http://www.cic.unb.br/~rezende/sd.php > confiança : modelos

Comparando modelos de confiança para segurança

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
1 de Junho de 2009


Após ministrar o módulo "Modelos de Confiança para Segurança em Informática" para a 2a. turma do curso de Especialização em Gestão de Segurança em Informação, surgiram demandas para uma análise comparativa entre os modelos ali propostos e outros modelos de confiança para contextos computacionais acessíveis na literatura. Este artigo contém uma análise preliminar, que foi agregada à versão 1.6 do artigo de pesquisa correspondente.



Abordagens tradicionais

Nas abordagens tradicionais à segurança em informática o conceito de confiança, subjacente ou explícito, é ge­ralmente intuitivo, im­plícito, rudi­mentar face aos desafios, por ve­zes ideológi­ca ou marqueteiramente cal­cado, induzindo a uma modelagem implicita­mente bipolar da cor­respondente se­mântica de riscos ("nós" contra "eles").

Ou então, quando o conceito de con­fiança é siste­maticamente aborda­do, geralmen­te para sis­temas distribuídos (re­des P2P, wireless ad-hoc), sua modela­gem tem, via de re­gra (com Capra, Shand, Gran­dison e Patel por exemplo), natureza puramente semânti­ca. Um conceito puramente semântico de confiança im­pede essas abordagens de poderem se refinar com análise das características topoló­gicas e semiológicas dos canais confiáveis presumidos ou disponí­veis para o erguimento de defesas nas situações modelá­veis.
 
A abordagem que propomos é baseada na definição semiológica de confiança proposta por Ed Gerck em 1997 [18]. Ela tem como principal hipótese de trabalho o pressuposto de que qualquer mecanismo de segurança em informática requer, para ser útil, alguma comunicação prévia segura, através de um canal de confiança, para habilitar seu uso eficaz. Mas a pergunta que persiste é: Por que outra abordagem? E por que semiológica? Este artigo é uma primeira tentativa em respondê-las.

O que é, e por que, semiologia?

Semiologia, ou Semiótica (do grego semeiotiké, "a arte dos sinais"), é a ciência geral dos signos e da semiose (produção de significado, figura abaixo), que estuda todos os fenômenos culturais como se fossem sistemas sígnicos, isto é, sistemas de significação. Ocupa-se do estudo do proces­so de significação ou re­presentação, na natureza e na cultura, e – por que não? – na cibercultura (para uma abordagem sistemática do tema, ver [19]).



Como observador da revolução digital, carecemos de entendimento adequado sobre certos macro fenômenos que ocorrem no plano simbólico. Carecemos, por exem­plo, de entender melhor as conseqüên­cias semiológicas do advento da Inter­net para estratégias, como sinali­zam o crescimen­to con­comitante de gastos com segur­ança em informáti­ca e de danos com inci­dentes re­portados envol­vendo o “demô­nio de Des­cartes” [4], [5], de um lado, e doutro lado o uso político que vem sen­do feito disto [1], [5], [7], [8], [9].

Uma postura cética, inercial ou conservadora pode, entretanto, racionalizar ou desprezar tais sina­lizações, quantitativas da crescente ineficiência nas abordagens tradicionais à segurança em informática ao longo de sua evolução. Uma tal postura tenderá a considerar esses sinais insuficientes ou irrelevantes para justificar uma nova abordagem, como esta, de natureza semiológica. Contudo, a estes sinais podem se agregar evi­dências empíri­cas mais concretas.

Evidências empíricas

Como por exemplo, uma análise pelo principal cien­tista da maior empresa de certifica­ção digital do planeta, co-projetista de boa parte das plataformas tecno­lógicas sob fogo de batalha (HTTP, PKIX, XKMS, SAML), a respeito desta evolução.  No resumo da palestra “From CyberCrime to CyberConflict: The Infrastructure of Crime and Worse to Come”, proferida em abril de 2009 no seminário “Cyber Interational Relations” promovido pela Harvard Kennedy School of Government junto ao Center for International Studies do MIT, o Dr. Phillip Hallam-Baker se expressa nos seguintes termos [12]:

[...T]he documented and proven capabilities of the infrastructure that has developed to support Internet crime are real and deserve attention as an urgent national security issue. The Internet has revolutionized every other aspect of modern life, it must revolutionize warfare. If the idea of cyber-warfare appears fantastical, it is because we are mischaracterizing the nature of the threat.

The infrastructure that Internet criminals have developed to launder money stolen from captured bank accounts can be applied to launder the proceeds of drug trafficing or conceal the transmis­sion of terrorist funds. The botnet DoS attacks designed for extortion may be employed to deny communication capabilities to opponents at key moments. We face a large number of challenges.

The information we have on opposition activities is highly unsatisfactory. By the time an Internet crime trend can be reliably quantified it is obsolete. And even though we have no shortage of technical countermeasures, we have only succeeded in deploying measures that provide a short term tactical benefit to the deploying party rather than strategic measures that could defeat or at the very least dramatically raise the bar for the opposition. ”

Cujo último parágrafo pode ser assim traduzido:

“A informação que temos sobre atividades opo­nentes é altamente insatisfatória. Quando um novo padrão de prática criminosa na Internet chega a ser confi­avelmente quantificado, esta prá­tica já está obsoleta. Embora não haja nenhuma escassez de medi­das tecnológicas à disposição para enfrentá-las, só temos alcançado sucesso produtivo com medidas que proporcionam benefício tático de curto prazo a quem as instala, mas não medidas estratégicas que pos­sam vencer essas ativi­dades ou ao menos erguer barreiras significativas contra elas.”


Impasse com abordagens tradicionais

Informação satisfatória sobre atividades oponentes requer confiança, relativa à fonte (da informa­ção), à identificação (da atividade) e à interpretação (da oponência). A questão que no fundo se insinua é, então, como alcançar esta confiança. Tal questão se torna crucial quando entendemos o que diz Sun Tsu sobre a natureza da guerra (é baseada no logro), natureza cabalmente manifesta na análise aci­ma expres­sa.

Con­ceituações puramente semânticas de confiança nada têm oferecido, e sob nossa perspec­tiva nada têm a oferecer (devido ao excessivo reducionismo), em resposta ou saída ao impasse identifica­do por Hal­lam-Baker. Elas só ofe­recem mitigações, porquanto confiança, cremos, é algo que transcende a se­mântica (e an­tes, a sinta­xe). Pois em semiologia, a semântica não é autônoma. Dito de outra forma, se não sabemos bem o que é (confiança), como saber se a que julgamos ter nos satis­faz?

Tomando por base comparativa a mais antiga referência científica so­bre conceituação de confian­ça aplicada a contextos computacionais que conse­guimos localizar [13], e seus mais ce­lebrados desenvol­vimentos atuais no sentido da segurança em informática [14], podemos ilustrar mais con­cretamente a na­tureza das limitações intrínsecas às abordagens tradicionais.

Nessas conceitu­ações tradicionais, “confiança” é algo restrito ao contexto dos valores subjetivos atribuídos a espectativas de adequação. Especifi­camente, espectati­vas de adequação sintática e tempestiva de interlocuções a protocolos de co­municação di­gitais.

Limitações dos modelos clássicos

O celebrado modelo de Patel – Trust and Reputation model for Agent-based Virtual Organizations (TRA­VOS) [55] – e suas extensões baseiam-se num sentido de confiança calculável por meio de probabili­dades dos agentes engajados em interlocuções se comportarem conforme algum protocolo de comunica­ção pre­determinado. Essas probabilidades são quantizadas (em 0 e 1) para decisões interativas sobre subseqüentes en­gajamentos. Tal avalia­ção comportamental se baseia na de tercei­ros, sobre prévi­as inte­rações destes terceiros com o agente avaliado (reputações).

Neste modelo o problema da recur­sividade (como interromper as regressões), gera­do pelo influxo em prévias interações e em predeterminação protoco­lar, é re­duzido à presun­ção de que os agen­tes engajados fazem parte de alguma organização (o modelo é para es­tas). Tal redução pode ser compatível com a definição semiológica de Confiança, que adotamos, desde que a apresentação dos agentes engajantes se dê pelos canais de confiança dis­poníveis à or­ganização modelada (como por exemplo, em "federações").

Todavia, há aplicações do mo­delo TRAVOS onde o “vir­tual” domina a forma de organização em foco, e extensões do modelo onde “organização” se reduz a ape­nas alguma predeterminação protocolar em rede aberta. Como em redes P2P, por exem­plo.

Nessas aplicações e extensões o las­tro hermenêutico das prévias interações, supor­te para o cál­culo com reputa­ções, se agrega com semân­ticas para interlocuções que ocorrem em banda, violando o con­ceito semioló­gico de confiança. Com isso inviabiliza-se, segundo o conceito que adotamos, ou a utili­dade ou a efi­cácia dessas abor­dagens.

Evidências de limites em abordagens tradicionais

Como sinal desta inviabilização, observa-se que tais conceituações tradicionais de confiança não alcan­çam modelar interesses motivadores que mali­ciosamente se adap­tam, submergin­do sob a super­fície formada pela hermenêuti­ca das interlocuções da vez. Nem situa­ções em que a comunicação com agentes inconfiáveis faz-se necessária (por exemplo, no comércio eletrônico B2C). 
  
No limiar funcional das conceituações semânticas de confi­ança, a necessária identifica­ção de ativi­dade oponente se baseia, portanto, em her­menêuticas de com­portamento identitário on-line, ou seja, em interpretações semânticas para apresenta­ção de agen­tes, para validação de autenticações e para habilita­ção a interlocuções tudo em banda.

Se as estratégias possíveis nesse limiar fossem úteis e eficazes, as listas ne­gras de IPs, por exemplo, for­mariam uma barreira sig­nificativa contra os problemas do spam e congêneres (phishing, etc). Mas esta barreira é facilmen­te contor­nada, por exemplo, por ágil rotatividade (churning) em bot­nets, as quais estima-se alcançarem hoje cerca de 10% das plata­formas no ciberespaço.

Se de confi­ança en­tendermos tudo isto mas ra­cionalizarmos ou desprezar­mos as con­seqüências dis­to, teremos que en­frentar essas conseqüências sem estraté­gias efica­zes, miti­gando apenas. Have­rá quem prefira apenas mi­tigar, ou convencer clientes a mais mitigações, ou não en­tender nada disto. Dentre os acometi­dos pela Síndro­me de Estocol­mo Digi­tal [6], certamen­te. Mas há alternativa, a pesqui­sar.

Sobre a modelagem semiológica

Para o escopo da pesquisa que desenvolvemos com base nesta abordagem, semiologia significa dizer que o processo de comunicação e o de significação não podem ser compreendidos a contento separadamente. Significa que esses dois proces­sos são como forma e função de um todo orgânico. Para quem interessa en­tender me­lhor as conseqüên­cias disto, os canais de con­fiança presumi­dos por proces­sos de se­gurança em infor­mática ofere­cem pers­pectivas insti­gantes.

Para explorá-las estamos desenvolvendo, em nossa pesquisa, modelos de confiança para sistemas de comuni­cação e de significação, em que os re­ferenciais para uma classe de sistemas se encontra na ou­tra classe de siste­mas. Esta pesquisa está sendo documentada em tempo real no artigo "Modelos de Confiança para Segurança em Informática", disponível em http://www.cic.unb.br/~rezende/trabs/modelos_de_confianca.pdf.

Em seu trabalho seminal sobre confiança, Gerck considera a propensão de se pensar ou se tratar a In­ternet como se fora uma rede fe­chada, o ver­dadeiro Bug do Milênio [10]. Como exemplo desta propen­são, destacamos acima o excessi­vo redu­cionismo em aplica­ções do modelo TRA­VOS, e a ela acres­centamos, a propen­são de se legis­lar e se jurisdoutri­nar tal e qual [5].

Como reflexos dessas propen­sões, observamos desinteresse ou descon­forto, quando não desdém ou repulsa, por pes­quisas des­te teor. Postura que sustem a tendên­cia de se to­mar o tea­tro [4] pelo processo na segu­rança em informática, sob a mítica fantasia coletiva da tec­nologia como pana­céia mági­ca. Sob seus efeitos, o problema da conceituação de confiança  se resolve em cinco segundos: confiança é segurança, e segurança dá con­fiança.

Fantasias coletivas

Os efeitos desta fantasia coletiva também atingem outras áreas fulcradas em avaliação de riscos e colonizadas pela tecno-imersão autônoma. E podem atingi-las com desilusão catas­trófica. Em ja­neiro de 2008, uma das principais agências de avaliação de riscos na economia de mercado globalizada publi­cou um relatório afirmando que tais avaliações se inviabilzaram “talvez para sempre” [16].

Assinado por seu economista-chefe internacional, o relatório diz: “It is extremely unlikely that in today’s markets we will ever know on a timely basis where every risk lies,” corroborando a análise evolutiva da se­gurança na esfera di­gital do principal cientista da Verisign. Trata-se de uma das cinco grandes agências cujas avali­ações cor-de-rosa sobre ins­trumentos financeiros derivativos e suas fiadoras, como os que agrupa­vam hipotecas apodrecí­veis (sub­prime), pre­cipitaram a turbulenta crise econômica global eclodida em 2008.

Nesta turbulência, caso algum interesse superveniente consiga coligir-se para se apoderar da in­fraestrutura semioló­gica formada pela rede digital aberta primordial – a Internet –, terá em mãos um instru­mento de colusão e contro­le social inédito, formidável e subreptí­cio [11].

Entremen­tes, avolumam-se as nor­mas, doutri­nas e juris­prudências que entendem a In­ternet como algo carente de apropria­ção, que rejei­tam en­tendê-la, pelo viés político ou ideológico do que propõem, como um bem semiológico comum à ci­bercultura, ou que se iludem em fúteis contor­ções retóri­cas, inebriadas pela dogmática do fundamentalis­mo mer­cadista, tentando conci­liar es­ses en­tendimentos opos­tos como se desastrosa disto­pia isto não fos­se.

O verdadeiro bug do milênio

Tal postu­ra in­fecta o or­ganismo social com o verdeiro bug do Milê­nio, com uma fe­bre que catalisa tal co­ligação e empodera­mento, os quais, por sua vez, se tor­nam tanto mais factí­veis e peri­gosos quanto mais se apro­funda a atual crise sistêmica do capitalis­mo tar­dio.
 
Modelos negociais de fornecedores, contextos normativos, e maneiras substancialmente racionais de influir neles devem ser considerados nas políticas de segurança informacional, e na correspondente análise de riscos, pelos que estão sendo atropelados por interesses de maior calibre [1].

Se com teorias, métodos, estratégi­as e ferra­mentas tradicionais, ou se com outras mais adequadas ao desafio a enfrentar, esta é uma ques­tão meto­dológica que transcende à nossa competência, até pela temporalidade. Nesta questão a humildade faz-se não só reverencialmente prudente, faz-se também necessária.

Porém, até por ne­cessária e reverente prudência, convém já auscultar, mesmo que por razões empíricas, alguém que con­creta e meto­dicamente guiou o sucesso do fundamentalismo mercadista rumo à catastrófica crise hora em curso.

É preciso "conhecer riscos"

Citamos um dos co-autores do método univer­salmente usado em merca­dos financei­ros para precificar ins­trumentos derivativos (Black-Scholes), laureado com o prêmio Nobel de eco­nomia por esta autoria. Ele dá a seguinte resposta em entrevista a uma jornalista do New York Times [17]. 

 Deborah Solomon: Some economists believe that mathematical models like yours lulled banks into a false sense of security, and I am wondering if you have revised your ideas as a consequence.

Myron Scholes: I haven’t changed my ideas. A bank needs models to measure risk. The problem, however, is that any one bank can measure its risk, but it also has to know what the risk taken by other banks in the system happens to be at any particular moment.

A segunda frase da resposta representa um diagnóstico que indica, para enfrentar a crise, um novo méto­do, pelo qual um agente precisa conhecer os riscos de todo outro agente a todo tempo. En­quanto a pri­meira frase sinaliza o laureado método, indutor desta crise, como extensível ao indicado.

Po­rém, basta aos riscos se comportarem à maneira de movimentos de corpos celestes para que três agentes com in­teresses independentes inviabili­zem esta indica­ção, ou tal presumida extensibilidade, de forma completa (em mecânica celeste, sabe-se que o clássico "problema dos três corpos" só permite solução aproximada). Enquanto é do incompleto que os problemas surgem com reducionismos.

Conclusão

Daí se percebe que riscos pon­tuais podem se compor em riscos sistêmicos, para os quais a informatização contribui, que riscos sistêmi­cos requerem abordagem holística, para as quais a tecno-imersão autônoma não contribui, ao contrário. E finalmente, percebe-se que tais contradições não se dissipam com reducionismo mágico. Muito antes, pelo contrário, o que justifica novas abordagens ao conceito de confiança para segurança.

Tratar a se­gurança digital como algo impes­soal, tomar seu tea­tro pelo pro­cesso real, ou novas aborda­gens como ataques pessoais aos que investiram em abordagens tradicionais, é fechar os olhos ou dar as costas para a marcha his­tórica aqui exposta. É insensatez.

Todavia, mes­mo que sua preten­sa utilidade ou rele­vância seja descartada, estes questionamentos sobre o conceito de confiança nos conduzem, ao menos, à derradeira e inarre­davél questão. Como iden­tificar o controle da His­tória?




Referências

1. Bruce Schneier: Dual-Use Technologies and the Equities Issue.
Cryto-gram Newsletter, May 2008.

http://www.schneier.com/crypto-gram-0805.html#2

2. FBI - IC3: Internet Crime Complaint Center Annual Reports
http://www.ic3.gov/media/annualreports.aspx

3. Symantec: Internet Security Threat Report Tracks Notable Rise in Cybercrime
www.sy­mantec.com/about/news/release/article.jsp?prid=20060307_01

4. Bruce Schneier: In praise of security theater
Cryto-gram Newsletter, Feb 2007

http://www.schneier.com/crypto-gram-0702.html#1

5. Pedro A D Rezende: Cibercrime, Megalobby e Sottogoverno
Ensaio para o portal Observatório da Impensa.
http://www.observatoriodaimprensa.com.br/artigos.asp?cod=500IPB006

6. Pedro A D Rezende: The Digital Stockholm Syndrome
http://www.cic.unb.br/~rezende/trabs/Stockholm.html

7. Pedro A D Rezende: Totalitarismo Digital
http://www.cic.unb.br/~rezende/trabs/ditadura.htm

8. James Love: The Counterfeit treaty (June 3, 2008)
http://www.huffingtonpost.com/james-love/the-counterfeit-treaty_b_104831.html

9. Aaron Shaw: ACTA and the Threat of Global Governance
http://fringethoughts.wordpress.com/2008/06/04/acta-and-the-th­reat-to-credible-global-governance/

10. Pedro A D Rezende: Risco, Confiança e Responsabilidade na Internet.
www.cic.unb.br/~rezende/trabs/risco.htm

11. Catherine Austin Fitts: The Slow Burn. April, 2009
http://solari.com/blog/?p=818&ref=patrick.net

12. Phillip Hallam-Baker: From CyberCrime to CyberConflict: The Infrastructure of Crime and Worse to Come
http://www.csail.mit.edu/events/eventcalendar/calendar.php?show=event&id=2188

13. Marsh, S.: Formalising Trust as a Computational Concept.
PhD Thesis. University of Sterling, UK, 1994
apud Albuquerque R. et al, Int. Journal of Forensic Computer Science (2008) V.3 N.1 pp.75-85.

14. Sabater, J. & Sierra, C.: Reveiw on Computational Trust and Reputation Models.
Artificial Intelligence Review (2005) 24:33-60
apud Albuquerque R. et al, Int. Journal of Forensic Computer Science, V.3 N.1 (2008) pp.75-85

15. Patel, J.: A Trust and Reputation Model for Agent-Based Virtual Organizations.
Thesis of Doctor of Phylosophy. Faculty of Engineering and Applied Science. University of Southampton, January, 2007
apud Albuquerque R. et al, Int. Journal of Forensic Computer Science, V.3 N.1 (2008) pp.75-85

16. Sorkin, A.: Has Measuring Risk changed “Forever”?.
The New York Times, January 7, 2008
http://dealbook.blogs.nytimes.com/2008/01/07/risk-cannot-be-measured-anymore-moodys-says/

17. Solomon, D.: Crash Course. Questions for Myron Scholes.
The New York Times, May 14, 2009
http://www.nytimes.com/2009/05/17/magazine/17wwln-q4-t.html?_r=1

18. Ed Gerck: Toward Real-World models of Trust
http://mcwg.org/mcg-mirror/trustdef.htm

19. Umberto Eco: Tratado Geral de Semiótica.
(Tratatto di semiotica genrale) Ed. Perspectiva, São Paulo (1976).