É tempo de pensar Zero Trust.

Por Sigmar ‘Sig’ Frota* – Suécia, junho de 1958, Copa do Mundo de Futebol, vestiário da seleção brasileira🇧🇷 antes do jogo contra a Rússia (antiga União Soviética). O técnico Feola chama os jogadores e combina uma estratégia para a partida. Explicação complexa, mas bem feita, incluía movimentos táticos envolvendo seus melhores jogadores até a marcação do gol. O técnico da seleção finaliza perguntando se alguém tem dúvida quanto ao esquema montado. No círculo formado pelos jogadores, Garrincha, ainda sem sua camisa, em simplicidade ímpar, solta a pergunta que iria eternizar, em nossa memória esportiva, aquele momento: “Tá legal, seu Feola… mas o senhor… já combinou tudo isso com os russos?”🇷🇺

Pois é. Passados já 60+ anos daquela pergunta antológica do craque Garrincha, cá estamos em um mundo conectado pela internet, onde integrantes da sociedade da informação desfrutam de relação diária e intensa mediada por aplicativos de redes sociais e de troca de mensagens executados em seus computadores e smartphones.

No processo de mediação, em seu polo como usuários de um tipo de tecnologia que produz uma “baita” conveniência, os integrantes da sociedade da informação assumiram como certa a premissa de que “alguém proveu segurança e garantia de privacidade para minha comunicação – que não desejo tornar pública – com outros integrantes da sociedade da informação.”.

Se essa expectativa de segurança é tomada como certa pelos integrantes da sociedade da informação; e em sua maioria, sim, ela é tomada como certa; pego um gancho para correlacionar a essência da premissa à pergunta genial do Garrincha em 1958: [Nós, que assumimos que estamos seguros em nossa privacidade e temos confiança em nossos aplicativos de troca de mensagens e plataformas de redes sociais,]… já combinamos isso com os russos? 🤔

Meu ponto: a pergunta do Garrincha contém um ângulo para pensar sobre a segurança e confiança (não) acertadas entre as partes em um mundo digital. #BoraVerJuntos. 🔍

Em tempo: segurança e confiança digital são temas mais que atuais no Brasil; frente ao noticiário do último domingo(09/06), quando o site The Intercept Brasil publicou matéria com base em documentos/dados obtidos por hackers em aplicativos de mensagens de celulares e tornou público o conteúdo de conversas privadas mantidas entre os anos de 2015 a 2017 por autoridades brasileiras ligadas à Operação Lava Jato.

Uma discussão sobre esse tema é rara no Brasil. #ContextoAjuda. #BoraPensar: o leitor pode ter ficado mais consciente(ou surpreso) quanto à fragilidade da segurança de seus dados e começa a por em dúvida a confiança (não) acertada entre as partes no mundo digital; talvez queira explorar alternativas ou dicas de enfrentamento do dilema; e nesse post eu sugiro uma abordagem denominada Zero Trust – que poderá ser usada para modelar comportamento e hábitos digitais daqui para frente.

**Nota: apesar do conceito Zero Trust estar bem difundido nas áreas de Segurança da Informação (Cyber Security), não é esse o meu único ângulo e propósito para esse post. Para informações conceituais sobre o tema vide relatório do Forrester Research.**

Zero Trust é um conceito ao qual fui apresentado em 2015. Em março daquele ano, eu estava participando como expositor na ISC – International Security Conference, edição Brasil, em São Paulo (foto abaixo). Durante os dias do evento, eu acabei ficando amigo de um rapaz israelense, que trabalhava em uma das empresas expositoras, com sede em Israel🇮🇱, especializada em produtos no segmento de cyber warfare. (obs: por coincidência, eu e ele voltamos a nos encontrar, mês seguinte, no LAAD Defense & Security 2015, no Riocentro-RJ.)

Eu e a equipe Redecom/Akuntsu no ISC Brasil 2015

Lembro que, em um intervalo de café durante a feira, ele me falou sobre o conceito de Zero Trust – em sua versão adaptada para engenheiros e desenvolvedores de software de cyber warfare em Israel. Durante a conversa, aquele jovem israelense me relatou um aspecto interessante:  o conceito, tal qual era aplicado pela geração dele em Israel, ele teria aprendido em essência com o pai dele; que também trabalhava com tecnologia e tinha servido o Exército na mesma turma que Gil Shwed – um dos fundadores da Check Point Software Technologies – na lendária e prestigiosa Unidade 8200 do IDF (Forças de Defesa de Israel).

Sentados em torno da mesa de café, aquele brilhante jovem pegou um guardanapo e rabiscou, em Inglês, um diagrama esquemático para explicar o conceito Zero Trust no ambiente de produtos de Cyber Warfare. Foi a primeira vez que eu ouvi as expressões Softwaredefined perimeter (SDP)  e Multi-factor authentication (MFA).

No seu diagrama, que enfatizava aspectos técnicos e comportamentais do desenvolvedor, destacou 4 conselhos (em inglês, advices) que eram constantemente lembrados a ele por seu pai, ex-militar da Unidade 8200; uma vez que representavam o mindset essencial de tudo que era concebido, desenvolvido e operado para cyber warfare naquela unidade de elite da tecnologia do exército de Israel. #BoraVer, num diagrama bem melhor do que aquele rabiscado no guardanapo (abaixo):

Pode ser que muitos possam tomar os conselhos do diagrama acima como simples – ou, pelo contrário, mega-blaster-super efetivos pelos já iniciados no tema de cyber warfare. Em minha perspectiva pessoal, eu passei a tê-los em grande valia como mindset de correção quando, cada vez mais, constato que a confiança (não foi) acertada entre as partes no mundo digital.

Nos trechos seguintes desse meu post, faço alguns comentários sobre cada um desses 4 conselhos que compõem o core do conceito Zero Trust desde que ouvi, pela primeira vez em 2015, em sua aplicação no contexto militar:

  • 1 – Zero Trust em… conceito/ideia não provados: desenvolvedores e agentes israelenses que atuam em ambientes de cyber warfare são pragmáticos e valorizam a robustez das ferramentas que têm em mãos – prontas e provadas em seu uso, seja para defesa ou ataque. Em tais cenários, a falta de evidência ou dado quanto ao uso em situações extremas de um artefato é razão suficiente para seu descarte como componente da ação. Conceito/Ideia não provados têm seu espaço em laboratório; nunca devendo ser aplicados em campo, uma vez que irão comprometer a efetividade e resultado da ação.
👆Zero Trust em … Conceito/Idea não provados.
  • 2 – Zero Trust em… Identidade/Localização reveladas: um diálogo do filme Snowden, de 2016, dirigido por Oliver Stone, é útil aqui para entendermos a importância de se manter identidade e localização não reveladas em cenários de cyber warfare. No trecho (aqui), o mentor de Edward Snowden, durante seu treinamento na NSA (National Security Agency), faz duas perguntas essenciais ao seu discípulo para pensar Zero Trust em campos de batalha. Assim, quanto menos – ou nada – for conhecido sobre a identidade/localização de agentes e militares envolvidos em ações de ataque e defesa de cyber warfare, maior será sua vantagem sobre o inimigo.
👆 Zero Trust em… Identidade/Localização reveladas.
  • 3 – Zero Trust em… Dado/Tráfego não criptografados: Existem pelo menos 3 razões para o uso de criptografia em comunicações e guarda de dados no mundo digital: proteção(quanto à identidade das partes), privacidade(quanto ao que é tratado) e verificação (quanto à integridade do conteúdo armazenado/transmitido). A primeira vez que o mundo foi apresentado ao tema da criptografia automatizada como algo estratégico foi durante a Segunda Guerra Mundial, com a máquina ‘Enigma’ desenvolvida pelos nazistas na Alemanha. (pausa para pop culture: no tema, recomendo o excelente filme O Jogo da Imitação e também o video de 4m40s sobre o conceito de criptografia do canal Symply Explained).  Em Israel, o Estado regula por lei o uso de itens de criptografia desde 1974 – uma consequência direta da nova visão estratégica dos seus dirigentes sobre o tema após a guerra do Yom Kippur. O país leva a sério o uso e posse de soluções comerciais e militares de criptografia, sendo conhecido por possuir um sistema rigoroso de restrição, controle e licenciamento para itens de criptografia; tanto que, como acontece com certos tipos de armamento, substâncias químicas e eletrônica embarcada, algumas plataformas de criptografia só podem ser vendidas com autorização direta do Ministério da Defesa.

** nota: como criptografia é assunto complexo para o leitor comum, deixo aqui pelo menos 3 referências de produtos caso queira adotar essa prática em seu smartphone ou computador desktop: (a) criptografia de dados/disco para Windows, Mac OSX and Linux da Veracript ; (b) o aplicativo de troca de mensagens Signal para iOS, Android, Windows e Mac OSX , que criptografa mensagens de texto, arquivos multimídia e chamadas telefônicas e (c) o ProtonMail, um serviço de webmail gratuito desenvolvido por cientistas do CERN, é um serviço de e-mail criptografado de ponta a ponta que tem o mesmo look & feel com outros aplicativos populares de webmail como Hotmail e Gmail. **

👆 Zero Trust em… Dado/Tráfego não criptografados.
  • 4 – Zero Trust em… Chutzpah irrealista : Chutzpah (pronúncia soa algo como ‘khoots-pah‘) é uma palavra do idioma Iídiche (Yiddish), com sua origem derivada do hebraico ḥutspâ (חֻצְפָּה) e significa “atrevimento”, “insolência”, “audácia” ou “arrogância extrema”; para o bem ou para o mal. É a palavra usada para descrever quando alguém, surpreendendo tudo que se espera, ultrapassa os limites do comportamento e ação aceitos em determinada situação. No contexto judaico, no Antigo Testamento, é observada de pronto com Abraão; que teve a chutzpah de discutir e negociar com Deus sobre os planos para destruir Sodoma e Gomorra; como descrito no livro do Gênesis cap.18 versos 17-33. A cultura militar israelense é bem peculiar quando comparada com outras organizações militares e hierárquicas no mundo. Um aspecto chama a atenção: tendo sido criados em uma cultura que valoriza o mérito, numa infância moldada por desafios e convivência com o caos(em hebraico balagan), que encoraja e recompensa a ousadia e a aceitação de riscos, os oficiais subalternos são constantemente encorajados a desafiar seus superiores. Diferenciais como esse, formadores da chutzpah do ambiente militar, são muito incentivados como parte essencial do mindset dominante entre alunos de elite que integram uma divisão especializada como a Unidade 8200 do exército israelense. Entretanto, em ambientes de ação real de cyber warfare, a chutzpah nunca pode vir desassociada do contato requerido com a realidade objetiva de um cenário de guerra. Avaliação de recursos, fatos, chances e condições de êxito e de recuo são procedimentos aprendidos e induzidos aos alunos. Assim, que haja chutzpah; mas nunca irrealista quanto à objetividade requerida no campo de batalha do mundo digital.
👆 Zero Trust em… Chutzpah irrealista.

Concluindo aqui. Se como o Garrincha, em sua pergunta ao técnico Feola na Copa de 1958, o leitor desconfia que a sua segurança digital não foi combinada com os russos, o tema do Zero Trust é algo para pensar e considerar seriamente daqui pra frente. #BoraBoraBora

*É isso. 😎 😎 😎

_________________________________________________________________

* Sigmar ‘Sig’ Frota é profissional de TIC com mais de 30 anos de atuação nas áreas de Vendas, Marketing e Comunicação em ambientes corporativos. Mantém-se em constante movimento na forma de um baby boomer digital e molda seu mindset pela máxima …”os únicos dinossauros não extintos foram os que entenderam que um meteoro gigante mudou tudo… e que não havia alternativa a não ser : (a) diminuir muiiiito seu tamanho e (b) criar penas.” . #BoraVoar #BoraCorrer