Informações Gerais
Coordenação de Engenharia de Operações
Coordenação Técnico-Científica
 
Informações
Histórico . Como se Associar . Estrutura . Logotipo   
Boletins
 
 


Entrevista com o coordenador Científico da Rede Rio Luís Felipe de Moraes

O coordenador Científico da Rede Rio de Computadores, professor Luís Felipe de Moraes, concedeu, recentemente, entrevista ao Portal Módulo e-security, da Módulo Security Solutions, consultoria que atua na área de segurança da informação, na América Latina, e que já realizou mais de 1.200 projetos, entre os quais a participação nas eleições eletrônicas do Brasil e a entrega do Imposto de Renda via Internet.  

Luis Felipe é engenheiro eletricista/telecomunicações - PUC-Rio (1973), mestre em Ciências em Engenharia Elétrica/Telecomunicações - PUC-Rio (1976) e Ph.D. pela UCLA (University of California at Los Angeles) em Engenharia Elétrica, com especialidade em redes de telecomunicações e comunicações de dados. É coordenador do Laboratório de Redes de Alta Velocidade (RAVEL), ligado ao programa de Engenharia de Sistemas e Computação da Coordenação dos Programas de Pós-graduação em Engenharia (COPPE) da Universidade Federal do Rio de Janeiro (UFRJ).

Veja a seguir uma edição com os principais pontos da entrevista, cuja versão original, assinada pelo jornalista Luis Fernando Rocha, pode ser consultada no portal www.modulo.com.br .


União entre juventude e experiência

"Tenho alunos aqui que começaram comigo no quarto ou quinto período e já estão fazendo mestrado. Isso é muito bom, quanto mais novo, normalmente, é mais fácil de aprender certas coisas. É que nem a história do vídeo game. Quanto mais velho, mais difícil de aprender a jogar. Agora, se você der para uma criança de cinco anos ela aprende. Por que? Porque é a cultura atual. É aquela história do diamante que você precisa lapidar (e é a história do script kiddie). O cara sabe um monte de coisas, mas é uma força dispersa, uma energia dispersa. O que você tem que fazer é pegar essas pessoas e mostrar o lado bom de tudo isso. Saber orientar, pegar essa energia - que é muita! - e concentrar ela num contexto positivo. Assim, eles responderão de boa maneira", afirma.

 
Opção por trabalhar com segurança  da informação

“Meu interesse pela área é antigo. Não especificamente na área de segurança da informação como ela é conhecida hoje, mas trabalhei com criptografia muitos anos atrás, na época que fiz meu doutorado (1981).“

“Nessa época, trabalhei muito com teoria da informação e a base da criptografia é a teoria da informação. De alguma forma, estava muito ativo naquela época, por exemplo, o algoritmo RSA, que é super conhecido hoje. O artigo do RSA é de 1978 - eu estava fazendo o doutorado na época em que o pessoal trabalhava com o algoritmo. A área de criptografia estava muito efervescente, mas era muito mais secreta do que hoje, que é mais difundida. Hoje qualquer pessoa pode ter criptografia em seu computador.”


Quando apareceram os problemas mais atuais na área de segurança da informação, diria que esse meu interesse se tornou mais acentuado - de resgatar, inclusive, uma experiência que tive há alguns anos na área. Ele se tornou maior em 2000, quando percebi que as pessoas, de forma geral, estavam muito despreocupadas em relação à segurança.”

“Por exemplo, em fevereiro de 2000 aconteceram os ataques DDoS contra grandes sites como o eBay.com, Amazon.com etc. E já vinha percebendo que os problemas de vírus aumentavam - no laboratório, por exemplo, sempre tive essa preocupação. Então, passei a expandir meus limites além da universidade em 2000, data que inauguramos o portal de segurança Lockabit, criado em conjunto com profissionais do programa de Sistemas de Computação da UFRJ.”


 A História do RAVEL

“O Ravel (Laboratório de Redes de Alta Velocidade), da Coppe/UFRJ está ligado ao Programa de Engenharia de Sistemas e Computação (PESC/Coppe). Foi inaugurado em 1988 como resultado de um convênio assinado com a 3Com. Os objetivos do Ravel estão em consonância com os da Coppe: desenvolver atividades ligadas à pesquisa, ensino e extensão.”
 
“As atividades do Ravel envolvem ainda projetos, modelagens e avaliação de desempenho de redes, o desenvolvimento e o estudo de diversas aplicações (multimídia, voz sobre IP, gerenciamento, entre outras).”
 
“Mais recentemente foram criados no Ravel núcleos específicos envolvendo segurança de informações e de redes e sistemas de redes sem fio. Em cada um desses grupos de trabalho são tratados aspectos diversos que envolvem novas tecnologias e soluções para problemas existentes.

”“Por exemplo, na área de segurança temos atuado em criptologia (algoritmos de criptografia e criptoanálise), gerenciamento integrado de sistemas de segurança (IDS e Firewall), IPSec/VPNs, PKI, técnicas de segurança para redes sem fio e outros temas.”

Perfil essencial para um profissional da área de segurança da informação

“Depende. A área de segurança de informação é muito abrangente. Ela pode incluir desde segurança de acesso físico - das pessoas a certos lugares que devem ser protegidos por abrigar sistemas de acesso restrito -, até a segurança dos bits que transitam entre máquinas ligadas à Internet. Nesse contexto amplo, eu diria que o profissional deve ter uma formação voltada para a área de ciência da computação (informática/engenharia de computação/tecnologia da informação), com certa ênfase em linguagens de programação, sistemas operacionais e redes. Isso seria o mínimo, o essencial.”
 
“Além disso, seria importante ampliar conhecimentos, incluindo aspectos básicos (as principais idéias) sobre criptografia, assinaturas digitais, PKI e outros mais específicos da área de segurança propriamente dito. Daí em diante a experiência é o que passa a valer, pois a cada dia que passa existem novas técnicas (de ataque/contra-ataque, vírus/antivírus etc) sendo criadas. Além dos ambientes que também se modificam com o correr do tempo, gerando novos problemas.

”“Um bom exemplo disso é observado em relação as redes sem fio, que não eram tão populares até pouco tempo atrás. Com a popularização dessa tecnologia, os problemas que já existiam nas redes cabeadas passaram a demandar um cuidado mais especial, em função do novo ambiente. Um profissional envolvido nessa área deve estar sempre preparado para acompanhar estas mudanças e evoluções.”


Participação das universidades no lançamento de novas tecnologias

“Acho que sim. Aí vem aquela história da tecnologia e do padrão. O WEP é o padrão de segurança do protocolo 802.11b, que é o mais usado para integração de redes sem fio hoje. Esse é um protocolo IEEE, não é um protocolo ISO.”
 
“O protocolo ISO, em geral, é mais bem elaborado por entrar vários aspectos envolvendo organismos internacionais. O que observamos na prática é que os fabricantes de hardware e de software querem ter padrões. Por que? Porque a partir do momento que eles têm o padrão, eles têm a garantia que podem fabricar um produto e uma linha de produção montada em cima disso. Eles queimam um chip, ele é padrão, esse chip fala com outros e vão conseguir vender, porque o fabricante quer vender. “

“E aí nessa pressa de gerar um padrão, acaba-se gerando um padrão mais fraco e os processos sendo atropelados. A universidade nesse contexto teria pouco a contribuir, porque procuramos ir a fundo nos problemas, demora um pouco mais. E os fabricantes não podem esperar, pois eles têm os "borders" deles, fazem reuniões periódicas para aprovar esses padrões.”

“O caso do WEP é um exemplo clássico desse cenário. Ele não é ruim pelo protocolo que utiliza, mas por causa da implementação do protocolo utilizado. O WEP usa o RC4, que é um protocolo de criptografia criado por Rivest - um dos caras do RSA, expoente na área e professor do MIT.”

“Não há qualquer problema no RC4, que é utilizado quando você acessa a web para pagar uma conta no banco on-line, para verificar seu saldo de sua conta ou para fazer compras no site da Amazon. Ele funciona muito bem, é muito robusto. No entanto, ele está sendo mal implementado no WEP.”

“Agora, a universidade também não participa desse processo porque não quer. O padrão é aberto, ele não é proprietário, de uma empresa. Ele está vinculado ao IEEE (Institute of Electrical and Electronic Engineers), sou membro desse grupo, mas mesmo quem não é pode participar das listas de discussão e apresentar sugestões.”

“Por outro lado, se a universidade mandasse uma proposta geraria uma maior discussão e mais tempo para geração do padrão e os caras que querem um padrão para montagem da linha de produção e ganhar dinheiro, não podem esperar tanto. Há nesse processo um jogo que não dá para definir. Mas acho que a universidade poderia participar do processo e contribuir definitivamente.”

Criptografia e tecnologia de segurança (nota da redação: neste momento é citado o exemplo recente do uso da esteganografia em um jornal de circulação para presos do sistema penitenciário de Minas Gerais).

“Diria que, na verdade, isso existe desde os primórdios dos tempos - que começou com a cifra de César até a criptografia quântica nos tempos atuais - porque esse é o caminho mais natural. Quero dizer, isso ocorre na cabeça das pessoas naturalmente.”

“Os presos estão usando isso, porque é natural. É aquele negócio que aprendemos desde criança. Quando você quer escrever uma mensagem para um cara e não quer que o outro entenda, o que vem primeiro na sua cabeça, sem saber que está utilizando a criptografia? Então, diria que esse é um caminho natural e ele é um tanto mais sofisticado na medida que vai avançando em nível matemático, em nível teórico etc. Mas ele começa como raciocínio natural.

 

”A tecnologia avança, mas as ameaças também. Como explicar essa afirmação?

“Porque a tecnologia funciona para os dois, não é mesmo? Na verdade, as contramedidas surgem muito a partir das medidas. As pessoas nem sempre são pró-ativas, elas esperam acontecer e depois que acontece tomam alguma medida. Esse é um aspecto.”


“Agora, elas passam a ser pró-ativas a partir de políticas de segurança que são estabelecidas. No entanto, políticas de segurança nem sempre podem detectar falhas futuras. Buracos são encontrados onde não existiam e, através da própria tecnologia, são criadas as contramedidas.”

“O grande problema da segurança está nas pessoas. Você pode ter a tecnologia mais avançada do mundo, que ela não vai dar conta. Inclusive, o Bruce Schneier, profissional muito conhecido no meio, abre seu livro "Secret and Lies", lançado em 2000, falando sobre isso.”

“Em parte, ele escreveu esse livro para reparar um equívoco que tinha cometido. Qual era esse equívoco? Quando ele escreveu o livro "Applied Cryptography", ele dizia que a criptografia resolvia qualquer problema. No preâmbulo do "Secret and Lies", ele coloca isso: "Peço desculpas aos leitores por um equívoco que cometi: criptografia não resolve tudo".”

“A matemática não resolve tudo, como a tecnologia não resolve tudo. Por que? Porque a matemática não está no vácuo, ela tem que estar em algum lugar. E nesse lugar, onde estão localizadas a matemática, a criptografia e a tecnologia, está cercado de pessoas.”