Endereço IP como identidade é uma segurança preguiçosa
Lori MacVittie*
A Internet funciona, em grande parte, devido aos DNS. Para encaminhar solicitações e respostas pela Internet, essa estrutura de endereçamento associa um site a um endereço IP. É o DNS, em última análise, que torna a Internet usável. É provável, no entanto, que a maioria dos usuários não tenha a menor consciência da utilização dos endereços IP.
Porém, essa associação – entre uma identidade singular e um endereço IP – já está tão firmemente enraizada em nossa mente que tendemos a aplicá-la a outras áreas da tecnologia, mesmo quando isso seja ineficaz.
O mundo mudou, e exige que os endereços IP sejam vistos com novos olhos.
Antigamente, os endereços IP eram bastante fixos. As rotas eram flexíveis e a maior parte dos endereços IP permanecia onde era atribuída. Atualmente, porém, os endereços IP são como balinhas. Eles são distribuídos e trocados com mais frequência do que eu recebo SPAM.
A pesquisa Visual Networks Index (2017) mostra que, até 2021, cada usuário da América Latina deverá ter no mínimo três dispositivos conectados à Internet; embora esse seja exatamente o número previsto para a região da Ásia/Pacífico, a expectativa é que na América do Norte cada pessoa conte com 13 dispositivos conectados. A Europa Ocidental poderá ter até 9 dispositivos digitais e a Oriental, 4.
Ou seja: a nuvem transformou a rede em commodity na qual eu acesso minhas aplicações críticas de “n” dispositivos digitais. Endereços IP me pertencem somente enquanto o recurso ao qual ele havia sido atribuído estiver operante. Os dispositivos móveis também desempenharam um papel em transformar endereços IP em bytes virtualmente desprovidos de significado.
Acrescentando-se a isso a moderna casa conectada, com seu crescente número de dispositivos IoT, não há absolutamente valor algum em associar endereços IP a qualquer coisa ou pessoa específica.
A segurança tradicional, que depende de endereços IP – habitualmente, por meio de listas negras e bloqueios a sites IP suspeitos – falha diante dessa realidade.
Por isso, não nos surpreendemos quando surge um relatório que observa que a capacidade de bots malignos alterarem IPs dificulta sua identificação e seu bloqueio. Particularmente, bots que se instalaram em um dispositivo móvel.
O uso de endereços IP como base para identificação de qualquer coisa – dispositivos, bots, usuários – é preguiçoso. Ele é o dado mais simples de extrair, sim, mas também o menos confiável.
Isso não é novidade. A indústria de segurança da informação vem pregando há vários anos que as técnicas tradicionais, baseadas em assinatura, não mais nos protegerão.
A combinação disso com o uso aumentado de criptografia de ponta a ponta por tudo – incluindo malware – faz com que as opções tradicionais de segurança tenham de adivinhar se qualquer dada interação é legítima ou maliciosa. Cegadas pela criptografia, as soluções baseadas em assinatura se tornam pouco mais do que pequenas inconveniências. Sem a capacidade de inspecionar o tráfego, a segurança na via de transmissão é uma raça moribunda de tecnologia, da qual os bots zombam enquanto passam por ela a caminho de se alojarem entre os seus recursos.
Usar somente endereços IP para identificar endpoints requer esforço mínimo. Quando pareados com informações como o usuário-agente de um cabeçalho HTTP (que é informado pelo usuário e, em si mesmo, inerentemente não confiável), as melhorias no sucesso são tão pequenas que se tornam quase impossíveis de mensurar.
O uso de somente endereços IP ou assinaturas não é suficiente para proteger apps e networks contra infiltração. Análise de comportamento, desafio-resposta e inspeção profunda terão de ser usados em conjunto para discernir com clareza o que é mau e o que é bom. Trata-se de uma estratégia dinâmica e cada vez mais criativa, plenamente capaz gerenciar identidades na nuvem.
*Lori MacVittie é Evangelista Técnica da F5 Networks.