Cibersegurança nos contos de fadas de Hans Christian Andersen

Nosso colega dinamarquês gastou muita tinta falando sobre tecnologias de segurança em seus trabalhos.

Os contadores de histórias têm tentado incutir uma cultura de cibersegurança em seus leitores desde a Idade Média. O princípio básico é simples: use os “casos” nos contos populares para criar relatórios reais. Os relatórios variam em detalhes, é claro, mas uma leitura cuidadosa revela uma diferença fundamental na abordagem de apresentação de cada autor.

Os irmãos Grimm e Charles Perrault podem ter construído seus contos em torno de incidentes cibernéticos, mas Hans Christian Andersen deu atenção especial às tecnologias de proteção. Parece que os Grimm e Perrault foram financiados por empresas especializadas em investigação de incidentes, enquanto Andersen trabalhava para um fornecedor de soluções de segurança. Vamos considerar alguns exemplos de sua produção.

Os Cisnes Selvagens

A introdução a este conto de fadas é bastante padrão: um rei recentemente viúvo casa-se com uma rainha perversa que acaba por ser uma bruxa — um eufemismo comum em contos de fadas para uma ameaça interna. Por desprezar os jovens príncipes, ela os criptografa (os torna pássaros). Curiosamente, Andersen revela que o algoritmo de criptografia é falho — a madrasta malvada tenta criptografá-los no formato .passaros_grandes_sem_voz, mas acabam como .cisnes.

Mais adiante, o conto descreve as provações da princesa e algumas tentativas de entrar em contato com consultores de criptografia terceirizados, mas uma grande parte da história é sobre como a princesa escreve manualmente 11 descriptografadores — um para cada um de seus irmãos.

O conto relata como ela teceu o código descriptografador a partir de urtigas que colheu no cemitério de uma igreja. A menção do cemitério parece sugerir a linguagem de programação C++ (os dois sinais de mais representam cruzes), que, não por coincidência, foi desenvolvida pelo conterrâneo de Andersen, Bjarne Stroustrup. Ou seja, a princesa escreveu os descriptografadores em C++.

Mas Andersen permanece imparcial; vemos isso com o último descriptografador, que contém um erro, deixando alguns dos arquivos do último irmão criptografados.

A Princesa e a Ervilha

O conto de fadas “A Princesa e a Ervilha” parece um pouco com um relatório sobre a implementação de um mecanismo medieval de análise comportamental baseado em sandbox. Talvez Andersen o tenha escrito para algum periódico especializado ou como um artigo sobre uma história de sucesso.

Resumindo, a história fala de um príncipe que precisa provar que a mulher com quem deseja se casar é uma princesa de verdade. Para tanto, sua mãe prepara um espaço isolado e controlado (ou seja, algo como uma sandbox), simulando o quarto da princesa. Ela esconde um gatilho na cama para provocar o comportamento normal da princesa, ofuscando o gatilho com 20 colchões grossos e de penas. De acordo com a hipótese da mãe, uma princesa real responderia ao gatilho mesmo em tais condições, enquanto uma princesa falsa não se daria conta.

Em seguida, o sujeito da pesquisa, colocado no quarto, respondeu apropriadamente ao gatilho e, assim, a mãe do príncipe deu o veredicto: Princesa.

Hoje, usamos tecnologias de detecção comportamental para detectar comportamento malicioso, em vez de comportamento de princesa. O princípio básico permanece o mesmo, no entanto. Por exemplo, o Kaspersky Research Sandbox analisa a operação normal de um computador em uma rede corporativa e o emula em um espaço isolado para monitorar o comportamento de ameaças potenciais.

O Isqueiro

Em “O Isqueiro”, Andersen escreve sobre um hacker. Simplesmente chamado de soldado, nosso hacker usa uma espécie de comunicador chamado Tinderbox para contatar um grupo criminoso de cães monstruosos. Os cães fornecem-lhe moedas e um canal de comunicação com a princesa, contornando as restrições do governo. Além disso, eles ocultam suas atividades criminosas no mundo real, eliminando fisicamente as pessoas indesejadas. Em outras palavras, é uma ferramenta dark-web, e o nome Tinderbox é claramente uma referência ao Tor.

“O Isqueiro” é atípico em alguns aspectos, principalmente na escolha do protagonista. Os heróis dos contos de fadas tendem a ser personagens positivos ou, pelo menos, evocam sentimentos de empatia. Aqui, o personagem central, longe de ser um herói, é imoral até a medula.

No decorrer de seu conto extremamente curto, o soldado trapaceia, rouba e mata uma velha que lhe disse onde conseguir dinheiro, sequestra repetidamente uma princesa, acaba com os pais dela, bem como com os juízes e os conselheiros reais e, finalmente, toma o poder. Andersen claramente queria retratar o homem como um criminoso.

Voltando ao prisma da segurança da informação, não estamos interessados no isqueiro em si, mas nas medidas que os defensores do palácio usaram para apontar onde e como o soldado faz contato com a princesa. A rainha (observe que, como em “A Princesa e a Ervilha”, é a mulher da família a responsável pela segurança da informação no palácio — é assim que Andersen mostra a importância do papel do CISO na época medieval) faz várias tentativas de dar um jeito no hacker.

Primeiro, ela instrui o analista de ameaças cibernéticas interno do palácio — uma dama de companhia — para rastrear o endereço do intruso manualmente. A dama de companhia identifica corretamente a sub-rede que o soldado está usando, mas o sistema complexo de ofuscação de endereço a impede de determinar a máquina com precisão. Em outras palavras, para afastá-la do cheiro, um dos cães marca os portões do entorno com a mesma cruz de giz que o portal do soldado.

A segunda tentativa é mais sofisticada e bem-sucedida. A rainha incorpora um implante no aplicativo cliente da princesa — um saco de sêmolas de trigo sarraceno. Durante a próxima sessão de comunicação, o implante de trigo sarraceno marca os nós intermediários através dos quais o cão cibernético redireciona o sinal para a “janela do soldado” — isto é, diretamente para seu computador baseado em Windows. Como resultado, o soldado é localizado, preso e condenado à morte.

Ao contrário de “A Princesa e a Ervilha”, no entanto, este é um conto preventivo, não uma história de sucesso. Um transeunte é subornado para entregar o comunicador ao condenado, que pede a ajuda de todo o grupo criminoso canino; em última análise, os esforços da rainha foram em vão.

As Roupas Novas do Imperador

Completando nossa seleção de contos de Andersen sobre tecnologias de segurança da informação, está outro famoso, “As roupas novas do imperador“. A história original é claramente um artigo crítico satírico sobre cibercharlatões — neste caso, fornecedores que elogiam sua própria blockchain de próxima geração ou cibersegurança baseada em IA.

Em “As roupas novas do imperador”, o rei aloca dinheiro para desenvolver um sistema de cibersegurança completo, mas os empreiteiros apenas desenvolvem algumas apresentações com tema de blockchain e embolsam o dinheiro. Os conselheiros do rei, nada sabendo sobre a tecnologia e com medo de parecer estúpidos, confirmam suas grandes perspectivas. Mais tarde, um jovem pentester (testador de invasões), mas aparentemente experiente, percebe que o sistema de proteção real não está apenas cheio de buracos, mas é totalmente inexistente.

O setor de cibersegurança evoluiu bastante desde a época de Andersen. As organizações modernas que escolhem as soluções de segurança  deveriam ser guiadas menos por slogans de propaganda e mais pelos resultados de testes independentes.

Dicas