Acreditem se quiser! Raoul Chisea, um especialista em segurança italiano, foi ameaçado de prisão na conferência Hack In The Box, caso participasse como palestrante no evento. O assunto da palestra? A segurança dos terminais de atendimento bancário utilizados para transações financeiras (os conhecidos ATMs). Chisea trabalha para várias organizações, incluindo a ENISA (European Network and Information Security Agency) e a UNICRI (United Nations Interregional Crime and Justice Research Institute). Ele pŕetendia dar uma palestra sob o tema "The Underground Economy" (em tradução literal, "A Economia do Submundo"), mostrando como criminosos são capazes de obter dinheiro explorando vulnerabilidades de segurança em ATMs.
O curioso de toda a história, é que Chisea não estava fazendo nada de errado. Inclusive o mesmo já havia alertado com muita antecedência os fabricantes dos ATMs sobre as vulnerabilidades de seus projetos. Só que ao invés dos fabricantes corrigirem o problema, resolveram ameaçar com prisão o especialista em segurança. E a pergunta que fica é: que mundo é esse? Fabricantes de ATMs ameaçando um especialista em segurança de cadeia? Com que poder? Isso é só mais uma mostra do quão corrupto é o nosso mundo?
Qualquer brecha em sistemas de uso público devem ser corrigidas assim que são encontradas, e não, manter o sistema com o problema, com potencial para uso indevido por quem detém o conhecimento e possui as ferramentas (e os contatos) certos para a ação. As empresas responsáveis pelos ambientes inseguros podem até alegar que a divulgação dessas informações pode levar ao crescimento das ações criminosas no mercado, tendo como alvo, os ATMs. Ou até mesmo que o custo financeiro para reparar os sistemas e corrigir as brechas, é muito alto. Em ambos os casos, isso é irreal.
Qualquer sistema de uso público deve ser reparado de imediato, ao serem detectados problemas que possam levar ao seu mau uso, com o intuito de prover ganhos ilícitos. E em um sistema bancário isso é deveras perigoso. E o problema em manter o sistema "do jeito que está", e tentar "calar a boca" de quem descobriu as brechas, é que o mesmo pode ser explorado de forma negativa tanto dentro quanto fora das instituições responsáveis pela manutenção dos ATMs.
Pensem bem: não somente criminosos de fora do sistema que poderão se aproveitar dessas falhas para enriquecer de forma ilícita. O mesmo processo poderia muito bem ser utilizado de forma "interna" para movimentação de montantes de dinheiro sem que ninguém precise "saber" o que está acontecendo.
E quanto a questão financeira, ou melhor dizendo, o custo para se reparar milhares de ATMs com problemas de segurança, o mesmo é parte integrante do "serviço" prestado pela empresa financeira (ou empresa responsável associada as instituições financeiras). Não se pode deixar brechas potencialmente perigosas em sistemas financeiros. Querer viver da ilusão, que a ignorância garante a segurança, é irreal e perigosa. Ou pior ainda! Quem garante que uma brecha como essa está lá por interesse de partes escusas? è como manter back doors dentro de programas de uso público. O responsável por sua implementação pode muito bem monitorar os usuários, e ainda roubar-lhes dados pessoais e confidenciais como senhas bancárias, ou senhas para serviços digitais em geral.
Outro agravante dessa história, é a ameaça de prisão por parte dessas mesmas instituições ao palestrante, que é especialista em segurança. Uma empresa financeira não pode nem deve ter esse poder no mundo. É perigoso ao extremo.
O irônico de toda essa história é que Chisea já havia apresentado palestra similar na NullCom 2010. Entretanto, o slide mostrando a interface do ATM havia sido removido da apresentação.
Links de Interesse:
- Security expert once more threatened with arrest for giving talk
Mensagem do Sistema