Entrevista com
Kurt Seifried (04/12/2000)
por Renato Murilo Langona
Kurt Seifried administra sistemas Linux há mais de 6 anos, obtendo muita experiência no assunto. Foi autor do
excelente Linux Administrator's Security Guide (LASG) e trabalha hoje no conhecido portal de segurança
SecurityPortal (http://www.securityportal.com).
(LinuxSecurity Brasil) Como e quando foi seu primeiro contato com segurança ? Por que você se
apaixonou pela área?
[Kurt] Ganhei meu primeiro computador de natal há um bom tempo atrás (acho que tinha 16), e amei,
terminei por ganhar um novo computador alguns meses depois e uma segunda linha telefônica logo depois do
modem. Experimentei o Linux logo depois, nesse ponto entendi que isso era o que eu gostava de fazer (e
não tinha nada de pesado envolvido). Ao passar dos anos eu tentei programar, mas não gostei (prendia
muito pouco minha atenção), também tentei administrar redes e sistemas e enquanto estava tudo bem isso
não me divertia. Alguns anos depois eu estava procurando por documentação relacionada a segurança Linux e
não pude encontrar nada online ou em livros. Foi quando eu comecei a escrever o LASG que constantemente
me fugia ao controle (acho que terminou com algo em torno de 200 ou mais páginas). Então eu consegui meu
emprego atual na SecurityPortal e, é claro, comecei a dedicar-me integralmente, quase um ano se passou e
não voltei atrás desde então.
(LinuxSecurity Brasil) Kurt, como você pode me descrever a relação: Segurança e Código Aberto
?
[Kurt] Boa e ruim, agressores com mais experiência (espero que não hajam muitos) podem facilmente
encontrar problemas através da auditoria de código, apesar de que uma correção ao problema é anunciada de
forma rápida assim que um ataque é conhecido publicamente. Na teoria código aberto significa que muitas
pessoas podem realizar revisão de código, mas uma minoria tem o conhecimento, veja o bug do PGP, ou o
constante acompanhamento de problemas de segurança no Linux e *BSD. Segurança ainda não é _prioridade_
para a maioria das pessoas, eles irão escolher a facilidade de instalação, características e etc antes da
segurança e fornecedores dão a eles o que eles querem.
(LinuxSecurity Brasil) Você acredita que hoje segurança é mais uma questão de administração do
que dos sistemas ou programas que escolhemos ?
[Kurt] Segurança é um processo, constante e que nunca termina. Se você escolhe software de má
qualidade que é provado ter problemas então administrá-lo será muito difícil. Você precisa de uma base
sólida para se apoiar, esse é o Sistema Operacional e software relacionado. Uma vez que a tenha você
precisa mantê-la atualizada, modificar informações de configuração quando necessário e assim por diante.
Você é tão forte quanto o mais frágil link de toda sua corrente de segurança.
(LinuxSecurity Brasil) Você acha que os padrões OpenPGP e PKI são incompatíveis como alguns
especialistas de segurança acreditam ?
[Kurt] Eu sou um desses excêntricos que acham que as idéias atuais sobre PKI são muito falhas.
Eles trabalham bem para organizações discretas (como uma corporação ou colégio) mas não funcionarão para
todo um país. Certificações X.509 podem apenas ser assinadas por uma entidade, então você precisaria de
um certificado para o trabalho, um para o ID de seu governo, um para o country club, e assim por diante.
PGP/GnuPG é um pouco melhor, você pode ter diversas assinaturas, mas apenas a Thawte está realizando
assinaturas em massa (e nem tanto assim). Você precisa ter uma forma central de autoridade assinando
chaves, o que significa que essas chaves centrais necessitam ser extremamente seguras, e precisam expirar
periodicamente resultando em mais trabalho. É claro que a anulação de todo certificado já é uma bagunça
por si só e não é muito bom. Eu acho que temos um longo caminho a percorrer nesse sentido ainda.
(LinuxSecurity Brasil) Se você pudesse mudar a mente de todo administrador de sistemas no
mundo, qual seria sua primeira alteração?
[Kurt] Uhmmm. Acredito que a melhor coisa seria mudar a mente dos supervisores, fazer da segurança
uma prioridade, dar ao seu pessoal tempo suficiente e subsídeos para tal de forma correta. Digo o mesmo
para consumidores.
(LinuxSecurity Brasil) Você poderia nos apontar algumas grandes fontes de material relacionado
à segurança que acesse diariamente?
[Kurt] www.securityportal.com é claro =)
/usr/(share)/doc/ - referência excelente
www.securityfocus.com - Bugtraq
(LinuxSecurity Brasil) Que sistema operacional você escolheu para utilizar em casa? Por
que?
[Kurt] Win98 para desktop e laptop, Linux para servidor de email e arquivos, NT Server antigamente
para FrontPage/autenticação (agora fora de serviço), OpenBSD (para logging e testes de segurança),
Solaris 8 e Novell 5 (cuidarão da autenticação). Basicamente qualquer ferramenta é ótima para trabalhar,
eu tenho o mesmo gosto por todos os sistemas operacionais, todos tem seus pontos bons e ruins.
(LinuxSecurity Brasil) Você poderia me citar algo que todo administrador de sistemas deveria
fazer diariamente para a melhor segurança de seus sistemas?
[Kurt] Aprendizado. Nunca pare de aprender. Leia Websites, livros, listas de email, etc. Reserve
um pouco de tempo todo dia para aprender algo. Eu gasto de 10 a 40 horas na semana fazendo pesquisas e
aprendendo novas coisas.
(LinuxSecurity Brasil) Você acredita que que a obscuridade quando adicionada à segurança pode,
de alguma forma, melhorar o esquema de segurança de um servidor? Por que?
[Kurt] De certa forma. Por pouco tempo, mas assim que desvendado é completamente inútil. Eu
certamente não me apoiaria nisso. O melhor tipo de segurança é aquele em que um agressor pode vasculhar
os detalhes e mesmo assim não causar nenhum incidente. Por exemplo trancas de portas podem ser facilmente
compradas por um arrombador e serem examinadas, mas uma boa tranca continuará imune a arrombamento por
mais experiente que seja o agressor.
(LinuxSecurity Brasil) Você já esteve no Brasil? Diante de várias reclamações e relatos de
incidentes vindos daqui, a maioria proveniente de servidores do governo, qual seria sua sugestão às
nossas autoridades para melhoria da segurança nesse aspecto?
[Kurt] Não tenho certeza. Transmitir leis de informática para punição de agressores apenas
funciona para agressores de um mesmo país, transmitir leis para tornar organizações responsáveis por seus
próprios computadores pune as "vítimas". Governantes podem no entanto patrocinar projetos de softwares
livres, por exemplo o governo alemão deu ao pessoal do GnuPG DM250,000. O governo pode exigir o uso de
softwares seguros para suas operações, o que encorajaria fornecedores a oferecerem tais soluções e
tornarem mais fácil a empresas adiquirirem tais produtos.
(LinuxSecurity Brasil) Na sua opinião, qqual deveria ser o ponto de início para qualquer novo
administrador de sistemas desejando se tornar um analista de segurança?
[Kurt] Se educar e realizar treinamentos, pagos pelo seu empregador se possívvel =). Livros como
"the process of network security" são um ótimo começo. Com o início do aprendizado Online a
SecurityPortal iniciou o InfoSecu (http://www.infosecu.com).
(LinuxSecurity Brasil) Quais são os benefícios reais do IPv6 ? Ele vem para acabar com todos os
problemas do IPv4 ? As pessoas estarão menos preocupadas com sua privacidade ?
[Kurt] Tabelas de roteamento menores (espero). A privacidade do IPv6 não é melhor do que no IPv4,
de alguma forma é até pior já que a ultima parte de seu endereço IPv6 pode ser seu endereço MAC, mesmo
que isso seja opcional. IPSec protege a privacidade entre máquinas, até um certo grau, mas teremos um
longo tempo antes de sua total implementação (precisamos de infraestrutura como DNSSEC primeiramente).
(LinuxSecurity Brasil) Finalmente, poderia me apontar ferramentas de código aberto que você
nunca dispensaria ao trabalhar com segurança?
[Kurt] OpenSSH, nmap, nessus, snort, arachnids, ITS4,...
Formatar para impressao