como uma “solução completa, turnkey, de escritório hospedado para sistemas Positive Train Control baseados em I-ETMS”.
      A Wabtec sofreu uma invasão, mas afirma que ela envolveu apenas informações de funcionários, não os sistemas de controle.
      https://www.wabteccorp.com/digital-intelligence/signaling-an...
      https://industrialcyber.co/ransomware/wabtec-suffers-data-br...
    • É difícil concordar completamente. Todo o sistema hospitalar da Ascension Healthcare precisou voltar aos registros em papel desde 8 de maio, ficando em situação de transferência de pacientes, e a Change Healthcare perdeu US$ 872 milhões após o ataque de fevereiro.
      Como na pandemia, há um aspecto de parecer que não é grande coisa até você ser diretamente afetado.
      https://en.wikipedia.org/wiki/Ascension_(healthcare_system)
      https://www.wired.com/story/change-healthcare-admits-it-paid...
      Além disso, um computador a 5.000 km de distância não é necessariamente algo ruim. Se você mora na Gulf Coast, exposta a furacões, vai querer que recursos computacionais de backup estejam ligados fora da região. Depois do Katrina, a faculdade de medicina da Tulane conseguiu se reorganizar rapidamente graças a um fórum que rodava em uma VM na Romênia; o resto ficou debaixo d’água.
      Telefones autoalimentados por som (sound-powered phones) foram quase inúteis quando trabalhei com controle de avarias em navios. Para coordenar uma resposta real a incêndios, são necessários rádios e o sistema de som interno do navio, e isso depende de energia elétrica.
      Mesmo quando toda San Diego ficou 4 horas sem energia em 2011, no horário de pico, a rede de telefonia celular continuou funcionando, e eu pude enviar documentos por e-mail para Tóquio de dentro do carro, sem semáforos funcionando.
      Há casos em que cabos do lado dos EUA são rompidos, mas também há muitos desastres em que os cabos continuam intactos. Degradação elegante vem de ter opções amplamente distribuídas; se você acha que redes IP são frágeis, acredito que seja melhor ter um terminal Starlink e uma licença de rádio amador.
      https://en.wikipedia.org/wiki/SpaceX_Starshield
    • Trens usam vários sensores para medir a distância percorrida, então perder um deles não vira imediatamente uma catástrofe.
    • Ferrovias obviamente devem usar GPS. Só que, como na aviação, ele precisa ser complementado por transmissores locais, e é preciso instalar muitos deles.
  • Foi um dos melhores textos que já li no HN e gostaria que mais gente o visse. Mesmo como “nerd”, muitas vezes penso se não estamos tentando resolver com uma abordagem nerd problemas que poderiam ser resolvidos de forma mais simples.
    Parece que muitas vezes escolhemos o caminho mais complexo ou mais nerd para provar a nós mesmos e aos outros que conseguimos, em vez de perguntar se deveríamos. Claro, isso não significa que essa abordagem seja sempre ruim; em alguns problemas, uma solução simples é mais adequada.

    • Na minha formação, o acidente do Therac-25 foi tratado com bastante destaque como um exemplo clássico de excesso de confiança em software.
      https://en.m.wikipedia.org/wiki/Therac-25
    • O autor fala há muito tempo sobre as desvantagens da terceirização, e os textos anteriores dele também são interessantes.
  • Concordo que pessoas não técnicas fizeram escolhas otimizadas pelo menor custo, e há dois fatores adicionais. Os agentes maliciosos em cibersegurança são descentralizados, distribuídos, inovam e compartilham rapidamente, enquanto os defensores são centralizados, proprietários e presos dentro de seus perímetros.
    Além disso, provedores de software e serviços tradicionalmente não incorporaram networking seguro aos produtos, deixando isso para os consumidores adicionarem depois. Isso é perigoso, porque a rede muitas vezes é a maior e mais vulnerável superfície de ataque.

    • Na prática, o problema maior é que criar produtos seguros é visto, salvo exceções, como uma distração que pode ser empurrada para a equipe de cibersegurança. E essa equipe muitas vezes também não tem capacidade real de engenharia para desenvolvimento de produto.
      Então a única coisa que se consegue fazer é comprar mais uma ferramenta de milhares de fornecedores dizendo “compre isto e você ficará seguro”, o que deveria soar como evidente bobagem para qualquer pessoa que já tenha construído um produto seguro.
      A maioria das ferramentas é um pouco útil ou totalmente inútil, e nunca é uma solução mágica. Para construir um produto seguro, é preciso tratar segurança como um requisito de primeira classe e incorporá-la ao projeto desde o primeiro dia. Falar é fácil; executar é difícil.
    • É preciso impedir decisões tomadas por pessoas não técnicas
  • Há cerca de 10 anos, escrevi um texto prevendo que, como a infraestrutura ocidental era vulnerável a operações cibernéticas, os EUA não conseguiriam intervir para apoiar um pequeno aliado. A lógica era que o custo do caos doméstico causado por ataques à infraestrutura faria o país hesitar em se envolver em guerras no exterior, e que essa vulnerabilidade encorajaria adversários como Russia ou China
    Até agora, eu estava errado. Alguns incidentes recentes de infraestrutura pareciam operações russas de dissuasão do tipo “se vocês não recuarem, conseguimos mostrar algo desse nível”, mas os EUA continuam profundamente envolvidos na guerra da Ukraine e também parecem dar cobertura a Israel contra o Iran. Não se vê muita preocupação com a possibilidade de que ambos os adversários tenham capacidade de interromper a rede elétrica dos EUA
    A China também adota uma postura dura em relação a Taiwan, mas parece satisfeita em administrá-la em vez de buscar uma anexação política completa, e também parece levar a sério o apoio dos EUA a Taiwan. Isso mesmo supondo que a China pudesse paralisar quase tudo nos EUA que contenha semicondutores
    Talvez, na nova ordem mundial, um país não precise necessariamente expandir seu território soberano se conseguir administrar de forma eficaz aquilo de que precisa. Tirando casos como posicionamento de mísseis, por que invadir a vaca e assumir o ônus de governá-la, se você consegue garantir o leite? Nesse cenário, o ciberespaço entra em uma dinâmica mais fluida do que as premissas geopolíticas anteriores a espaço e redes

    • O que acho que falta nessa análise são as capacidades cibernéticas ofensivas dos EUA. Suspeito que o fato de elas serem tão completamente minimizadas na conversa seja, na verdade, proporcional à sua força
      Se houvesse muito debate barulhento sobre a necessidade de investir mais em ciberofensiva, eu ficaria preocupado. Só a forma como agem como se ela não existisse já diz o bastante
  • Sou o autor. Se tiverem perguntas, é só dizer

    • Como engenheiro de software, concordo em certa medida, mas a história não está completa. Olhando para os ataques contra a Ukraine e os danos de cibersegurança, em linhas gerais a escala foi relativamente pequena
      Além disso, como a Microsoft ajudou na defesa, não foi um mau investimento. Fico curioso se houve uma avaliação quantitativa de risco para entender o dano potencial caso os russos fizessem um ataque semelhante contra a Netherlands
    • Fico feliz que ainda haja alguém defendendo virtudes antigas da programação. Com a centralização, a escalada e a complexificação movidas por capital dominando a conversa, eu estava achando que estava enlouquecendo
    • Não é exatamente uma pergunta, mas, como europeu que já trabalhou em uma “grande empresa importante para o país/EU”, este texto toca muito nas minhas frustrações. Eu não trabalhava com segurança
      Tudo na infraestrutura de TI era terceirizado para a India ou, quando havia sorte, para a Poland. Mesmo quando havia pessoas competentes nos escritórios da EU, elas não tinham permissão para usar o próprio hardware. Era preciso implorar por semanas a atendentes de tickets pouco qualificados das empresas terceirizadas e passar por reuniões intermináveis
      Funcionários da EU eram empurrados para o papel de fábrica de funcionalidades ou gestores de processo, sem operação nenhuma. A justificativa era algo como “não é competência central”
      Nunca mais vou trabalhar em uma grande empresa europeia “importante para a segurança nacional”. É algo que corrói a alma, e fica muito claro que ninguém se importa
      Toda vez que vejo notícias dizendo que dezenas de bilhões de euros serão destinados à soberania da EU, fico mal. Passei por vezes demais por equipes com 10 gerentes e 2 engenheiros, em reuniões longas demais, implorando para que a equipe da $indian_outsourcing_company me deixasse fazer meu trabalho
    • Se você fizer essa apresentação nos EUA, também poderia mencionar o fato de que os agricultores americanos parecem não conseguir cultivar sem GPS
      Não tem como ser uma boa ideia a cadeia de abastecimento alimentar depender totalmente de um sistema de satélites frágil e fácil de sofrer interferência
      https://www.404media.co/solar-storm-knocks-out-tractor-gps-s...
    • Foi uma ótima apresentação, e gostei de como ela destacou os riscos e explicou a necessidade de uma infraestrutura robusta com imagens claras. Mas queria confirmar o trecho em que diz que “4.000 turbinas eólicas” não podiam mais ser operadas
      O que encontrei tem alguns detalhes essenciais um pouco diferentes. As turbinas continuaram funcionando, e o número parece ter sido 5.800, não 4.000. O que se perdeu foi a capacidade de monitoramento e controle remoto
      https://cyberconflicts.cyberpeaceinstitute.org/law-and-polic...
      Seria bom se você pudesse explicar essa diferença. Pretendo claramente compartilhar esta transcrição com outras pessoas, então vale a pena deixar isso correto
  • Recentemente perguntei a controladores de tráfego aéreo o que aconteceria se não pudessem usar GPS, e todos reagiram com desconforto
    Seria um dia extremamente ocupado, vetorizando todas as aeronaves para pouso. Isso porque, de repente, a maioria dos aviões não conseguiria navegar com segurança e, na prática, não poderia decolar
    Acho uma loucura cortar o orçamento de auxílios à navegação baseados em terra

    • Existem outros meios de navegação. Por exemplo, há o VOR, um rádio-farol baseado em terra
      Infelizmente, com a preferência por waypoints de GPS, esses meios são cada vez menos usados e, na prática, estão em processo de desativação. Mesmo quando ainda existem, os pilotos não os usam todos os dias, então a experiência diminui
    • Por causa da interferência russa, o GPS já fica frequentemente indisponível no leste e no norte da Europe. Alguns aeródromos menores tiveram de atualizar seus sistemas para não depender apenas de GPS
    • Eu achava que o GPS fosse um recurso não essencial na aviação, de modo que qualquer avião pudesse abrir mão dele com segurança a qualquer momento e continuar voando com VOR e outros auxílios à navegação
      Este texto apresenta alguns cenários em que os pilotos dependem apenas de GPS. Usam waypoints baseados em GPS mesmo onde não há VOR, em busca de ventos favoráveis e rotas mais diretas, e partidas e chegadas RNAV dependem “apenas de GPS, não de auxílios baseados em rádio” para oferecer espaçamento mais preciso e maior capacidade. Em locais como terrenos montanhosos, o GPS é usado como substituto do ILS em algumas aproximações
      https://simpleflying.com/gps-in-aviation-pilots-guide/
    • GPS é apenas um dos três sistemas de posicionamento por satélite atualmente implantados; fico me perguntando por que a aviação não usa os outros também
  • Parece loucura terceirizar tanta coisa da manutenção da infraestrutura nacional para a China.
    Se a China invadir Taiwan, o que poderíamos fazer quando ela tiver esse tipo de alavanca sobre nós? A dependência do gás russo já foi ruim o bastante

    • Os EUA não dependem de ninguém para sua demanda energética. A China, sim; e, se alguns gasodutos explodirem como o Nord Stream, fica bastante vulnerável.
      É também por isso que os EUA mantêm uma presença tão grande no Oriente Médio
  • Fico me perguntando se existe, em segredo, uma destruição mútua assegurada na guerra cibernética.
    Parece bastante plausível supor que as grandes potências tenham, a qualquer momento, 0-days suficientes para, se usados em conjunto, formatar uma parte significativa dos computadores e celulares do mundo. Também não deve ser tão difícil fazer um worm usar IPs de forma inteligente para mirar países específicos.
    É difícil imaginar o tamanho do estrago se apenas 25% dos computadores de trabalho e domésticos fossem apagados, junto com a maioria dos celulares que não foram atualizados em seis meses e uma parcela bem grande dos servidores online

    • Se isso for verdade, fico me perguntando por que quase não ouvimos falar de hackers russos apagando dados de celulares e computadores em massa na Ucrânia.
      A resposta de que o Kremlin estaria guardando 0-days para um conflito mais grave não convence. O Kremlin vê a situação na Ucrânia como uma questão muito séria de segurança nacional russa, usou em massa mísseis que custam mais de um milhão de dólares por disparo para enfraquecer a rede elétrica ucraniana e também tentou assassinar o presidente da Ucrânia várias vezes.
      Então por que não teria feito todo o possível para causar o máximo de dano à Ucrânia por meio de ciberataques?
    • Um EMP nuclear em órbita baixa poderia ser uma dessas opções. Tecnicamente não é cibernético, mas
  • Se a COVID-19 não mudou nossa dependência de mandar tarefas menores para o exterior, acho muito improvável que uma situação de pré-guerra mude isso.
    Somos uma espécie que otimiza pelo caminho mais curto e corta caminho no processo. Só quando algo acontecer e estivermos sentados sobre as cinzas é que vamos pensar: “o que diabos fizemos de errado?”

    • Acho que o termo que você procura é Friendshoring.
      Algumas empresas e governos promovem o Friendshoring para reduzir riscos geopolíticos mantendo acesso a mercados e cadeias de suprimentos internacionais. Bonnie Glick, que atuou como vice-administradora da USAID no início da pandemia de Covid-19, foi a primeira a usar a expressão “allied shoring”, e novas políticas comerciais dos EUA, incluindo o USMCA e o IPEF, também se alinham à estrutura de Friendshoring.
      https://en.wikipedia.org/wiki/Friendshoring
  • Me incomoda o fato de eu ter levantado muitas preocupações de segurança sobre softwares de tribunais e do Judiciário e, pouco depois, ter sido basicamente demitido.
    Desde então continuo desempregado, minha renda está ficando instável e a busca por emprego não avança nada.
    Quantas pessoas com alta qualificação técnica devem estar tendo dificuldade para encontrar emprego agora? Quão tentadas elas ficam, por causa da renda, a passar para o lado black hat? Acho que não sou o único a pensar nisso

    • A situação está realmente ruim agora. Ao longo dos anos aprendi a não cutucar vespeiros à toa. Se sua função principal não é segurança, é melhor seguir o fluxo.
      Em todas as empresas em que trabalhei, vi buracos de segurança enormes. Desde que as caixinhas para o seguro estejam marcadas, ninguém se importa
    • Parei de procurar emprego. Percebi que estava me obrigando a sair da cama todos os dias para ir a um café e produzir uma nova versão do currículo, só para ser rejeitado em vagas que eu nem queria.
      Se souber de dicas de black hat, manda para mim também… brincadeira