Até 2022, a demanda por pessoal qualificado em segurança cibernética superará a oferta em 1,8 milhão de trabalhadores. O que a indústria pode fazer para reduzir essa ameaça global? Segundo Richard Buckland, cientista da computação da Universidade de New South Wales (UNSW), em Sydney, a resposta é a educação. Ele está experimentando maneiras de treinar defensores iniciantes por duas décadas. Em 2016, ele e o Commonwealth Bank também lançaram o SecEDU, um programa para fortalecer o currículo da universidade, disseminar suas práticas para outras universidades e escolas de ensino médio e disponibilizar todos os cursos de segurança online gratuitamente. Eu me encontrei com Buckland na UNSW para discutir engenharia de software e o futuro dos hackers de chapéu branco. Esta entrevista foi editada para brevidade e clareza.
O que te atrai para a segurança cibernética?
Para mim, a segurança cibernética é o maior problema de engenharia. Se você estivesse dirigindo aqui hoje, se passasse pela Sydney Harbour Bridge, acho que ninguém se preocupa com a ponte. E isso é em parte porque os engenheiros civis resolveram o problema da construção de pontes. Mas a segurança não é um problema resolvido. Se eu tivesse um produto Windows, toda semana em uma terça-feira eu faria o download de patches para ele. E os patches são uma maneira educada de dizer correções de bugs, e um bug é uma maneira educada de dizer erro, e um erro é uma maneira educada de dizer coisas complicadas. Nós não sabemos como projetar segurança.
Por que a engenharia de segurança é diferente?
Se eu tivesse que escolher um motivo, é a complexidade. Há também essa natureza assimétrica para a segurança cibernética. Para fazer algo seguro, você tem que defender cada ponto, mas para atacar com sucesso, você só precisa encontrar um pequeno ponto. Como os velhos castelos medievais: não importava o quão densas fossem as paredes, porque as pessoas cavariam túneis, por isso colocariam fossos, e os atacantes subornariam a pessoa que opera o portão. Além disso, é muito divertido atacar. É a natureza humana. Meus alunos gostam disso. Se eu lhes der uma regra, estou dando a eles um desafio. Você tem que ter cuidado para não lhes dar regras.
Você prefere esmagar insetos ou espalhar a palavra sobre segurança?
Eu gosto de resolver bugs particulares, mas minha paixão é a educação. E em segurança, o maior problema que enfrentamos é que não há pessoas seguras suficientes por aí, por um fator enorme. Meus alunos saem da universidade – um deles recebeu um Corvette como bônus de assinatura. As pessoas me ligam o tempo todo e dizem: “Deixe-me entrar na sua aula de segurança. Eu tenho ótimos trabalhos para seus dez melhores alunos. ”E eu digo:“ Cara, você não pode ter meus piores alunos. Todos já têm emprego. ”Então, temos essa coisa chamada SECedu. Estamos tentando treinar o maior número possível de pessoas, mas também trabalhar em formas de treinamento e depois divulgá-las.
O que você aprendeu até agora?
Para mim, a maior surpresa foi que, para ser um bom engenheiro de segurança, você precisa ser criativo e um patife, um tanto ousado. As melhores pessoas de segurança questionam todas as regras. E o problema realmente delicioso que se apresenta é que tudo o que fazemos na uni, mais ou menos, é produzir pessoas industrialmente compatíveis. Eu acho que você aprende conformidade no jardim de infância. [Ele expandiu isso de uma forma mais colorida e elaborada, mas eu o cortei para o espaço.] No momento em que os recebo, eles são seguidores de regras. Realmente, se você faz negócios como sempre em um uni para ensinar segurança cibernética, você não está realmente ensinando às pessoas certas as coisas certas, e provavelmente as pessoas certas nem entrarão em uni, e se elas estiverem em uni, elas provavelmente vai ficar entediado e ir para casa porque são os loucos.
É difícil extrair o malandro ou acontece naturalmente quando se solta o aluno?
Eu acho que é perto da superfície em todos nós, e muitas vezes há essa sensação de alegria e prazer quando eles percebem que é permissível. Lembro-me de alguém ter entregado algo no início uma vez e eu disse: “Estou muito desapontado por você estar entregando isso cedo. Você me decepcionou, cara. Da próxima vez eu quero que seja um pouco tarde ”. Então, apenas pequenas coisas como essa para encorajá-los.
Como você faz o rascalismo compatível com um ambiente universitário?
É baseado em valores. Eu nunca quero que alguém faça alguma coisa porque eu disse a eles para fazerem isso. Eu quero que eles acreditem nisso. Se algum dos meus alunos fizesse alguma coisa ruim e entrasse na mídia, eu teria que parar meu curso imediatamente. Há apenas todas essas manchetes de pesadelo que posso imaginar: “Uni Trains Hackers”, “UNSW treina alguns estudantes que entraram no banco no outro dia”. Acho que você precisa saber como atacar para defender, então como posso ensinar as pessoas a atacar e não ter que ir terrivelmente, terrivelmente errado? Primeiro eu tinha todas essas regras. Mas então li sobre essa pesquisa realmente interessante. Eles enviaram muito dinheiro para as pessoas. Um grupo ameaçou as coisas se elas não mandassem de volta. Outro grupo, eles disseram: “Oh, por favor, envie de volta.” Quando as pessoas eram confiáveis, elas subiram para a confiança. Então eu pensei, “Oh, estou fazendo errado”. Eu criei essa política de boa-fé, que é apenas não fazer qualquer coisa que traga a uni ou a profissão qualquer tipo de descrédito.
Por que os atacantes são os melhores defensores?
O exemplo que me fez perceber primeiro foi quando eu costumava ensinar segurança de computadores para os primeiros anos, eu os levava para um hall de entrada do prédio à noite, e eu diria que quero que você identifique todos os mecanismos de segurança em vigor. Eles notariam o vidro grosso, a iluminação, os sensores e as câmeras. No final, eu disse: “Uau, vocês fizeram um ótimo trabalho. Quanto você acha que seria difícil entrar? ”E eles diziam:“ Muito difícil. ”“ Em uma escala de um a cinco? ”“ Quatro! Quatro e meio! Muito bom! Melhor design de todos os tempos! ”E eu diria:“ Incrível. Agora vamos fazer a nossa pausa para o chá da noite. Nos encontraremos juntos em dez minutos. Ah, e se alguém conseguir entrar, sem infringir a lei, sem causar nenhum dano, a primeira pessoa a entrar receberá uma barra de Marte. ”E alguém sempre poderia entrar. Levava apenas cerca de cinco minutos. Ao fazê-los enumerar todos os sistemas de defesa física, eu os fazia pensar como um defensor. Mas assim que você começa a pensar como um atacante, você não se preocupa com as coisas fortes. Você começa a pensar: “Qual é a coisa fraca?” Você precisa realmente ser cético sobre tudo o que está fazendo.
Essa conversa ocorreu durante uma bolsa de jornalistas residentes na UNSW, com despesas de viagem cobertas pela universidade.
