terça-feira, 7 de novembro de 2023

Nuvens carregadas

Num mundo informatizado é cada vez maior a dependência que temos de recursos eserviços providos por terceiros. A gangorra, que oscila entre a autossuficiência em processamento e armazenamento e a terceirização destes insumos, está hoje bem distante do que nossa mesa, ou mesmo a empresa em que trabalhamos, consegue prover por si. E, insidiosamente, a segurança de nossos aplicativos e dados também escapa ao nosso controle direto, como no caso do armazenamento “em nuvem”.

Houve conhecidos problemas de segurança e de vazamento de dados em provedores dessas soluções. Falhas de sistema – “bugs” - são as brechas mais exploradas, mas também a vulnerabilidade humana é visada, como parece ter ocorrido no episódio com a Azure, nuvem da Microsoft. Nas palavras do conhecido especialista em segurança Bruce Schneier, “hackers amadores atacam sistemas, os profissionais miram nos humanos”. Prá não perder a deixa, reforço os cuidados com senhas na tirada de Chris Pirillo: “senhas são como roupa íntima: não devem ser mostradas a ninguém, devem ser trocadas amiúde e não podem ser compartilhadas com estranhos”.

Ainda no contexto, a mesma Microsoft acaba de divulgar uma iniciativa para melhorar a segurança do seu ecossistema: a SFI, "Secure Future Initiative". Vale a pena uma leitura no documento, que avoca a multiplicidade de novos riscos a que os sistemas estão sujeitos para definir proteções e, especialmente, buscar formas de usar inteligência artificial como ferramenta de defesa, além de esperados avanços em engenharia. Chama a atenção a terceira proposta, na seção “aplicação mais firme das normas internacionais”. Postula-se aí a necessidade de haver uma convenção internacional, à la
Convenção de Genebra, sobre princípios e normas a serem seguidos pelos governos. A partir de uma discussão conduzida multissetorialmente, pelos diversos setores da sociedade, seriam estabelecidas linhas a não serem ultrapassadas. Conclama o texto a que a comunidade “abomine esforços de alguns Estados nacionais que buscam instalar ‘malware’ ou criar brechas ou fraquezas na segurança nas redes de provedores de infraestrutura crítica”. Entre as insfraestruturas críticas, além das usuais como energia, água e sistemas médicos, o documento inclui “provedores de armazenamento em nuvem” e termina com tres recomendações:
- Estados não devem se envolver, nem permitir que seus cidadãos se envolvem em operações que comprometam a segurança, integridade ou confidencialidade de serviços “em nuvem”.
- Estados não devem tentar comprometer a segurança de serviços em nuvem para propósitos de espionagem
- As operações de segurança dos Estados não devem onerar os que não são objeto das operações.

Claro que se nota um viés de auto-proteção, mas não há como se negar a pertinência do tema. Agora que migramos nossa vida para a nuvem, que tenhamos ao menos alguma proteção quanto à nossa privacidade e segurança. Milan Kundera, em A Insustentável leveza do Ser e bem antes da Internet, cravou: “...quando uma conversa entre amigos diante de um copo de vinho é transmitida pelo rádio, uma coisa fica evidente: o mundo se transformou num campo de concentração.”

===
nuvens:
https://en.wikipedia.org/wiki/Lenticular_cloud



===
A frase de Milan Kundera:

"When a private talk over a bottle of wine is broadcast on the radio, what can it mean but that the world is turning into a concentration camp?"
MILAN KUNDERA, The Unbearable Lightness of Being
em
http://www.notable-quotes.com/k/kundera_milan.html#google_vignette

===
O texto do SFI:

<...>
Stronger application of international norms 

Finally, we believe that stronger AI defenses and engineering advances need to be combined with a third critical component – the stronger application of international norms in cyberspace. In 2017, we called for a Digital Geneva Convention, a set of principles and norms that would govern the behavior of states and non-state actors in cyberspace. We argued that we needed to enforce and augment the norms needed to protect civilians in cyberspace from a broadening array of cyberthreats. 

In the six years since that call, the tech sector and governments have taken numerous steps forward in this space, and the precise nature of what we need has evolved. But in spirit and at its heart, I believe the case for a Digital Geneva Convention is stronger than ever. 

The essence of the Geneva Convention has always been the protection of innocent civilians. What we need today for cyberspace is not a single convention or treaty but rather a stronger, broader public commitment by the community of nations to stand more resolutely against cyberattacks on civilians and the infrastructure on which we all depend. Fundamentally, we need renewed efforts that unite governments, the private sector, and civil society to advance international norms on two fronts. We will commit Microsoft’s teams around the world to help advocate for and support these efforts.
 
First, we need to stand together more broadly and publicly to endorse and reinforce the key norms that provide the red lines no government should cross. 

We should all abhor determined nation-state efforts that seek to install malware or create or exploit other cybersecurity weaknesses in the networks of critical infrastructure providers. These bear no connection to the espionage efforts that governments have pursued for centuries and instead appear designed to threaten the lives of innocent civilians in a future crisis or conflict. If the principles of the Geneva Convention are to have continued vitality in the 21st century, the international community must reinforce a clear and bright red line that places this type of conduct squarely off limits.
 
Therefore, all states should commit publicly that they will not plant software vulnerabilities in the networks of critical infrastructure providers such as energy, water, food, medical care, or other providers. They should also commit that they will not permit any persons within their territory or jurisdiction to engage in cybercriminal operations that target critical infrastructure.
 
Similarly, the past year has brought increasing nation-state efforts to target cloud services, either directly or indirectly, to gain access to sensitive data, disrupt critical systems, or spread misinformation and propaganda. Cloud services themselves have become a critical piece of support for every aspect of our societies, including reliable water, food, energy, medical care, information, and other essentials. 

For these reasons, states should recognize cloud services as critical infrastructure, with protection against attack under international law. This should lead to three related commitments: 

* States should not engage in or allow any persons within their territory or jurisdiction to engage in cyber operations that would compromise the security, integrity, or confidentiality of cloud services. 

* States should not indiscriminately compromise the security of cloud services for the purposes of espionage. 

* States should construct cyber operations to avoid imposing costs on those who are not the target of operations. 

Second, we need governments to do more together to foster greater accountability for nation states that cross these red lines. The year has not been lacking in hard proof of nation-state actions that violate these norms. What we need now is the type of strong, public, multilateral, and unified attributions from governments that will hold these states accountable and discourage them from repeating the misconduct. 

Tech companies and the private sector play a major role in cybersecurity protection, and we are committed to new steps and stronger action. But especially when it comes to nation-state activity, cybersecurity is a shared responsibility. And just as tech companies need to do more, governments will need to do more as well. If we can all come together, we can take the types of steps that will give the world what it deserves – a more secure future.
===





Um comentário:

andycds disse...

Demi, sobre a troca periódica de senhas, você tem alguma recomendação de algum estudo ou argumento demonstrando a eficácia dessa prática? Para o usuário mais calejado, que usa um gerenciador de senhas, não vejo muita utilidade, já que nesses casos costuma-se usar uma senha grande e complexa. Para o usuário comum, eventualmente o que vemos são pessoas apenas adicionando um número sequencial no fim de uma senha pré-definida, ou pior, anotando num post-it colado no monitor.