Get best of the week

Zero Trust Information

O Google mudou recentemente todos os seus funcionários na América do Norte para trabalhar remotamente . Essa foi uma das medidas para limitar a disseminação do SARS-CoV-2, o vírus que causa a doença COVID-19. Esta é a solução certa para qualquer empresa que possa fazer isso. Além disso, o Google e várias outras grandes empresas de tecnologia planejam pagar por um exército de contratados que geralmente atendem aos funcionários da empresa.

No entanto, o Google fez um ato ainda mais significativo cinco anos atrás, quando liderou a transição para redes de confiança zero.para suas aplicações internas. A maioria das outras empresas de tecnologia seguiu o exemplo. E embora isso não tenha sido feito para que os funcionários trabalhem em casa, agora facilitou a transferência de pessoas para um local remoto em pouco tempo.

Zero Trust Network


Em 1974, Vint Cerf, Yogen Dalal e Carl Sunshine publicaram um trabalho inovador chamado Programa de Especificação de Controle de Transmissão pela Internet. Do ponto de vista da tecnologia, este trabalho lançou as bases para a especificação do protocolo TCP no qual a Internet é construída. Não menos notável é o fato de o termo “Internet” ter sido proposto no trabalho. Isso aconteceu por acaso: a maior parte do trabalho foi dedicada ao programa de gerenciamento dos pacotes de transmissão e "internetwork" entre redes: as redes já existiam e era necessário descobrir como conectá-las umas às outras.

Inicialmente, as redes eram comerciais. Nos anos 80, a Novell criou um "sistema operacional de rede" que consiste em servidores locais, placas de rede e um aplicativo para PC. O sistema permitiu criar redes dentro de grandes empresas para trocar arquivos, compartilhar impressoras e outros recursos. Como resultado, a posição de mercado da Novell foi prejudicada pela introdução da funcionalidade de rede nos sistemas operacionais do cliente, distribuição de placas de rede, erros no gerenciamento do canal de distribuição e ofensiva em larga escala da Microsoft. No entanto, o próprio modelo da intranet corporativa com recursos compartilhados foi preservado.

No entanto, o problema também estava na própria Internet: conectar ao menos um computador da rede local significava que todos os outros computadores e servidores dessa intranet estavam realmente conectados à Internet. Como solução para o problema, eles propuseram um sistema de segurança baseado na proteção de perímetro (abordagem castelo-e-fosso, castelo-fosso): as empresas precisam implantar firewalls para se protegerem do acesso a redes internas de fora. O significado é duplo: se você estiver na intranet, eles confiam em você, se estiver fora, eles não confiam em você.


Mas havia dois problemas:

  1. Se um invasor penetrar no firewall, ele terá acesso a toda a rede.
  2. Se algum funcionário não estiver fisicamente no escritório, ele não terá acesso à intranet.

Para resolver o segundo problema, eles criaram a tecnologia VPN (rede virtual privada), que, graças à criptografia, permite que computadores de trabalhadores remotos ajam como se estivessem fisicamente localizados na rede corporativa. Mas muito mais importante é a contradição fundamental que se manifesta nesses dois problemas: você precisa fornecer acesso de fora, mantendo os de fora.

Esses problemas foram dramaticamente exacerbados pelas três principais tendências da última década: smartphones, a abordagem SaaS (software como serviço) e computação em nuvem. Hoje, em vez de vendedores aleatórios ou chefes de viagem que precisam conectar seu laptop à rede corporativa, literalmente todos os funcionários têm um dispositivo móvel com uma conexão permanente à intranet. Agora, em vez de acessar aplicativos hospedados na rede interna, os funcionários precisam acessar aplicativos hospedados pelo provedor de SaaS. Agora, em vez de implantar localmente, os recursos corporativos são hospedados em nuvens públicas. Qual fosso pode cobrir todos esses cenários?

Você nem deve tentar: em vez de tentar colocar tudo dentro do castelo, coloque todo o seu interior fora da vala e considere que qualquer usuário pode ser uma ameaça. Daí o nome: uma rede de confiança zero.


Com esse modelo, a confiança está no nível de uma pessoa verificada: o acesso (geralmente) depende da autenticação multifatorial (por exemplo, uma senha e um dispositivo confiável ou um código temporário). E mesmo após a autenticação, uma pessoa obtém acesso apenas a um número muito pequeno de recursos ou aplicativos. Este modelo permite resolver todos os problemas característicos da abordagem de castelo e vala:

  • Na ausência de uma rede interna, não pode haver um invasor externo ou um funcionário remoto.
  • A autenticação individual no lado do usuário pode ser dimensionada para dispositivos e aplicativos dentro de recursos locais, aplicativos SaaS e nuvens públicas (especialmente aqueles implementados usando o princípio da identificação de usuário único, como Okta ou Azure Active Directory).

Em resumo, a computação de confiança zero começa com suposições da Internet: tudo e tudo estão conectados, bons e ruins. Tais cálculos são caracterizados por custos de transação zero para a tomada contínua de decisões sobre o acesso a um nível muito mais distribuído e finamente disperso do que o alcançável com o suporte físico da segurança da informação, o que cria uma contradição fundamental subjacente ao controverso esquema com uma trava e um fosso.

Castelos e fossos


O modelo de bloqueio e exclusão não se limita apenas aos dados corporativos. É nesse paradigma que as comunidades vêm pensando em informações de tempos, GHM, castelos e fossos. No outono passado, escrevi em A Internet e o Terceiro Estado :

Na Idade Média, a principal estrutura organizacional da Europa era a Igreja Católica. De fato, ela tinha o monopólio da disseminação de informações: a maioria dos livros era em latim e era copiada manualmente pelos monges. Havia um certo parentesco étnico entre diferentes representantes da nobreza e plebeus em suas terras, e sob a égide da Igreja Católica havia principalmente cidades-estados independentes.

Com fechaduras e fossos!

Tudo mudou após a invenção da impressora. De repente, descobriu-se que Martinho Lutero, cujas críticas à Igreja Católica eram completamente análogas às proclamadas por Jan Hus cem anos antes, não se limitava a nenhuma pequena área ao divulgar suas opiniões (no caso de Hus, era Praga), mas ele foi capaz de abraçar toda a Europa com suas idéias. Noble aproveitou a oportunidade para interpretar a Bíblia de acordo com os interesses de curto prazo, afastando gradualmente a Igreja Católica do governo.

Isso levou ao surgimento de novos guardiões:

Assim como a Igreja Católica manteve seu controle sobre a informação, a meritocracia moderna fez o mesmo, não controlando a imprensa, mas incorporando-a a um consenso nacional mais amplo.

Mais uma vez, a economia desempenhou um papel: embora os livros ainda estivessem sendo vendidos com fins lucrativos, nos últimos cem anos e meio, os jornais começaram a ler mais e, em seguida, a televisão se tornou o meio dominante. No entanto, todos esses são veículos de entrega para a "imprensa", que geralmente é financiada por publicidade indissociavelmente ligada a grandes empresas ... Em um sentido mais amplo, a imprensa, as grandes empresas e os políticos operam dentro da estrutura de um consenso nacional geral.

No entanto, a Internet se tornou uma ameaça para a segunda classe de guardiões, permitindo que todos publiquem:

, , . , . , : . , :

— , . , , .

É difícil superestimar toda a extensão desse eufemismo. Acabei de lhe contar como a imprensa permitiu derrubar o Primeiro Estado, o que levou ao surgimento de estados-nação, à criação e ao fortalecimento da nova nobreza. E as conseqüências da derrubada do Segundo Estado através do fortalecimento dos plebeus são quase impossíveis de imaginar.

Os guardiões de hoje têm certeza de que isso é um desastre e "desinformação". Tudo, de adolescentes macedônios a inteligência russa, partidários e políticos, é visto como ameaças existenciais, e as razões são claras: o modelo de mídia moderno se baseia no fato de que esses meios de comunicação são a principal fonte de informação. E se houver informação falsa, a sociedade está enfrentando desinformação?

Consequências do aumento da informação


Obviamente, o problema é que, se focarmos na desinformação - e ela definitivamente existe -, perderemos de vista a outra parte da fórmula "do próprio editor": houve um aumento explosivo na quantidade de informações verdadeiras e falsas. Suponha que todas as informações publicadas estejam em conformidade com a lei da distribuição normal (eu uso esse conceito apenas para ilustração e não afirmo que isso seja verdade. Obviamente, devido à facilidade de gerar informações, haverá mais informações erradas):


Antes da Internet, a quantidade total de informações erradas será baixa em termos relativos e absolutos, porque a quantidade total de informações é pequena:


Porém, graças à Internet, a quantidade total de informações tornou-se tão grande que, mesmo que a parcela de informações erradas permaneça aproximadamente no mesmo nível, sua quantidade absoluta cresceu muito fortemente:


Portanto, hoje é muito mais fácil encontrar informações falsas, e os mecanismos de pesquisa são muito úteis nisso. Portanto, é fácil escrever histórias como este artigo no New York Times :

À medida que o coronavírus se espalha pelo mundo, a desinformação se espalha, apesar da oposição ativa das empresas de desenvolvimento de redes sociais. O Facebook, Google e Twitter disseram que estavam removendo informações falsas sobre o coronavírus assim que foram encontrados e estavam trabalhando com a Organização Mundial de Saúde e várias organizações governamentais para proteger as pessoas de informações imprecisas.

No entanto, em um estudo do The New York Times em cada uma das plataformas sociais, foram encontrados dezenas de vídeos, fotografias e textos semelhantes que penetram nos telespectadores. Os textos são escritos não apenas em inglês, o intervalo varia de hindi e urdu a hebraico e persa, seguindo a trajetória do vírus que viaja ao redor do mundo. A disseminação de informações falsas e maliciosas sobre o coronavírus foi um lembrete severo da luta em que pesquisadores e empresas da Internet participaram. Mesmo que as empresas precisem defender a verdade, elas geralmente são ultrapassadas e vencidas por mentirosos e ladrões da Internet. Há tantas informações imprecisas sobre o vírus que a OMS diz que está enfrentando "infodemia".

Eu também escrevi no Daily Update :

É o que a frase “durante o estudo do The New York Times” nos diz: o poder de pesquisar na abundância de informações mundiais reside no fato de que você pode encontrar tudo o que deseja. Não é de surpreender que o The New York Times quis encontrar informações erradas nas principais plataformas de tecnologia e, ainda menos surpreendentemente, os jornalistas descobriram.

Mas acho muito mais interessante o que está do outro lado da distribuição. Obviamente, o fato de a Internet permitir que alguém seja um editor levou a um aumento na quantidade absoluta de informações erradas, mas o mesmo pode ser dito sobre informações valiosas que anteriormente não estavam disponíveis:


É difícil encontrar um exemplo mais adequado do que nos últimos dois meses da distribuição do COVID-19. De janeiro até os dias atuais, muitas informações aparecem no Twitter sobre o SARS-CoV-2 e o COVID-19, incluindo postagens de suporte e links para artigos médicos publicados em velocidades incríveis e muitas vezes contradizendo a mídia tradicional . Além disso, muitos especialistas expressam suas opiniões, incluindo epidemiologistas e autoridades de saúde.

Nas últimas semanas, essa rede em expansão começou a soar o alarme da crise que atingiu os Estados Unidos. Graças apenas ao Twitter, descobrimos que essa crise começou há muito tempo (retornando à ilustração com uma distribuição normal, o impacto diminui à medida que a quantidade de informações aumenta).

História do estudo da gripe de Seattle


Talvez a informação mais importante sobre a crise do COVID-19 nos Estados Unidos tenha sido relatada por Trevor Bedford , membro da equipe de pesquisa da gripe de Seattle:





Você pode estabelecer uma conexão direta entre essas mensagens e a exclusão social generalizada, especialmente na costa oeste: muitas empresas mudaram para o trabalho remoto, o setor de viagens se levantou, as conferências foram canceladas. Sim, deve haver mais informações, mas tudo ajuda . Os dados recebidos não de funcionários ou responsáveis, mas do Twitter, salvarão vidas.

No entanto, vale ressaltar que essas decisões foram tomadas na ausência de dados oficiais. Por semanas, o presidente subestimou a crise iminente, e o CDC e o FDA amarraram suas mãos a laboratórios públicos e privados, apesar de estarem completamente ferrados com kits de teste que poderiam ajudar a identificar um número significativo e crescente de casos. Incrível, masde acordo com documentos de um artigo do The New York Times , a equipe de Bedford também colocou palitos nas rodas:

[Final de janeiro] O Departamento de Saúde do Estado de Washington começou a discutir um estudo em andamento sobre a gripe de Seattle no estado. Mas havia um problema: o projeto envolvia principalmente laboratórios de pesquisa, não clínicos, e seus testes para coronavírus não foram aprovados pela Food and Drug Administration. Portanto, o grupo não foi autorizado a fornecer resultados de testes a ninguém além dos próprios pesquisadores ...

Os funcionários do CDC reiteraram repetidamente que isso não é possível [para verificar se há coronavírus]. "Se você deseja usar seus testes como uma ferramenta de triagem, deve examiná-los na Food and Drug Administration", disse Gail Langley, uma funcionária do Centro Nacional de Imunização e Doenças Respiratórias, em 16 de fevereiro. No entanto, o Escritório não pôde aprovar porque o laboratório não foi certificado como clínico de acordo com os requisitos dos centros para a prestação de serviços médicos e assistência médica. E o processo de certificação pode levar meses.

Como resultado, os pesquisadores da gripe de Seattle liderados pela Dra. Helena Chu decidiram ignorar o CDC:

, , , , . , , …

« », — . « , ». …

C.D.C. F.D.A. . . « », — . « ».

No entanto, uma descoberta alarmante mudou a opinião dos funcionários sobre a epidemia. Os participantes de um estudo da gripe de Seattle isolaram rapidamente o genoma do vírus e descobriram uma variação genética, também presente no primeiro caso de infecção por coronavírus do país.

Assim começou a tempestade criada por Bedford e a resposta de empresas e indivíduos privados. E mesmo que eles reagissem algumas semanas depois do que deveriam, no entanto, isso aconteceu muito antes do que teria acontecido no mundo dos observadores de informações.

Internet e verificação pessoal


Como você sabe, a Internet surgiu do projeto ARPANET do Departamento de Defesa dos EUA. Foi a rede para a qual Surf, Dalal e Sunshine desenvolveram o TCP. No entanto, ao contrário do mito popular, o objetivo não era criar uma rede de comunicações resistente a um ataque nuclear. Tudo era mais prosaico: poucos computadores de alto desempenho estavam disponíveis para os pesquisadores, e a Agência de Pesquisa de Defesa Avançada (ARPA) queria facilitar o acesso a eles.

Embora a popularidade da teoria de um ataque nuclear tenha razões. Primeiro, houve motivaçãopara o estudo teórico da comutação de pacotes, que se transformou no protocolo TCP / IP. Em segundo lugar, o próprio fato da estabilidade da Internet: apesar dos esforços dos responsáveis, qualquer informação circula livremente na rede (com exceção da China). Incluindo desinformação, mas também informações muito valiosas também. No caso do COVID-19, isso melhora levemente um problema muito sério.

Isso não significa que a disponibilidade da Internet nos ajudará a resolver todos os problemas, tanto no mundo quanto na história do coronavírus. Mas quando passarmos por essa crise, precisaremos lembrar a história do Twitter e dos heroicos pesquisadores da gripe de Seattle: centralização e burocracia excessivas impediram a pesquisa crítica. E para acelerar o estudo, obter feedback de pessoas e empresas de todo o país foi ajudado pelo senso de dever dos cientistas e pelo fato de que qualquer pessoa pode publicar na Internet.

Portanto, em vez de lutar contra a Internet - criando trancas e barreiras em torno da informação, com todo tipo de compromissos malucos - vale a pena considerar quais benefícios a adoção da situação pode trazer? Tudo indica que os jovens entendem a importância da verificação pessoal. Por exemplo,este é um estudo do Instituto Reuters em Oxford :

No decorrer de nossas entrevistas, não encontramos uma crise de confiança na mídia, a qual frequentemente ouvimos falar entre os jovens. Há uma desconfiança geral de algumas opiniões politizadas, mas também há uma classificação alta de algumas de suas marcas favoritas. As notícias falsas são vistas mais como um incômodo do que uma crise da democracia, principalmente porque a escala dos problemas não corresponde à atenção dada a ela. Portanto, os usuários sentem a força para conter esses problemas.

Também neste estudo, as redes sociais mostram mais pontos de vista do que as notícias offline. E os autores de outro estudo acreditam que a polarização política é mais pronunciada entre as gerações mais velhas, que usam menos a Internet.

Repito, não estou dizendo que tudo está em ordem, nem na história do coronavírus no curto prazo, nem nas redes sociais e na transmissão direta de informações no médio prazo. Mas ainda há razões para otimismo e a crença de que a situação vai melhorar. Quanto mais rápido aceitarmos a ideia de que reduzir o número de guardiões e aumentar a quantidade de informações levará a um aumento da inovação e de boas idéias proporcionalmente ao fluxo de informações erradas, que os jovens que cresceram na era da Internet já estão aprendendo a ignorar.

More articles:


All Articles