Livro:
Secrets & Lies – Digital Security in a Networked World
Autor: Bruce Schneier
Editora: Wiley
Edição: 1º
Data: 2000
Porque ler: simplesmente um dos melhores livros sobre
segurança da informação que tive o prazer de ler. E olha que a obra é de 2000.
Tenho mania de usar caneta marca texto nos meus livros, justamente para
ressaltar as informações que julgo importantes e/ou quero discutir em sala de
aula com meus alunos (mesmo que algumas pessoas me olhem torto por essa
prática), e eu praticamente pintei o livro todo. :p São páginas com muita
informação, muito embasamento e muita segurança da informação explicada de
forma clara, sem rodeios, com pontos de vista que fazem absoluto sentido e que
nos fazem parar para pensar. Conceitos complexos explicados de maneira simples,
quem não gostaria? Nesse livro, Bruce Schneier que é criptólogo e especialista
em segurança da informação, considerado um guru da área, aborda temas como
ameaças digitais, ataques, quem são os atacantes, necessidades de segurança,
criptografia, segurança computacional, identificação e autenticação, segurança
em redes de computadores, defesas, responsabilidades dos fabricantes de
software, certificação digital, o fator humano da segurança, vulnerabilidades
em sistemas, políticas de segurança, testes de produtos e muito mais. São 400
páginas que passarão muito rápido, visto o prazer que o aprendizado te
proporcionará. Nesse livro, algumas das famosas frases de Schneier como “Segurança é um processo, não um produto”
e “Se você acredita que a tecnologia pode
resolver todos os seus problemas de segurança, então você não entende nem dos
seus problemas nem da tecnologia”, que inclusive constam no livro, são
explicadas com analogias que facilitam o entendimento. Vale mencionar que trata-se de um ótimo
escritor, que te presenteia com sacadas como: “Se os scanners de vulnerabilidades funcionassem da maneira como você
espera que eles funcionem, eles iriam estragar seus computadores e derrubar sua
rede. Ninguém usaria uma ferramenta como essa, então eles mentem. Imagine um
scanner de vulnerabilidade para a sua casa. Um dos testes é confirmar se o
vidro é resistente a um ataque com uma pedra, mas como testá-lo sem causar
dano?”. Imperdível.
Capa do distinto:
O autor ainda fala da responsabilidade dos fabricantes de
software, comenta o porque de sua preferência pelo software livre e porque a
bronca com sistemas fechados, cujos sistemas criptográficos não são amplamente
testados pela comunidade especializada. Fala ainda do pouco interesse das
empresas em resolver falhas de segurança, da importância de prevenir, detectar
e reagir aos eventos de segurança, fazendo críticas ao fato de as empresas se
preocuparem apenas com a prevenção, esquecendo que a detecção e a reação são
até mais importantes. Afinal, não é só porque você comprou um cofre, que pode
abrir mão do alarme e da polícia, certo? Pelo contrário, detectar e reagir
tornam-se ainda mais importantes. Conforme Schneier: “Não combatemos o crime, tornando nossos bancos 100% imunes a ataques.
Combatemos o crime, prendendo criminosos”.
Tá bom, só mais algumas frases:
"Em
um ataque direcionado, o atacante quer saber tudo sobre Alice. Se Alice é uma
pessoa, isso chama-se stalking. Se Alice é uma empresa, isso chama-se
espionagem industrial. Se Alice é um governo, então chama-se inteligência
nacional ou espionagem. Todos eles podem lhe levar a cadeia se você usar
determinadas técnicas; mas se usar outras, não".
"É
uma pobreza cívica, instalar tecnologias que poderão um dia facilitar um estado
policial."
Sobre a
importância que damos à nossa privacidade: "Se o Mc Donalds oferecesse
3 hambúrgueres gratuitos em troca de uma amostra do seu DNA, haveriam filas em
volta da quadra para a promoção. Por outro lado, anuncie a frase: "5% de
desconto se você nos der o nome e endereço da creche do seu filho" e você
terá uma reação completamente diferente. (...) Os consumidores médios terão
algumas exceções pessoais, mas em geral as pessoas não se importam com o
anonimato."
"De
qualquer maneira, isso nos mostra o segundo maior problema da Biometria: ela
não se dá bem com as falhas. (...) Uma vez que sua informação biométrica foi
roubada, é para a vida toda. Não tem volta." (não é como uma senha que
você toca)
"Nós
precisamos trazer os ataques a público. Precisamos entender publicamente porque
os sistemas falham. Precisamos compartilhar informações sobre falhas de
segurança: causas, vulnerabilidades, efeitos, metodologias. O segredo, só
favorece os atacantes."
Ok, ok,
chega pra não tirar o prazer da sua leitura. Mas acredite quando digo que vale
a pena. Trata-se de uma bela obra que deveria ser lida por todos os
profissionais da segurança da informação.
t+
Cristiano
"A grandeza
não consiste em receber honras, mas em merecê-las." - Aristóteles
Nenhum comentário:
Postar um comentário