Seis ideias tolas sobre segurança de computadores (2005)

 (ranum.com)
5 pontos por GN⁺ 2024-07-16 | 1 comentários | Compartilhar no WhatsApp
  • As seis ideias mais tolas na segurança de computadores
    • A segurança de computadores continua sendo um "tema quente"
    • Por que ainda há problemas mesmo com tanto tempo e dinheiro investidos?

Permitir por padrão

  • "Permitir por padrão" aparece de várias formas
  • É mais comumente visto em regras de firewall
  • Quando uma nova vulnerabilidade é descoberta, o administrador precisa decidir se deve bloqueá-la
  • "Permitir por padrão" leva a uma competição infinita com os hackers
  • O conceito oposto, "negar por padrão", é uma boa ideia

Listar coisas ruins

  • No início da segurança de computadores, havia apenas alguns buracos de segurança bem conhecidos
  • "Listar coisas ruins" significa enumerar e bloquear todos os elementos maliciosos
  • Os elementos maliciosos da internet passaram a ser mais numerosos que os benignos
  • "Listar coisas ruins" é ineficiente, e "listar coisas boas" é uma abordagem melhor

Invadir e corrigir

  • "Invadir e corrigir" é uma abordagem de encontrar bugs e consertá-los
  • Essa abordagem não resolve os problemas fundamentais do código
  • Descobrir vulnerabilidades de segurança e aplicar patches não é uma solução fundamental
  • Sistemas de segurança devem ser projetados para serem seguros desde a fase de concepção

Hackear é legal

  • Considerar hackear algo legal é uma ideia tola
  • Hackear é um problema social, não técnico
  • Transformar hackers em heróis é encorajar o hacking
  • Também é uma ideia tola que especialistas em segurança aprendam técnicas de hacking

Treinamento de usuários

  • O treinamento de usuários é a versão humana de "invadir e corrigir"
  • Educar usuários não é uma solução fundamental
  • Em vez de resolver o problema, uma abordagem melhor é eliminar o problema

Agir é melhor do que não agir

  • A ideia de que "agir é melhor do que não agir" é uma ideia tola
  • Antes de adotar uma nova tecnologia, é uma estratégia melhor analisá-la bem e esperar
  • É preciso lembrar que "não fazer algo tolo é mais fácil do que fazer algo inteligente"

Resumo do GN⁺

  • Este texto trata dos erros tolos cometidos com frequência na segurança de computadores
  • Ao projetar sistemas de segurança, é importante resolver os problemas fundamentais
  • A cultura de considerar o hacking algo legal pode agravar o problema do hacking
  • Em vez de treinamento de usuários, é necessária uma abordagem que resolva o problema pela raiz
  • Ao adotar novas tecnologias, é importante analisá-las bem e agir com cautela

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-16
Opiniões no Hacker News

  • "Default Deny" não é mais difícil do que "Default Permit", mas proporciona noites de sono melhores para os responsáveis por segurança de TI

    • Porém, as outras pessoas da empresa ficam muito irritadas porque nada funciona sem várias interações extras com o departamento de TI
    • Quanto mais irritadas as pessoas ficam, maior a chance de usarem formas de contorno que enfraquecem os conceitos de segurança de TI
    • Uma boa segurança de TI deveria ser como mágica: invisível para o usuário e sem atrapalhar

  • No fim dos anos 90 e no começo dos anos 2000, Marcus Ranum e Bruce Schneier argumentavam que a divulgação de vulnerabilidades era prejudicial

    • Porém, esse ponto de vista não foi comprovado
    • Hoje em dia, a maioria das conferências acadêmicas de segurança inclui pesquisas sobre ataques

  • Surpreende não haver menção a senhas

    • Regras de composição de senhas e rotação de senhas são, em essência, ideias tolas
    • Deve-se permitir que os usuários escolham senhas que consigam lembrar com facilidade

  • Afirmar que testes de segurança não são necessários é a pior visão possível sobre segurança

    • Também é equivocada a visão de que hacking não é um problema técnico, mas social

  • Uma abordagem orientada à segurança causa incômodo para os usuários

    • É importante equilibrar segurança e conveniência
    • Estudar vulnerabilidades e exploits é útil para aprender sobre segurança

  • Hacking é algo legal, mas acessar os dados e sistemas de outras pessoas não é

    • Entender e manipular profundamente os próprios sistemas é algo benéfico

  • Aprender sobre exploits é útil para estudar teoria e prática ao mesmo tempo

  • O problema é o infeliz trade-off entre usabilidade e segurança

    • Abordagens como "Default Permit" prejudicam a segurança
    • Senhas são difíceis de lembrar e inconvenientes para os usuários

  • Confiar no cliente significa que o modelo de segurança está quebrado

  • A abordagem "Penetrate and Patch" torna o trabalho de segurança sem sentido

    • Encontrar e corrigir vulnerabilidades se torna mais importante do que projetar sistemas seguros
    • É bom distinguir entre acesso ilegal e consultoria de segurança