junho 09, 2022

[Segurança] Vulnerabilidades e a "alegoria do balcão do McDonalds"

Recentemente, ao participar em um painel no Fórum da Internet no Brasil organizado pelo Comitê Gestor da Internet no Brasil (CGI.br), o Carlos Cabral usou uma forma muito legal para explicar o que é uma vulnerabilidade em tecnologia - isso porque ele pretendia discutir o mercado de vulnerabilidades. De forma bem didática, o Cabral associou uma exploração de vulnerabilidade a um cenário bem simples e familiar no nosso dia-a-dia: quando você vai fazer uma refeição em um restaurante de Fast Food e pede algo fora do cardápio.


Desta forma, o Cabral criou uma analogia, que ele batizou de “alegoria do balcão do McDonalds”, e compartilhou conosco:

"Imagina que a pessoa que está ali no bancão do McDonnalds, ela tem que lidar com um conjunto específico e finito de requisições, com as quais ela pode interagir, que é o cardápio. Conjunto finito e específico de requisições. E se ela receber uma requisição que não tenha nada a ver como o contexto do trabalho dela, sabe, do nada chega alguém, aparece no balcão e fala "me dá um beijo na boca", a maravilha do cérebro humano é que a gente entende o contexto. De modo que essa pessoa, ao ouvir essa requisição, ela pode falar "Olha, se liga! Eu estou trabalhando aqui no McDonalds! Olha o cardápio e pede o que está aqui". Ou ela pode falar "Me encontra daqui a 20 minutos. Eu saio, me encontra lá fora e posso te dar esse beijo na boca". Com computadores, a coisa é diferente. De modo que, se você manda uma requisição que o computador não está esperando, ele faz as coisas muito mais malucas que podem acontecer. Ele pode entregar acesso root, ou seja, acesso com privilégio administrativo na máquina. E, usando a mesma analogia, seria o mesmo que você pedir um beijo na boca para o cara do McDonalds, ele abrir a caixa registradora e te dá todo o dinheiro que tem dentro dela. Isso é uma vulnerabilidade."
OBS: eu transcrevi a fala dele literalmente, sem alterar o conteúdo.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.