Virtus Junxit Mors Non Seperabit

Você confia totalmente na Microsoft com o GitHub?

Com a aquisição do GitHub pela Microsoft, os usuários precisam decidir se deixam seus códigos no repositório ou movem cópias de backup para o GitLab

Há muito desconforto nas interwebs, já que mais de 28 milhões de desenvolvedores serão afetados pela aquisição do GitHub pela Microsoft. Alguns podem estar lidando bem com isso, mas você pode ter certeza que nem todos estão.

O CEO da Microsoft, Satya Nadella, tentou afastar qualquer temor dizendo: “A Microsoft é, primeiro, uma empresa que desenvolve e, ao unir forças com o GitHub, fortalecemos nosso compromisso com a liberdade, abertura e inovação dos desenvolvedores. Reconhecemos a responsabilidade da comunidade que assumimos com este acordo e faremos o nosso melhor trabalho para capacitar cada desenvolvedor a construir, inovar e resolver os desafios mais prementes do mundo. ”

O GitHub manterá seu etos desenvolvedor e operará de forma independente para fornecer uma plataforma aberta para todos os desenvolvedores em todos os setores. Os desenvolvedores continuarão a poder usar as linguagens de programação, ferramentas e sistemas operacionais de sua escolha para seus projetos - e ainda poderão implementar seu código em qualquer sistema operacional, qualquer nuvem e qualquer dispositivo.

Antes mesmo de o negócio ser concluído, o GitLab aumentava dez vezes o número normal diário de códigos movidos para os seus repositórios.

Estamos vendo um aumento de 10x a quantidade diária normal de repositórios #movingtogitlab https://t.co/7AWH7BmMvM Estamos ampliando nossa frota para tentar nos manter atualizados. Siga o progresso em https://t.co/hN0ce379SC e @movingtogitlab - GitLab (@gitlab) 3 de junho de 2018

Esta semana, depois que a Microsoft anunciou oficialmente que estava comprando o GitHub por US $ 7,5 bilhões em ações da Microsoft, os repositórios importados dispararam.

Agora, com certeza, a Microsoft não é a mesma empresa de anos atrás quando abominava código aberto - quando o CEO Steve Ballmer chamou o código aberto de “câncer”. Isso foi algo apontado em 2014, quando o funcionário da Microsoft Scott Hanselman explicou que algumas pessoas que odeia a Microsoft o fazem com “raiva geracional”. Ele apontou várias maneiras pelas quais a empresa mudou ao colocar código-fonte no GitHub, abrir partes de .Net, Azure e Visual Studio .

Desde que o drama Microsoft-buys-GitHub começou, algumas pessoas lembram como a Microsoft “arruinou” o Skype quando o adquiriu por US $ 8,5 milhões em 2011. Na mesma linha de pensamento, outros apontam como a Microsoft lidou com o LinkedIn após a aquisição de US $ 26,2 em 2016.

github

A Microsoft mudou, mas você confia?

Mas o The Wall Street Journal acredita que, ao comprar o GitHub, a antiga reputação da Microsoft finalmente será abandonada. A empresa tem sua mão na RedHat , juntou - se à Linux Foundation, abriu o PowerShell e disponibilizou-a no Linux, trabalhou com a Canonical para executar o Ubuntu no Windows e é um dos principais contribuidores do GitHub .

Se você olhar para o passado recente, desde que Nadella se tornou CEO, a Microsoft parece ter mudado muito. Supondo que você odiava Microsoft em um ponto, e que você não pode, agora, a questão é:  Mas você pode confiar nela?

O especialista em segurança, Dr. Vesselin Bontchev, sugeriu que seria sensato ter cópias de backup de seu trabalho transferidas para o GitLab.

Qualquer pessoa que tenha projetos "cinzentos" no GitHub (prevenção de censura, explorações, ferramentas de ataque, malware governamental, etc.) deve fazer uma cópia deles no GitLab.

Não estou dizendo "Não use o GitHub"; Estou dizendo "Tenha uma cópia de reserva para o caso de a Microsoft decidir remover seu código".

- Vess (@VessOnSecurity) 4 de junho de 2018Como diz @ErrataRob , as ferramentas de combate à censura provavelmente serão as primeiras a sair, porque a China tem influência sobre a Microsoft.

Apesar do que a maioria pensa, eles provavelmente não tocarão nas PoCs.

Provavelmente, não tocarão em malware existente, mas os futuros serão inúteis.

- Vess (@VessOnSecurity) 5 de junho de 2018

Dos cerca de 85 milhões de repositórios do GitHub, alguns pertencem a concorrentes da Microsoft, como Amazon e Google, para citar apenas alguns grandes nomes. Concorrentes da Microsoft provavelmente vão deixar GitHub, mas você vai embora Microsoft jure que quer ser amigos com os desenvolvedores?

(*) Smith (nome fictício) é uma escritora e programadora freelancer com um interesse especial e um pouco pessoal em questões de privacidade e segurança de TI

Imprimir Email

Regulamentando o Bitcoin

Ross Anderson tem um novo artigo sobre as trocas de criptomoedas. No seu blog: Light Blue

O Bitcoin Redux explica o que está errado no mundo das criptomoedas. As trocas de bitcoin estão se desenvolvendo em um sistema bancário paralelo, que não oferece aos seus clientes um bitcoin real, mas exibe um "equilíbrio" e permite que eles negociem com os outros. No entanto, se Alice enviar um bitcoin a Bob e ambos forem clientes da mesma bolsa, ele apenas ajustará seus saldos em vez de fazer qualquer coisa no blockchain.

Este é um serviço de dinheiro eletrônico, de acordo com a lei européia, mas a lei é aplicada? Não é onde isso importa. Nós estamos olhando os detalhes.

Imprimir Email

Vamos pensar em privacidade?

É hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação

Ainda que a sua empresa não esteja baseada em território Europeu, o Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor em maio de 2018, influenciará em algum nível a forma como lidar com as questões de privacidade. De maneira mais direta, se a sua empresa tem operação naquele continente ou se processa dados de cidadãos europeus, o regulamento já se aplica. Com a globalização, não é um cenário improvável que um de seus clientes tenha origem estrangeira. Portanto, não se preparar para lidar com essa nova realidade, pode causar perdas financeiras e, o que parece ainda mais prejudicial, perda da confiança dos clientes.

Outro nível de influência é o debate que o GDPR suscita. Quais razões levaram este grupo de países a aderirem? Como os indivíduos passarão a se comportar após a vigência e resultados do regulamento? E, mais importante, como se preparar para atender às regras e estar em conformidade com o regulamento? Todas essas perguntas orientarão mudanças nas políticas de segurança e compliance das empresas.

A despeito do GDPR, o tema do cuidado com a privacidade não é novo. No entanto, diversos casos recentes de vazamentos de dados apontam para um ultimato. Não é apenas o prazo de vigor do GDPR que se aproxima: é o alerta para as empresas de que é hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação. O regulamento europeu é apenas consequência do contexto atual da cibersegurança.

E esse tema também não é inteiramente novo em terras brasileiras. O Marco Civil da Internet prevê uma série de deveres relativos a proteção de dados pessoais e comunicações privadas, além do armazenamento seguro e sigilo dos registros. Mas, o regulamento europeu já versa sobre aquilo que o Marco Civil brasileiro ainda pode avançar: transparência.

Com esta demanda no escopo, toda empresa precisará implementar novos procedimentos administrativos, políticas e controles de segurança que assistam na necessidade de gerir corretamente os dados de clientes. Porque não há privacidade e transparência sem segurança. A notificação obrigatória de falhas, que facilitará o mapeamento de responsabilidades, também oportunizará a adoção de tecnologia para previsão de vulnerabilidades, correção e mitigação de riscos. Por outro lado, a governança de dados, que é crucial para proteger clientes, também envolve segurança desde o escopo. A partir destes requerimentos, emergirá um novo conceito corporativo de qualidade e confiabilidade.

privacidade

Para endereçar os requisitos de conformidade, muitas empresas deverão passar por uma revolução em termos de quais tecnologias deverão ser adotadas. O desafio vai além da coleta e do armazenamento dos dados. Como e onde armazenar, quais controles de segurança serão implementados, qual a abrangência de cenários de ameaça e de risco são endereçados por estes controles, quais critérios orientarão a gestão dos dados. E ainda mais importante, que tecnologia a empresa pode adotar para desempenhar duas missões: gerir a aderência de todo o ecossistema às regras de conformidade da norma em questão; e a capacidade de reportar os registros armazenados.

Em todo caso, o mindset corporativo precisará respeitar a segurança da informação. Essa será a grande transformação promovida pelo regulamento. Para prover privacidade de dados e ser transparente, será finalmente mandatório encarar a tecnologia de cibersegurança como uma grande aliada capaz de proteger infraestruturas, dispositivos, usuários e dados corporativos de forma mais abrangente.

Imprimir Email

Dois Algoritmos NSA Rejeitados pelo ISO

O ISO rejeitou dois algoritmos de criptografia simétrica: SIMON e SPECK. Esses algoritmos foram projetados pela NSA e tornados públicos em 2013. Eles são otimizados para processadores pequenos e de baixo custo, como dispositivos IoT.

O risco de usar cifras projetadas pela NSA, é claro, é que elas incluem backdoors projetados pela NSA.

Pessoalmente, duvido que eles sejam backdoored. E eu sempre gosto de ver criptografia projetada pela NSA. É como examinar tecnologia alienígena.

Ref: NSA Crypto

Imprimir Email

Inteligência Artificial e Saldo de Ataque / Defesa

As tecnologias de inteligência artificial têm o potencial de aumentar a vantagem de longa data que o ataque tem sobre a defesa na Internet. Isso tem a ver com os pontos fortes e fracos relativos das pessoas e dos computadores, como todos aqueles que interagem na segurança da Internet e onde as tecnologias IA podem mudar as coisas.

Podemos dividir as tarefas de segurança da Internet em dois conjuntos: o que os seres humanos fazem bem e o que os computadores fazem bem.

Tradicionalmente, os computadores se destacam em velocidade, escala e escopo. Eles podem iniciar ataques em milissegundos e infectar milhões de computadores. Eles podem verificar o código do computador para procurar tipos específicos de vulnerabilidades e pacotes de dados para identificar tipos específicos de ataques.

Os seres humanos, ao contrário, se destacam no pensamento e no raciocínio. Eles podem olhar para os dados e distinguir um ataque real de um alarme falso, entender o ataque como está acontecendo e responder a ele. Eles podem encontrar novos tipos de vulnerabilidades nos sistemas. Os seres humanos são criativos e adaptativos, e podem entender o contexto.

Computadores - até agora, pelo menos - são ruins no que os humanos fazem bem. Eles não são criativos ou adaptativos. Eles não entendem o contexto. Eles podem se comportar irracionalmente por causa dessas coisas.

Os seres humanos são lentos e ficam entediados com tarefas repetitivas. Eles são terríveis na grande análise de dados. Eles usam atalhos cognitivos, e só podem manter alguns pontos de dados na cabeça por vez. Eles também podem se comportar irracionalmente por causa dessas coisas.

A IA permitirá aos computadores assumir as tarefas de segurança da Internet a partir dos seres humanos, e depois fazê-los mais rápido e em escala. Aqui estão possíveis capacidades de AI:

  • Descobrindo novas vulnerabilidades - e, mais importante ainda, novos tipos de vulnerabilidades nos sistemas, tanto pela ofensa de explorar quanto pela defesa para corrigir, e depois explorá-los ou corrigi-los automaticamente.
  • Reagindo e adaptando-se às ações de um adversário, novamente tanto na ofensa quanto na defesa. Isso inclui raciocínio sobre essas ações e o que elas significam no contexto do ataque e do meio ambiente.
  • Resumo de lições de incidentes individuais, generalizando-os em sistemas e redes e aplicando essas lições para aumentar a eficácia de ataques e defesa em outros lugares.
  • Identificando tendências estratégicas e táticas de grandes conjuntos de dados e usando essas tendências para adaptar táticas de ataque e defesa.

Essa é uma lista incompleta. Não acho que alguém possa prever o que as tecnologias IA serão capazes de. Mas não é razoável olhar o que os humanos fazem hoje e imaginar um futuro em que os AIs estão fazendo as mesmas coisas, apenas a velocidades, escala e escopo do computador.

Tanto o ataque como a defesa se beneficiarão com as tecnologias da IA, mas acredito que a IA tem a capacidade de inclinar as escalas mais para a defesa.

Haverá melhores técnicas de IA ofensivas e defensivas. Mas aqui está a coisa: a defesa está atualmente em uma posição pior do que ofender precisamente por causa dos componentes humanos. Os ataques atuais enfrentam as vantagens relativas dos computadores e dos humanos contra as fraquezas relativas dos computadores e dos seres humanos. Os computadores que se deslocam para as áreas tradicionalmente humanas reequilibrará essa equação.

Roy Amara disse que superestimamos os efeitos a curto prazo das novas tecnologias, mas subestimamos os efeitos a longo prazo. IA é notoriamente difícil de prever, muitos dos detalhes que eu especulei são susceptíveis de estarem errados - e a IA é susceptível de introduzir novas assimetrias que não podemos prever. Mas a IA é a tecnologia mais promissora que eu vi por ter trazido a defesa com a ofensa. Para a segurança da Internet, isso mudará tudo.

Ref: Bruce Schneier

Imprimir Email

Pesquisar

Visualizações

Ver quantos acessos teve os artigos
194015

On-Line

Temos 72 visitantes e Nenhum membro online