Para derrubar a Estrela da Morte, basta uma porta de exaustão térmica

Estou em isolamento e voltando a assistir Star Wars. E mesmo que eu odeie esses artigos que falam sobre “O que Sex and the City tem a nos ensinar sobre determinado assunto”, eu realmente acho que poderíamos aprender um pouco sobre o ataque à Estrela da Morte - em particular sobre ciberssegurança. Então, peço sua paciência enquanto viajamos para uma galáxia muito, muito distante...

Não subestime seu inimigo

Primeiro, precisamos examinar a Estrela da Morte, uma arma capaz de destruir planetas inteiros. Atacá-la foi uma ideia excelente (spoiler!). Mas há uma razão pela qual Luke Skywalker foi capaz de destruí-la: A princesa Leia encontrou o projeto da estação, no qual foi possível identificar uma importante falha de segurança, permitindo, essencialmente, a derrubada de toda a Estrela da Morte com apenas dois torpedos de prótons e uma pequena ajuda da Força.

 

Agora, por que o Império deixaria uma porta de exaustão completamente aberta para ataques? Bem, como um grande e poderoso Império, eles nunca imaginaram que uma pequena nave pudesse representar um perigo tão grande. Eles estavam tão preocupados com outras naves maiores, e o tiro precisaria ser tão incrivelmente preciso, que consideraram improvável que isso acontecesse. Mal sabiam que em Tatooine, Luke Skywalker costumava atirar em ratos womp.

 

A arrogância é sempre inimiga na proteção de infraestruturas críticas. Só sendo muito convencido, como Han Solo, para achar que seu sistema é perfeito. Não importa quão detalhado seja o seu projeto, os sistemas sempre têm pontos fracos. É por isso que muitas empresas agora empregam hackers “chapéu branco”: Você tem o seu próprio Luke Skywalker, desviando os torpedos lançados em seu sistema para garantir que você encontre as portas de exaustão antes dos rebeldes. Na maioria dos casos, nenhum rato womp precisa ser abatido.

O elemento humano

Tudo bem, mas em primeiro lugar, por que a porta de exaustão estava lá? Assim como ocorre em cibersegurança, havia uma fraqueza humana a ser explorada pelos rebeldes: Galen Erso, engenheiro principal da Estrela da Morte, tinha muitos motivos para projetar um sistema com vulnerabilidades, pois Darth Vader literalmente o sequestrou.

 

Em muitos incidentes de cibersegurança na Terra, é também o elemento humano que coloca todo o sistema em perigo - nesse caso, não é um engenheiro relutante, e sim Paulo, da contabilidade. Se Paulo não estiver bem informado sobre ameaças cibernéticas, ele abrirá um link malicioso em um e-mail, e abrirá uma porta para as ameaças.

 

O phishing, como é chamado aqui na Terra, responde por 90% de todos os ataques cibernéticos. Isso representa 90% dos seus ataques, dependendo de como Paulo lida com seus e-mails. Conhecer as pessoas que trabalham com você e como elas provavelmente responderão, é essencial para manter em funcionamento a infraestrutura de missão crítica. Não deixe um spyware arruinar sua paz de espírito intergaláctica.

Não seja como Darth Vader

Infelizmente, temos uma porta de exaustão pronta para o ataque - mas a escória rebelde não sabe que existe. Tudo está bem desde que o bom e velho conde Dookan seja o único homem no universo de George Lucas que possua uma versão daquilo que chamamos aqui de Pendrive. Os planos então viajam de Dookan para Darth Sidious, para Palpatine (de acordo com a Wookiepedia) e, sinceramente, estou surpreso que as coisas não tenham dado nesse ponto. A quantidade de vezes que os planos completos poderiam ter sido interceptados ... Vocês nunca ouviram falar em troca segura de arquivos !?

 

Mas, tudo bem. A Estrela da Morte está em construção, finalmente, depois de tantos anos brincando de batata quente com os dados alheios. Sei que Darth Vader deve ter ficado muito orgulhoso, e eu até entendo. Mas ele realmente estraga tudo por si mesmo, enquanto se gaba de seus impressionantes planos para alguns Líderes Rebeldes que ele estava planejando executar. Você não odeia quando isso acontece nos filmes? O bandido sempre tem que revelar seus planos antes de se livrar dos mocinhos. Os mocinhos escapam e bum! Os rebeldes agora têm nas mãos informações privilegiadas.

 

Da mesma forma, nos negócios, você provavelmente já ouviu expressões como "não conte a ninguém, mas [...] " ou "eu não deveria estar lhe dizendo isso". É um sinal claro de que alguém está "dando uma de Vader". É extremamente simples, mas para algumas pessoas isso é incrivelmente difícil de entender: não compartilhe informações confidenciais com terceiros! Você não sabe que isso sempre dá errado nos filmes? Isso acontece na vida real também!

O Império fez uma coisa certa

A decisão mais inteligente que Palpatine toma é dividir os planos e enviá-los para diferentes locais da galáxia. Vamos assumir aqui que ele foi dividido em tantas partes que não foi possível fazer engenharia reversa dos planos sem todas as partes. Poderíamos chamar isso de uma versão analógica da criptografia: sem todas as partes (chaves), você simplesmente não consegue decifrar os projetos.

 

A má notícia: depois de várias missões bem-sucedidas, a aliança rebelde (rebeldes Toprawan), foi capaz de entregar todas as partes do plano para a princesa Leia. A partir daí, você provavelmente conhece a história (caso contrário, acho que este artigo será bastante confuso para você): Os planos vão para R2-D2, R2-D2 os leva para Tattooine, Luke o encontra, então eles encontram Obi-Wan, e depois de “você é minha única esperança” - tudo acontece e, essencialmente, Luke salva o dia, transformando a Estrela da Morte em fogos de artifício realmente muito caros.

Então, o que aprendemos?

Admito que menti um pouco no título desse texto. O que acabou derrubando a Estrela da Morte não foi uma porta de exaustão térmica, foram as pessoas que construíram a Estrela da Morte que causaram seu desaparecimento. Na verdade, quando você olha para trás, a ciberssegurança era péssima - se não fosse a porta de exaustão, esses espertos rebeldes provavelmente teriam encontrado alguma outra forma de arruinar a festa de Vader.

 

Mas, além dos defeitos no sistema, eles também ignoraram completamente a importância da interação humana para manter a segurança. É preciso apenas um clique de Paulo, a arrogância de Vader, e um engenheiro irritado para abrir buracos enormes em sua rede de segurança. Então, pessoal, não sejam como o Império. Corrija as falhas de suas portas de exaustão, e eduque sua equipe.

Quer saber mais sobre como podemos ajudar a proteger sua usina, fábrica ou edifício? Confira em "Securing Digitalization" (menos Star Wars, mais dicas concretas).

Escrito por Hanna Ella Evald Sandvik

Maio de 2020

Assine a nossa newsletter

Mantenha-se atualizado o tempo todo: Tudo o que você precisa saber sobre eletrificação, automação e digitalização.