comparando modelos de confiança para segurança

http://www.pedro.jmrezende.com.br/sd.php > confiança : modelos

Comparando modelos de confiança para segurança

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
1 de Junho de 2009

Após ministrar o módulo "Modelos de Confiança para Segurança em Informática" para a 2a. turma do curso de Especialização em Gestão de Segurança em Informação, surgiram demandas para uma análise comparativa entre os modelos ali propostos e outros modelos de confiança para contextos computacionais acessíveis na literatura. Este artigo contém uma análise preliminar, que foi agregada à versão 1.6 do artigo de pesquisa correspondente.

Abordagens tradicionais

Nas abordagens tradicionais à segurança em informática o conceito de confiança, subjacente ou explícito, é geralmente intuitivo, implícito, rudimentar face aos desafios, por vezes ideológica ou marqueteiramente calcado, induzindo a uma modelagem implicitamente bipolar da correspondente semântica de riscos ("nós" contra "eles").

Ou então, quando o conceito de confiança é sistematicamente abordado, geralmente para sistemas distribuídos (redes P2P, wireless ad-hoc), sua modelagem tem, via de regra (com Capra, Shand, Grandison e Patel por exemplo), natureza puramente semântica. Um conceito puramente semântico de confiança impede essas abordagens de poderem se refinar com análise das características topológicas e semiológicas dos canais confiáveis presumidos ou disponíveis para o erguimento de defesas nas situações modeláveis.

A abordagem que propomos é baseada na definição semiológica de confiança proposta por Ed Gerck em 1997 [18]. Ela tem como principal hipótese de trabalho o pressuposto de que qualquer mecanismo de segurança em informática requer, para ser útil, alguma comunicação prévia segura, através de um canal de confiança, para habilitar seu uso eficaz. Mas a pergunta que persiste é: Por que outra abordagem? E por que semiológica? Este artigo é uma primeira tentativa em respondê-las.

O que é, e por que, semiologia?

Semiologia, ou Semiótica (do grego semeiotiké, "a arte dos sinais"), é a ciência geral dos signos e da semiose (produção de significado, figura abaixo), que estuda todos os fenômenos culturais como se fossem sistemas sígnicos, isto é, sistemas de significação. Ocupa-se do estudo do processo de significação ou representação, na natureza e na cultura, e – por que não? – na cibercultura (para uma abordagem sistemática do tema, ver [19]).

Como observador da revolução digital, carecemos de entendimento adequado sobre certos macro fenômenos que ocorrem no plano simbólico. Carecemos, por exemplo, de entender melhor as conseqüências semiológicas do advento da Internet para estratégias, como sinalizam o crescimento concomitante de gastos com segurança em informática e de danos com incidentes reportados envolvendo o “demônio de Descartes” [4], [5], de um lado, e doutro lado o uso político que vem sendo feito disto [1], [5], [7], [8], [9].

Uma postura cética, inercial ou conservadora pode, entretanto, racionalizar ou desprezar tais sinalizações, quantitativas da crescente ineficiência nas abordagens tradicionais à segurança em informática ao longo de sua evolução. Uma tal postura tenderá a considerar esses sinais insuficientes ou irrelevantes para justificar uma nova abordagem, como esta, de natureza semiológica. Contudo, a estes sinais podem se agregar evidências empíricas mais concretas.

Evidências empíricas

Como por exemplo, uma análise pelo principal cientista da maior empresa de certificação digital do planeta, co-projetista de boa parte das plataformas tecnológicas sob fogo de batalha (HTTP, PKIX, XKMS, SAML), a respeito desta evolução. No resumo da palestra “From CyberCrime to CyberConflict: The Infrastructure of Crime and Worse to Come”, proferida em abril de 2009 no seminário “Cyber Interational Relations” promovido pela Harvard Kennedy School of Government junto ao Center for International Studies do MIT, o Dr. Phillip Hallam-Baker se expressa nos seguintes termos [12]:

“[...T]he documented and proven capabilities of the infrastructure that has developed to support Internet crime are real and deserve attention as an urgent national security issue. The Internet has revolutionized every other aspect of modern life, it must revolutionize warfare. If the idea of cyber-warfare appears fantastical, it is because we are mischaracterizing the nature of the threat.

The infrastructure that Internet criminals have developed to launder money stolen from captured bank accounts can be applied to launder the proceeds of drug trafficing or conceal the transmission of terrorist funds. The botnet DoS attacks designed for extortion may be employed to deny communication capabilities to opponents at key moments. We face a large number of challenges.

The information we have on opposition activities is highly unsatisfactory. By the time an Internet crime trend can be reliably quantified it is obsolete. And even though we have no shortage of technical countermeasures, we have only succeeded in deploying measures that provide a short term tactical benefit to the deploying party rather than strategic measures that could defeat or at the very least dramatically raise the bar for the opposition. ”

Cujo último parágrafo pode ser assim traduzido:

“A informação que temos sobre atividades oponentes é altamente insatisfatória. Quando um novo padrão de prática criminosa na Internet chega a ser confiavelmente quantificado, esta prática já está obsoleta. Embora não haja nenhuma escassez de medidas tecnológicas à disposição para enfrentá-las, só temos alcançado sucesso produtivo com medidas que proporcionam benefício tático de curto prazo a quem as instala, mas não medidas estratégicas que possam vencer essas atividades ou ao menos erguer barreiras significativas contra elas.”

Impasse com abordagens tradicionais

Informação satisfatória sobre atividades oponentes requer confiança, relativa à fonte (da informação), à identificação (da atividade) e à interpretação (da oponência). A questão que no fundo se insinua é, então, como alcançar esta confiança. Tal questão se torna crucial quando entendemos o que diz Sun Tsu sobre a natureza da guerra (é baseada no logro), natureza cabalmente manifesta na análise acima expressa.

Conceituações puramente semânticas de confiança nada têm oferecido, e sob nossa perspectiva nada têm a oferecer (devido ao excessivo reducionismo), em resposta ou saída ao impasse identificado por Hallam-Baker. Elas só oferecem mitigações, porquanto confiança, cremos, é algo que transcende a semântica (e antes, a sintaxe). Pois em semiologia, a semântica não é autônoma. Dito de outra forma, se não sabemos bem o que é (confiança), como saber se a que julgamos ter nos satisfaz?

Tomando por base comparativa a mais antiga referência científica sobre conceituação de confiança aplicada a contextos computacionais que conseguimos localizar [13], e seus mais celebrados desenvolvimentos atuais no sentido da segurança em informática [14], podemos ilustrar mais concretamente a natureza das limitações intrínsecas às abordagens tradicionais.

Nessas conceituações tradicionais, “confiança” é algo restrito ao contexto dos valores subjetivos atribuídos a espectativas de adequação. Especificamente, espectativas de adequação sintática e tempestiva de interlocuções a protocolos de comunicação digitais.

Limitações dos modelos clássicos

O celebrado modelo de Patel – Trust and Reputation model for Agent-based Virtual Organizations (TRAVOS) [55] – e suas extensões baseiam-se num sentido de confiança calculável por meio de probabilidades dos agentes engajados em interlocuções se comportarem conforme algum protocolo de comunicação predeterminado. Essas probabilidades são quantizadas (em 0 e 1) para decisões interativas sobre subseqüentes engajamentos. Tal avaliação comportamental se baseia na de terceiros, sobre prévias interações destes terceiros com o agente avaliado (reputações).

Neste modelo o problema da recursividade (como interromper as regressões), gerado pelo influxo em prévias interações e em predeterminação protocolar, é reduzido à presunção de que os agentes engajados fazem parte de alguma organização (o modelo é para estas). Tal redução pode ser compatível com a definição semiológica de Confiança, que adotamos, desde que a apresentação dos agentes engajantes se dê pelos canais de confiança disponíveis à organização modelada (como por exemplo, em "federações").

Todavia, há aplicações do modelo TRAVOS onde o “virtual” domina a forma de organização em foco, e extensões do modelo onde “organização” se reduz a apenas alguma predeterminação protocolar em rede aberta. Como em redes P2P, por exemplo.

Nessas aplicações e extensões o lastro hermenêutico das prévias interações, suporte para o cálculo com reputações, se agrega com semânticas para interlocuções que ocorrem em banda, violando o conceito semiológico de confiança. Com isso inviabiliza-se, segundo o conceito que adotamos, ou a utilidade ou a eficácia dessas abordagens.

Evidências de limites em abordagens tradicionais

Como sinal desta inviabilização, observa-se que tais conceituações tradicionais de confiança não alcançam modelar interesses motivadores que maliciosamente se adaptam, submergindo sob a superfície formada pela hermenêutica das interlocuções da vez. Nem situações em que a comunicação com agentes inconfiáveis faz-se necessária (por exemplo, no comércio eletrônico B2C).

No limiar funcional das conceituações semânticas de confiança, a necessária identificação de atividade oponente se baseia, portanto, em hermenêuticas de comportamento identitário on-line, ou seja, em interpretações semânticas para apresentação de agentes, para validação de autenticações e para habilitação a interlocuções tudo em banda.

Se as estratégias possíveis nesse limiar fossem úteis e eficazes, as listas negras de IPs, por exemplo, formariam uma barreira significativa contra os problemas do spam e congêneres (phishing, etc). Mas esta barreira é facilmente contornada, por exemplo, por ágil rotatividade (churning) em botnets, as quais estima-se alcançarem hoje cerca de 10% das plataformas no ciberespaço.

Se de confiança entendermos tudo isto mas racionalizarmos ou desprezarmos as conseqüências disto, teremos que enfrentar essas conseqüências sem estratégias eficazes, mitigando apenas. Haverá quem prefira apenas mitigar, ou convencer clientes a mais mitigações, ou não entender nada disto. Dentre os acometidos pela Síndrome de Estocolmo Digital [6], certamente. Mas há alternativa, a pesquisar.

Sobre a modelagem semiológica

Para o escopo da pesquisa que desenvolvemos com base nesta abordagem, semiologia significa dizer que o processo de comunicação e o de significação não podem ser compreendidos a contento separadamente. Significa que esses dois processos são como forma e função de um todo orgânico. Para quem interessa entender melhor as conseqüências disto, os canais de confiança presumidos por processos de segurança em informática oferecem perspectivas instigantes.

Para explorá-las estamos desenvolvendo, em nossa pesquisa, modelos de confiança para sistemas de comunicação e de significação, em que os referenciais para uma classe de sistemas se encontra na outra classe de sistemas. Esta pesquisa está sendo documentada em tempo real no artigo "Modelos de Confiança para Segurança em Informática", disponível em http://www.pedro.jmrezende.com.br/trabs/modelos_de_confianca.pdf.

Em seu trabalho seminal sobre confiança, Gerck considera a propensão de se pensar ou se tratar a Internet como se fora uma rede fechada, o verdadeiro Bug do Milênio [10]. Como exemplo desta propensão, destacamos acima o excessivo reducionismo em aplicações do modelo TRAVOS, e a ela acrescentamos, a propensão de se legislar e se jurisdoutrinar tal e qual [5].

Como reflexos dessas propensões, observamos desinteresse ou desconforto, quando não desdém ou repulsa, por pesquisas deste teor. Postura que sustem a tendência de se tomar o teatro [4] pelo processo na segurança em informática, sob a mítica fantasia coletiva da tecnologia como panacéia mágica. Sob seus efeitos, o problema da conceituação de confiança se resolve em cinco segundos: confiança é segurança, e segurança dá confiança.

Fantasias coletivas

Os efeitos desta fantasia coletiva também atingem outras áreas fulcradas em avaliação de riscos e colonizadas pela tecno-imersão autônoma. E podem atingi-las com desilusão catastrófica. Em janeiro de 2008, uma das principais agências de avaliação de riscos na economia de mercado globalizada publicou um relatório afirmando que tais avaliações se inviabilzaram “talvez para sempre” [16].

Assinado por seu economista-chefe internacional, o relatório diz: “It is extremely unlikely that in today’s markets we will ever know on a timely basis where every risk lies,” corroborando a análise evolutiva da segurança na esfera digital do principal cientista da Verisign. Trata-se de uma das cinco grandes agências cujas avaliações cor-de-rosa sobre instrumentos financeiros derivativos e suas fiadoras, como os que agrupavam hipotecas apodrecíveis (subprime), precipitaram a turbulenta crise econômica global eclodida em 2008.

Nesta turbulência, caso algum interesse superveniente consiga coligir-se para se apoderar da infraestrutura semiológica formada pela rede digital aberta primordial – a Internet –, terá em mãos um instrumento de colusão e controle social inédito, formidável e subreptício [11].

Entrementes, avolumam-se as normas, doutrinas e jurisprudências que entendem a Internet como algo carente de apropriação, que rejeitam entendê-la, pelo viés político ou ideológico do que propõem, como um bem semiológico comum à cibercultura, ou que se iludem em fúteis contorções retóricas, inebriadas pela dogmática do fundamentalismo mercadista, tentando conciliar esses entendimentos opostos como se desastrosa distopia isto não fosse.

O verdadeiro bug do milênio

Tal postura infecta o organismo social com o verdeiro bug do Milênio, com uma febre que catalisa tal coligação e empoderamento, os quais, por sua vez, se tornam tanto mais factíveis e perigosos quanto mais se aprofunda a atual crise sistêmica do capitalismo tardio.

Modelos negociais de fornecedores, contextos normativos, e maneiras substancialmente racionais de influir neles devem ser considerados nas políticas de segurança informacional, e na correspondente análise de riscos, pelos que estão sendo atropelados por interesses de maior calibre [1].

Se com teorias, métodos, estratégias e ferramentas tradicionais, ou se com outras mais adequadas ao desafio a enfrentar, esta é uma questão metodológica que transcende à nossa competência, até pela temporalidade. Nesta questão a humildade faz-se não só reverencialmente prudente, faz-se também necessária.

Porém, até por necessária e reverente prudência, convém já auscultar, mesmo que por razões empíricas, alguém que concreta e metodicamente guiou o sucesso do fundamentalismo mercadista rumo à catastrófica crise hora em curso.

É preciso "conhecer riscos"

Citamos um dos co-autores do método universalmente usado em mercados financeiros para precificar instrumentos derivativos (Black-Scholes), laureado com o prêmio Nobel de economia por esta autoria. Ele dá a seguinte resposta em entrevista a uma jornalista do New York Times [17].

Deborah Solomon: Some economists believe that mathematical models like yours lulled banks into a false sense of security, and I am wondering if you have revised your ideas as a consequence.

Myron Scholes: I haven’t changed my ideas. A bank needs models to measure risk. The problem, however, is that any one bank can measure its risk, but it also has to know what the risk taken by other banks in the system happens to be at any particular moment.

A segunda frase da resposta representa um diagnóstico que indica, para enfrentar a crise, um novo método, pelo qual um agente precisa conhecer os riscos de todo outro agente a todo tempo. Enquanto a primeira frase sinaliza o laureado método, indutor desta crise, como extensível ao indicado.

Porém, basta aos riscos se comportarem à maneira de movimentos de corpos celestes para que três agentes com interesses independentes inviabilizem esta indicação, ou tal presumida extensibilidade, de forma completa (em mecânica celeste, sabe-se que o clássico "problema dos três corpos" só permite solução aproximada). Enquanto é do incompleto que os problemas surgem com reducionismos.

Conclusão

Daí se percebe que riscos pontuais podem se compor em riscos sistêmicos, para os quais a informatização contribui, que riscos sistêmicos requerem abordagem holística, para as quais a tecno-imersão autônoma não contribui, ao contrário. E finalmente, percebe-se que tais contradições não se dissipam com reducionismo mágico. Muito antes, pelo contrário, o que justifica novas abordagens ao conceito de confiança para segurança.

Tratar a segurança digital como algo impessoal, tomar seu teatro pelo processo real, ou novas abordagens como ataques pessoais aos que investiram em abordagens tradicionais, é fechar os olhos ou dar as costas para a marcha histórica aqui exposta. É insensatez.

Todavia, mesmo que sua pretensa utilidade ou relevância seja descartada, estes questionamentos sobre o conceito de confiança nos conduzem, ao menos, à derradeira e inarredavél questão. Como identificar o controle da História?

Referências

1. Bruce Schneier: Dual-Use Technologies and the Equities Issue.
Cryto-gram Newsletter, May 2008.
http://www.schneier.com/crypto-gram-0805.html#2

2. FBI - IC3: Internet Crime Complaint Center Annual Reports
http://www.ic3.gov/media/annualreports.aspx

3. Symantec: Internet Security Threat Report Tracks Notable Rise in Cybercrime
www.symantec.com/about/news/release/article.jsp?prid=20060307_01

4. Bruce Schneier: In praise of security theater
Cryto-gram Newsletter, Feb 2007
http://www.schneier.com/crypto-gram-0702.html#1

5. Pedro A D Rezende: Cibercrime, Megalobby e Sottogoverno
Ensaio para o portal Observatório da Impensa. http://www.observatoriodaimprensa.com.br/artigos.asp?cod=500IPB006

6. Pedro A D Rezende: The Digital Stockholm Syndrome
http://www.pedro.jmrezende.com.br/trabs/Stockholm.html

7. Pedro A D Rezende: Totalitarismo Digital
http://www.pedro.jmrezende.com.br/trabs/ditadura.htm

8. James Love: The Counterfeit treaty (June 3, 2008)
http://www.huffingtonpost.com/james-love/the-counterfeit-treaty_b_104831.html

9. Aaron Shaw: ACTA and the Threat of Global Governance
http://fringethoughts.wordpress.com/2008/06/04/acta-and-the-threat-to-credible-global-governance/

10. Pedro A D Rezende: Risco, Confiança e Responsabilidade na Internet.
www.pedro.jmrezende.com.br/trabs/risco.htm

11. Catherine Austin Fitts: The Slow Burn. April, 2009
http://solari.com/blog/?p=818&ref=patrick.net

12. Phillip Hallam-Baker: From CyberCrime to CyberConflict: The Infrastructure of Crime and Worse to Come
http://www.csail.mit.edu/events/eventcalendar/calendar.php?show=event&id=2188

13. Marsh, S.: Formalising Trust as a Computational Concept.
PhD Thesis. University of Sterling, UK, 1994 apud Albuquerque R. et al, Int. Journal of Forensic Computer Science (2008) V.3 N.1 pp.75-85.

14. Sabater, J. & Sierra, C.: Reveiw on Computational Trust and Reputation Models.
Artificial Intelligence Review (2005) 24:33-60 apud Albuquerque R. et al, Int. Journal of Forensic Computer Science, V.3 N.1 (2008) pp.75-85

15. Patel, J.: A Trust and Reputation Model for Agent-Based Virtual Organizations.
Thesis of Doctor of Phylosophy. Faculty of Engineering and Applied Science. University of Southampton, January, 2007 apud Albuquerque R. et al, Int. Journal of Forensic Computer Science, V.3 N.1 (2008) pp.75-85

16. Sorkin, A.: Has Measuring Risk changed “Forever”?.
The New York Times, January 7, 2008
http://dealbook.blogs.nytimes.com/2008/01/07/risk-cannot-be-measured-anymore-moodys-says/

17. Solomon, D.: Crash Course. Questions for Myron Scholes.
The New York Times, May 14, 2009
http://www.nytimes.com/2009/05/17/magazine/17wwln-q4-t.html?_r=1

18. Ed Gerck: Toward Real-World models of Trust
http://mcwg.org/mcg-mirror/trustdef.htm

19. Umberto Eco: Tratado Geral de Semiótica.
(Tratatto di semiotica genrale) Ed. Perspectiva, São Paulo (1976).