TENDÊNCIAS DO MERCADO DE SERVIÇOS DE SEGURANÇA DA INFORMAÇÃO

RESUMO
Este artigo analisa o mercado atual de serviços de segurança da informação, focando no mercado global e também no mercado brasileiro. São identificados os principais serviços oferecidos atualmente e que devem ser oferecidos nos próximos anos. As estratégias das principais empresas do setor também são analisadas.

Texto em pdf

TUNELAMENTOS NÃO CONVENCIONAIS EM TCP/IP

RESUMO
Tunelamentos permitem a comunicação entre redes ou computadores através de um protocolo de comunicação
encapsulado por outro protocolo de comunicação. Este artigo descreve algumas formas de tunelamento de tráfego
TCP/IP em protocolos não projetados para tal, analisando os problemas existentes para fazê-lo e como os exemplos
apresentados os resolvem. Os aspectos de segurança provenientes da utilização dessas formas de tunelamento,
assim como técnicas de bloqueio e detecção, também são analisadas.


ABSTRACT
Tunneling allows the communication between networks and computers using a communication protocol
encapsulated in another communication protocol. This paper describes some methods of tunneling TCP/IP traffic in
protocols that were not designed for that, analyzing the existing problems to perform it and how the presented
samples solve them. The security aspects regarding the use of these tunneling methods, as well as detecting and
blocking techniques, are also analyzed.

Artigo Completo

Vazamentos de informações e estratégias para evitá-los

(original do "Fechando as Torneiras, publicado na Security Review)


Incidentes de vazamento de informações vêm ganhando enorme destaque nos noticiários. Provavelmente influenciadas pela SB1386 do estado da Califórnia, diversas empresas divulgaram que tiveram informações pessoais de consumidores roubadas. Uma das vantagens da maior divulgação destas situações é que podemos analisá-las sob o ponto de vista de segurança para tentar identificar as causas e tentar melhorar os processos para evitá-las.

Para entender melhor um incidente de vazamento de informações, podemos dividi-los em duas etapas: o acesso à informação e o envio para fora do domínio de controle da empresa. O vazamento de informações só pode acontecer se essas duas etapas puderem ser concretizadas.

Ao analisarmos os incidentes sob a ótica da primeira etapa vamos perceber que os processos de controle de acesso das empresas não são suficientes para manter a informação protegida. Entre os pontos de falha estão:

· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que seria necessário para o desempenho de suas funções.
· Auditoria: Mecanismos de acesso às informações não contam com registros detalhados dos acessos.
· Infra-estrutura: Pessoal responsável por componentes de infra-estrutura, como Bancos de Dados, Sistemas Operacionais, Backup, etc, não passam por controles tão restritos quanto aqueles que acessam as informações pelas vias normais (aplicações).
· Segurança física: Dispositivos ou mídia contendo informações confidenciais não são devidamente protegidos quando fora do domínio de segurança da empresa.
· Armazenamento descentralizado: Informação confidencial armazenada em estações de trabalho, longe dos principais controles físicos e lógicos.
· Proximidade com o perímetro: Informações são armazenadas em pontos da rede muito próximos a redes inseguras, como a Internet.
· Senhas: Falta de cultura referente à proteção das senhas individuais pelos usuários, indo da proteção contra roubo à escolha de senhas fortes.
· Detecção: A maior parte dos acessos ilícitos não é detectada pelos sistemas de detecção de intrusos existentes.

A segunda etapa é de certa forma mais nova quanto às suas características. Quando o acesso à informação acontece por conta de sua saída do domínio de segurança essa etapa acaba sendo extremamente simples. Uma vez acessada, já não há mais como evitar que a informação escape.

Quando a informação é acessada dentro da empresa, porém, existe ainda a “missão” de tirá-la de lá. A forma como isso será feito depende não só de como foi atingida a primeira etapa, mas também de quem é o responsável pelo roubo das informações. Usuários autênticos, como funcionários mal intencionados, costumam ter uma estação de trabalho a disposição, e-mail e acesso à Internet, o que facilita muito a retirada da informação. Já ataques externos, como o de “hackers” acessando as informações pela Internet, costumam ter desafios adicionais, como o acesso limitado por firewalls e a existência de sistemas de detecção de intrusos no seu caminho. Os pontos mais comuns que permitem a conclusão dessa etapa são:

· E-mail: Falta de controle sobre o uso do e-mail pelos usuários permite que grandes volumes de informação sejam enviados para fora da empresa por este meio.
· Acesso à Internet: Falta de controle quanto aos protocolos e sites acessados pelos usuários também facilitam o vazamento de informações, como através da utilização de sistema de webmail, por exemplo.
· Mídia removível não oficial: O uso indiscriminado e sem controle de pendrives, gravadores de CD, MP3 players e outros dispositivos com alto poder de armazenamento e portabilidade também permite que grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup são exemplos freqüentes nos incidentes de vazamento de meios de armazenamento de informações usados de maneira oficial pela empresa, pois trazem um grande risco de vazamento ao serem extraviados.
· Impressão: Mesmo com grandes controles sobre os meios eletrônicos, ainda é possível retirar um volume considerável de informação em formato impresso.
· Acesso Remoto: Sistemas que permitem o acesso remoto à rede da empresa, como VPNs e acessos discados, carecem do mesmo nível de proteção e vigilância dedicado à Internet, e podem servir como canais de escoamento da informação acessada.

Uma vez identificados as principais formas de acesso e escoamento de informações, é necessário formular uma estratégia para evitar que os vazamentos aconteçam. Como podemos notar nos itens acima, há uma grande diversidade na natureza dos pontos identificados. Com isso já é possível perceber que combater vazamentos de informação não se resume a atacar apenas um deles, pois o problema pode acontecer por diversos caminhos. Algumas empresas adotam como estratégia criptografar todos os dados armazenados, porém falham na aplicação do conceito de mínimo privilégio no acesso dos usuários. O vazamento acabará por acontecer em uma camada superior, quando os dados serão utilizados, onde, é claro, não podem estar criptografados.

Seria correto, então, dizer que a única forma de evitar que os vazamentos aconteçam é através do tratamento de todos os pontos mencionados? Em parte, pois nem todos eles são pertinentes ao ambiente de todas as empresas. Logo, a definição de uma estratégia anti-vazamento passa pela análise do contexto da empresa, onde devem ser identificadas as informações que se deseja proteger, onde elas estão, por onde elas passam e quem as acessa. Com isso é possível focar esforços nos pontos que trazem maior risco, uma vez que eliminar totalmente a possibilidade de vazamentos é um objetivo que dificilmente será alcançado por um custo justificável.

A grande quantidade de incidentes têm feito com que as empresas rapidamente tomem medidas para evitá-los, baseando-se nas falhas das vítimas e nas últimas novidades do mercado. Assim, o foco das compras está em ferramentas para controle de portas USB (mirando no uso de mídias removíveis) ou de criptografia de dados armazenados. Aparentemente, poucos destes compradores estão analisando suas vulnerabilidades para definir as aquisições, mas baseando-as nas vulnerabilidades daqueles que falharam. Outro sintoma de histeria coletiva é o investimento em diversos tipos de “caixas milagrosas”, talvez em uma tentativa desesperada de mostrar um comprometimento com o assunto que até pouco tempo atrás era negligenciado. Como um dos maiores apelos de venda desses produtos é a facilidade de implementação, costumam ser voltados para a etapa de saída da informação.

De fato, focar na etapa de saída da informação tende a ser a forma mais cara de defesa contra os vazamentos de informação. Mesmo em redes muito restritas existem diversos canais de saída da informação, entre eles as mídias removíveis, protocolos não monitorados, VPNs e outros sistemas com criptografia, impressões ou redes wi-fi clandestinas. O custo das medidas de proteção contra a saída da informação, se comparado ao seu nível de eficácia, é extremamente alto.

Sendo assim, é muito importante pensarmos na etapa de acesso à informação. Não é preciso muito esforço para identificar que este é o melhor ponto de combate ao vazamento. A segunda etapa não acontece sem que a primeira tenha acontecido. Além disso, para cada primeira etapa bem sucedida há diversas formas de se obter sucesso na segunda etapa. Atuar na primeira etapa nos permite focar em menos situações e trabalhar com menos variáveis.

Outra consideração importante é que os dados resultantes da monitoração de acessos às informações permitem a tomada de ações preventivas, ao contrário da monitoração da segunda etapa, que seria útil apenas em processo posterior de identificação de culpados. A detecção de uma mudança no padrão de acesso a informações de um usuário pode levar a identificação de uma ação de coleta de informações, que posteriormente serão enviadas para fora da empresa. O estudo dos acessos concedidos pode apontar grandes exposições de informações a uma única entidade. Diversos processos de controle trarão benefícios concretos por um custo muito menor do que aquele das ferramentas que tentam evitar a saída da informação.

Não devemos concluir que investir em proteção contra a saída da informação é errado, mas é importante, ao definirmos a estratégia de defesa contra vazamentos, sabermos que o controle visando esse ponto é mais caro e menos efetivo que aquele que visa o acesso à informação. Controlar ou mesmo restringir o uso de mídia removível traz outros benefícios além de evitar vazamentos, e a soma dos benefícios pode fazer com que esta medida tenha um bom retorno.

Um outro fator constantemente ignorado é o fator humano. Quase todos os incidentes de vazamento tem um componente de negligência humana. Uma das medidas mais eficazes para deter vazamentos é fazer com que as pessoas tenham noção do valor da informação com que estão trabalhando. São raras, por exemplo, as situações onde o envio de informações confidenciais por e-mail é mal intencionado. O usuário, na grande maioria das vezes, só está tentando fazer o seu trabalho. Se não houver ferramentas disponíveis para o usuário desempenhar seu trabalho de forma segura, ele fará de forma insegura. Segurança da Informação é um objetivo secundário para o usuário comum. Se não for simples de atendê-lo, ele não o fará.

Tendo em vista todos esses aspectos, uma estratégia de prevenção contra vazamentos de informação deve ser composta por:

· Mapeamento: Quais são e onde estão as informações confidenciais. Por onde e como elas trafegam? Quem as acessa? O nível de acesso dado é realmente necessário?
· Controle de Acesso: Baseado no processo de mapeamento, definição dos acessos permitidos por cada grupo de usuários, assim como os processo para solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das decisões tomadas nesta etapa.
· Controle de acessos alternativos: Definição de processos e formas de controle dos acessos alternativos à informação, como o acesso direto às bases de dados, arquivos, etc. A segregação de funções e auditoria de atividades são fundamentais para evitar problemas com esses acessos.
· Treinamento: As pessoas devem conhecer o perigo do vazamento de informações. Muitos responsáveis por vazamentos o fazem inadvertidamente, sem saber a importância da informação com que lidam e os reais perigos de suas ações, como redirecionar o e-mail corporativo para o e-mail pessoal durante períodos de férias, por exemplo.
· Controle de meios de saída: Apesar de mais caros, os controles sobre os meios de saída da informação tem seu valor e podem desencorajar tentativas de vazamento, pois trazem uma maior sensação de controle sobre o ambiente para as pessoas que o utilizam.
· Detecção: Muitas situações de vazamento podem ser detectadas antes de consumadas. Mesmo aquelas com sucesso podem ter os impactos minimizados por conta de uma detecção prematura seguida de ações imediatas. Como muitos casos são provenientes de usuários com acessos legítimos às informações, convém utilizar métodos estatísticos e que visem a identificação de desvios de comportamento (mais de um determinado número de consultas a dados de clientes por dia, por exemplo).
· Resposta: No caso do pior acontecer, a empresa deve ter procedimentos definidos de resposta, que vão desde a comunicação com os prejudicados pelo vazamento até o acionamento das autoridades e coleta de evidências.


É muito importante que o combate aos vazamentos não fique restrito a apenas uma das ações acima. Como vimos, o vazamento pode ser resultado da deficiência em uma série de controles, e a concentração em apenas um deles provavelmente não trará os resultados desejados. Não é possível reunir todas as ações necessárias para evitá-los em um único produto tecnológico. Além disso, uma ação diversificada tem maior visibilidade, podendo ser ainda melhor para demonstrar o comprometimento da empresa do que através do uso de caixinhas mágicas. Como quase todo problema de TI (se é que podemos dizer que isso é um problema de TI), existem muitas promessas de solução simples e única, mas apenas com a tríade de Pessoas, Processos e Tecnologia é possível obter bons resultados enquanto se maximiza a relação de custo/benefício.

Fechando as Torneiras

(Security Review, número 3, ano I)

Os incidentes de vazamento de informações vêm ganhando enorme destaque nos noticiários. Influenciadas pela SB1386, da Califórnia (EUA), várias empresas divulgaram que informações de consumidores foram roubadas. Uma das vantagens dessa divulgação é que podemos analisá-los sob o aspecto de segurança, identificar as causas e tentar melhorar os processos para evitá-los.

O vazamento de informações pode ser dividido em duas etapas: o acesso à informação e o envio para fora da empresa. No entanto, ele só pode acontecer se essas duas etapas forem concretizadas. Entre os pontos de falha que levam ao sucesso da primeira etapa estão:

· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que precisam.
· Infra-estrutura: Responsáveis pela infra-estrutura, como sistemas operacionais e backup, não passam por controles tão restritos quanto aqueles que acessam as informações pelas aplicações.
· Segurança física: Dispositivos contendo informações confidenciais não são devidamente protegidos quando estão fora da empresa.
· Armazenamento descentralizado: Informação armazenada em estações de trabalho, sem controles físicos e lógicos.
· Detecção: Acessos ilícitos não são detectados pelos sistemas de detecção de intrusos.

A segunda etapa é, de certa forma, mais nova quanto às suas características. Dentro da empresa, os usuários costumam ter e-mail e acesso à Internet, o que facilita o processo. Já ataques externos enfrentam desafios adicionais, como firewalls e sistemas de detecção de intrusos. Quando a informação já está fora da empresa, essa etapa acaba sendo mais simples. Entre as falhas que permitem a conclusão dessa fase estão:

· E-mail e acesso à Internet: Falta de controle no uso do e-mail e dos protocolos e sites acessados, como sites de webmail externos.
· Mídia removível não oficial: Pendrives, MP3 players e discos externos permitem que grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup podem ser extraviados.
· Impressão: Quem controla o que é impresso pelos usuários?
· Acesso Remoto: VPNs e acessos discados podem servir como canais de escoamento de informação.

Uma vez identificadas as formas de acesso e escoamento, é necessário formular uma estratégia para evitar os vazamentos. Para combatê-los, não basta atacar um ponto, pois eles podem acontecer por vários caminhos. Não adianta criptografar dados armazenados e não aplicar o mínimo privilégio no acesso dos usuários. Mesmo em redes muito restritas existem diversos canais de saída de informação, como mídias removíveis, VPNs, redes wi-fi e impressões. O custo/benefício das medidas de proteção é extremamente alto.

Focar nessa etapa tende a ser a forma mais cara de defesa contra os vazamentos.
O Acesso à informação é o melhor ponto de combate ao vazamento, pois a segunda etapa não acontece sem que ele tenha ocorrido. Estudar os acessos concedidos pode apontar grandes exposições de informações a um único usuário. Processos de controle trarão benefícios por um custo muito menor do ferramentas que focam a saída da informação. Investir em proteção contra a saída da informação não é errado, mas é a abordagem mais cara e menos efetiva.

Outro fator constantemente ignorado é o humano. Quase todos os vazamentos têm um componente de negligência humana. É importante fazer com que as pessoas tenham noção do valor da informação com que estão trabalhando. São raras, por exemplo, as situações em que o envio de informações confidenciais por e-mail sem proteção é mal- intencionado. Se não houver ferramentas disponíveis para o usuário trabalhar de forma segura, ele fará de forma insegura. Segurança é um objetivo secundário para o usuário comum. Se não for simples, ele não faz.

Uma estratégia de prevenção contra vazamentos de informação deve iniciar com o mapeamento das informações confidenciais. Por onde e como elas trafegam? Quem as acessa? O nível de acesso dado é realmente necessário? É preciso definir os acessos permitidos para cada grupo de usuários, assim como os processos para solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das decisões. A monitoração dos acessos também faz parte do processo e não pode ser deixada de lado.

A conscientização e o treinamento dos usuários também devem ser parte integrante da estratégia. Muitos responsáveis por vazamentos o fazem inadvertidamente, sem saber a importância da informação ou os riscos de suas ações, como redirecionar o e-mail da empresa para o e-mail pessoal durante períodos de férias, por exemplo.

Apesar de mais caros, os controles sobre os meios de saída da informação têm seu valor e podem desencorajar tentativas de vazamento, pois trazem uma maior sensação de controle sobre o ambiente.

No caso do pior acontecer, a empresa deve tomar medidas que vão desde a comunicação com os prejudicados pelo vazamento até o acionamento das autoridades e coleta de evidências para investigações. É muito importante que o combate aos vazamentos não fique restrito a apenas uma ação ou a um produto milagroso.

Como começar um trabalho de segurança?

A espinha dorsal de um bom trabalho de segurança com certeza é a análise de risco. Sem ela, corremos o risco de tratar aquilo que é menos importante. Porém, não é sempre que podemos começar por ela. O mundo não para, esperando que tenhamos nossa análise pronta dizendo "o crítico é isso!". Além disso, há outros pontos, como imagem, política, etc, que contam no momento de escolher as primeiras ações. Eu pessoalmente vejo um misto de ações "p/ a torcida", com o intuito de ajudar na imagem da área de segurança (é importante!) e de ações emergenciais, como instalação de patches críticos ou até mesmo alteração de uma senha aqui ou acolá.


Depois, ou melhor, em paralelo, inicia-se um trabalho de entendimento da empresa. O que ela faz? P/ onde ela quer ir? O que a ameaça, em termos de negócio? Quais seus principais processos (por cima!)? Como é a tecnologia que apóia tudo isso? Quem são as pessoas e funções chave? Com isso é possível, para o bom consultor de segurança, identificar os pontos mais perigosos. O trabalho pode usar como base alguma norma de
cálculo de risco, como a NIST 800-30. Sendo simplista:


RISCO = VULN x IMPACTO


Aonde o VULN seria a probabilidade de uma ameaça se concretizar através da exploração de uma vulnerabilidade. Vejam que falamos de ameaça, e um bom pedaço de dessa informação vêm do negócio.


Tomemos bancos como exemplo. Se estivermos pensando na ameaça de fraude por parte de desenvolvedores internos, por exemplo. O quanto que isso é comum? Há casos aonde isso acontece no mercado financeiro? Em termos de fraude financeira, qual a facilidade do cara fazer isso? Acho que são informações que só sairão de uma conversa com pessoas de negócio (estou incluindo operações), habilmente conduzida por um bom consultor
de segurança.


O IMPACTO é outro componente simples se não houvesse o problema de processos e sistemas interligados. Há também as diversas variantes quanto ao aspecto de segurança atingido (C, I, A). A pessoa de negócio pode enxergar o impacto do comprometimento da confidencialidade (é o que mais simples de ver), mas será que ele consegue pensar nos
impactos referentes à integridade e disponibilidade sem a ajuda de um profissional? Tentar simplificar isso com classificações acaba levando a classificações demasiadamente complexas, o que sabemos que não funciona.


E quanto aos controles de COBIT, COSO, ISO17799, etc? Por que não devo simplesmente aplicá-los, se é isso que todas as palestras por aí dizem??


Por que não é só isso! Aquilo tudo são processos e ferramentas para trabalhar a maturidade da segurança, mas não é o principal, e principalmente, não é começo, como muita gente está pensando. Eu sou do time que não acredita em checklists mágicos. Se eles existissem, com certeza teríamos a super-norma que resolveria os problemas de segurança de todo mundo. Que pena (ou que sorte p/ nós!) que não é assim.


Em TI existe o papel do Analista de Sistemas, ou Business Analyst ou sei-lá-que-nome, aquele cara que entende os requisitos do negócio e passa p/ a fábrica de software desenvolver em uma linguagem já uniforme e padronizada. Se uma tarefa como construção de software ainda requer uma pessoa com essa inteligência, por que não seria
necessário ter o mesmo papel quando o assunto é segurança? O que torna os requisitos de segurança tão diferentes a ponto de que podem ser entendidos de maneira mais simples que um requisito de software?


A abordagem atual em construção de software é que o analista saiba a linguagem do negócio, pois ele vai captar melhor os requisitos. A pessoa que vai usar o software não precisa fazer se o que ele quer é um combo box ou um text box, o analista entende a necessidade. Já tentaram simplificar bastante esse processo, há várias ferramentas,
mas ninguém tentou retirar a inteligência (como vivem tentando fazer em segurança!).


A segurança não pode ser tão pretensiosa a ponto de acreditar que vai "pasteurizar" todos os negócios para receber os requisitos sempre da mesma forma e bem definidos. O negócio não faz isso com outras disciplinas, e não vai fazer conosco. Ele existe por si próprio. Nós não. Nós existimos por causa dele. Aí está a resposta de porque devemos ir até ele, e não o contrário.

Repensando a detecção de intrusos

A implantação de sistemas de detecção de intrusos enfrenta hoje uma série de dúvidas quanto a sua validade como ferramenta de segurança. Um estudo do Gartner Group diz que até 2005 os IDS estarão obsoletos e as implementações atuais falharam em sua missão de auxiliar no processo de segurança corporativa. Diante disso, que estratégia uma empresa deve adotar com relação a isso? Para respondermos a esta pergunta, vamos identificar antes o que há de errado com os IDSes atuais.


Mais uma vez, o mercado deixou-se levar pelo avanço tecnológico e dirigiu seu foco para a tecnologia. É um erro comum no mundo de hoje e já o vimos acontecer diversas vezes na fase de descobrimento da Internet pelo mundo dos negócios. Hoje se instalam IDSes que identificam pacotes e conexões com assinaturas de ataques, mas que não verificam se as regras ou processos de negócio estão sendo seguidos. Por que isso acontece? Porque para que isso fosse possível o ambiente em questão deveria ser amplamente analisado antes da instalação das ferramentas, tornando sua venda mais complexa. De fato, a implantação de um IDS deveria ser semelhante à implantação de um sistema de ERP, apoiada em um amplo trabalho prévio de análise e customização. Este modelo, porém, não ajuda muito na venda da ferramenta, sendo substituído pelos fornecedores de IDS pela idéia de produto "plug and play". Como deveria ser, então, este trabalho de análise e customização?


Inicialmente deve-se passar a analisar as aplicações utilizadas, assim como os grupos de usuários de cada uma. Para cada aplicação são verificados os protocolos utilizados e os recursos disponíveis para identificação do usuário e de suas ações. Essas informações podem ser obtidas de diversas formas e com diferentes níveis de detalhes, de diversas fontes. Fontes típicas para tais informações são logs de aplicativos e sistemas operacionais. Os famosos IDSes podem então ser aplicados nos pontos onde faltam tais informações. As informações a serem capturadas devem ajudar na pergunta básica de quem está realizando quais ações com quais informações. Estes dados serão consolidados com os dados provenientes dos logs e analisados por um sistema único. Este sistema deve trabalhar com uma base única de regras, que refletem a forma como as pessoas trabalham.


O trabalho de criação das regras de análise é complexo, mas pode ser simplificado se for conduzido em conjunto com a análise inicial das aplicações. Sendo assim, ao final desse longo estudo inicial, tem-se em mãos a informação necessária para se implementar o sistema. O sistema do qual estamos falando pode levar à necessidade de alteração de aplicações ou configurações. Depois desta etapa, o sistema passa para a fase de funcionamento.


Os próximos passos, independente da forma como se chegou ao funcionamento, são frequentemente negligenciados. Um IDS em funcionamento sem processos de suporte não tem muita utilidade. Os processos básicos que devem existir para garantir o valor da implementação são os processos de monitoração, resposta e manutenção. Estes processos são necessários até mesmo em casos de implementações comuns, não relacionadas com os métodos aqui apresentados. Os processos podem ser automatizados, mas fazê-lo totalmente invariavelmente traz maus resultados, pois se retira a inteligência do sistema.


O processo de monitoração é aquele que pode ser mais automatizado. Sua função básica é levar os eventos detectados como suspeitos ao processo de resposta. A vantagem de se automatizar a monitoração é minimizar a necessidade de se manter pessoas realizando a função 24x7.


O processo de resposta pode incluir ações automáticas para eventos cuja possibilidade de serem falsos (índice de falsos positivos) seja próxima de zero. Respostas automáticas também devem ser simples e sem risco de causar mais problemas que o evento detectado. Para os outros casos é importante ter responsáveis designados e treinados, no que se convém chamar de Time de Resposta a Incidentes. Em sistemas mais complexos pode ser necessária a existência de uma equipe que trata os eventos gerados antes de acionar o CSIRT, o que na prática torna-se uma equipe de monitoração. Essas equipes são extremamente importantes para a materialização do valor do sistema, sendo a falha em sua implementação o principal motivo da falta de resultados no uso de IDSes.


O último processo, o de manutenção, raramente é implementado ou é implementado de forma limitada, normalmente de forma automática, como sistemas de atualização de bases de assinaturas. Este processo visa permitir ao IDS conhecer novos tipos de ataques, que surgem constantemente. No caso de sistemas construídos da forma aqui mencionada, a necessidade é diferente. Não é necessário conhecer novos ataques, mas sim novos usos válidos da rede e das aplicações. Para isso deve haver alguém capaz de identificar e tratar tais situações, acompanhando a rede e o sistema de forma contínua. A existência desta pessoa ou equipe é um dos principais diferenciais dessa forma de implementação de IDSes. Como forma de redução de custos essas pessoas podem ser as mesmas envolvidas nos outros processos, formando uma equipe de detecção de intrusos.


A implementação seguindo essa filosofia com certeza se apresentará mais cara em um estudo inicial. O retorno do investimento (se é que podemos definir os benefícios como retorno de investimento) contudo, será muito maior. As implementações tradicionais já demonstraram pouco valor em termos de segurança agregada. Um sistema baseado em processos e com foco não nos ataques conhecidos e utilizados apenas por “script kiddies” mas sim em tentativas de violação de políticas de uso e desvios de conduta tende a trazer informações mais interessantes. O processo de segurança, que inclui medidas para prevenção e combate à ataques, passa a ser completo com um sistema que adiciona ao quadro medidas eficientes de detecção e resposta.

Ferramentas úteis, mas pouco conhecidas

A quantidade de profissionais especializados em segurança da informação vem crescendo no mundo todo, podendo ser encontrados em diversas empresas de médio e grande porte. A existência de uma área de segurança é cada vez mais comum e profissionais especializados vem ajudando as empresas a reduzir os riscos inerentes a roubo, alteração e destruição de informações confidenciais. Muitos desses profissionais, entretanto, ainda sofrem na avaliação de ferramentas de segurança ou mesmo das características de segurança de outras ferramentas de TI.

Um dos pontos que traz mais dificuldade aos profissionais são os sistemas de criptografia e certificação digital. A grande quantidade de aspectos a serem avaliados acaba confundindo até mesmo quem é especialista em segurança. Algoritmos e tamanhos de chaves são alguns dos aspectos que freqüentemente são levantados, mas não são tudo o que é necessário saber sobre um sistema de criptografia. Apesar de muitos acreditarem ser um tema ao alcance apenas dos matemáticos, os principais aspectos da criptografia e da certificação digital estão ao alcance de qualquer profissional, e na grande maioria dos casos são suficientes para as avaliações mais comuns. Cursos que auxiliam na formação de profissionais de segurança já começam a colocar em seus currículos este conteúdo, como no caso da Pós-graduação em Segurança da Informação do IBTA – Instituto Brasileiro de Tecnologia Avançada – que conta com uma disciplina dedicada ao assunto.

Uma falha comum nas avaliações aparece por conta da forte propaganda de produtos que utilizam criptografia em torno do tamanho das chaves utilizadas. É comum encontrar afirmações que dizem que dado produto é seguro porque utiliza chaves de “tantos” bits. É comum ver pessoas fazendo comparações de tamanhos de chaves de algoritmos que funcionam sob conceitos distintos, chegando a conclusões inadequadas. Os algoritmos simétricos mais usados hoje, por exemplo, utilizam chaves entre 128 e 256 bits. Algoritmos assimétricos utilizam chaves de até 4096 bits, e não podem ser considerados mais seguros por conta disso. O que cada um destes sistemas faz, qual o significado do tamanho dessas chaves e quando deve ser utilizado um ou outro são algumas das questões que o profissional deve saber na hora de avaliar as características de criptografia de um produto.

Como quaisquer outras ferramentas, a criptografia e a certificação digital ajudam a resolver problemas específicos. Mais importante do que saber o que estas ferramentas podem fazer é saber o que elas não podem fazer. A certificação digital, apesar de sua sólida base em criptografia, depende de uma série de processos que são tão ou mais importantes que o tamanho das chaves e qualidade dos algoritmos utilizados. São processos que visam reduzir riscos que não podem ser mitigados pela criptografia. Um dos maiores especialistas na área, Bruce Schneier, diz que “se você acha que criptografia vai resolver o seu problema ou você não conhece seu problema ou não conhece criptografia”. Com esta visão e com o conhecimento necessário o profissional de segurança pode avaliar corretamente como a criptografia e a certificação digital são utilizadas em cada caso, podendo obter o que as ferramentas oferecem de melhor.

Profissionalismo em Segurança da Informação: Existe?

O mercado de Segurança da Informação (SI) é sujo. Apesar de fazer parte dele, é a triste conclusão que podemos chegar ao analisar os fatos. Se compararmos algumas coisas que acontecem no mundo de SI com outros mercados e realidades, vamos ver o quão absurdas elas são. Em tempos onde estamos preocupados em convencer os executivos a investir mais em segurança, talvez seja a hora de olharmos para nós mesmos e verificar se realmente parecemos ser sérios o suficiente para merecer este investimento.

O problema começa com o “quem”. Definimos uma figura, o “hacker”, que mais parece um personagem de filme americano. É aquele cara com QI monstruoso, incompreendido, com tantos conhecimentos em informática que é capaz de fazer coisas que ninguém imaginaria que é possível. Suas habilidades são comparadas às de um grande mago, e nada podemos fazer contra ele. Podemos sim! Podemos contratá-lo para que ele nos proteja de seus ex-colegas, conhecidos de um submundo que poucos sabem a entrada ou mesmo conhecem sua existência, como aqueles esgotos de cidades antigas onde ficam os esconderijos dos vilões das histórias em quadrinhos. Com um “hacker do bem”, estaremos protegidos do “underground”.

Será que é por aí? É muito bonito descrever tudo isso dessa forma, mas todo esse romantismo está muito longe da realidade. Sabemos que não há mágica em TI, e se uma coisa não é possível para um, não é possível para ninguém. São máquinas, e comportam-se como tais. É claro que um maior conhecimento faz com que o indivíduo conheça mais as possibilidades, mas não passa daí. Alguém conhece uma mágica que faz com que um chaveiro abra qualquer fechadura, independente do tipo? Quanto melhor o chaveiro, maior a possibilidade de ele conhecer um método de fazê-lo, mas não é mágica. É comum encontrar afirmações de que “hackers” entram em qualquer sistema, não importa o quão seguro seja. Sim e não. Não vivemos em “Matrix”, e não podemos mudar as leis da física. Retire um computador de qualquer rede. Por mais hábil que seja o “hacker” ele não vai invadir aquele sistema pela Internet. Se o computador não está ligado em rede ele vai ter que ir pessoalmente até lá. Não há “poder hacker” que mude isso.

Mas ainda assim há quem fique tranquilo em contratar um “hacker” para fazer sua segurança. Afinal de contas, ele aprendeu como fazer o mal, logo deve saber como evitá-lo. Porém, em outros casos isso não é verdade. Nesse também não. Faz sentido colocar a polícia nas mãos de um ex-traficante para combater o tráfico? Faz sentido colocar um ex-terrorista para combater o terror? Um mal pagador para avaliar pedidos de empréstimo? Não, não faz sentido algum. E por que faria com o “hacker”? O conhecimento para evitar um mal nem sempre é o mesmo necessário para fazê-lo (tirar a vida é muito mais simples do que salvá-la, por exemplo!). Em um escopo extremamente técnico o conhecimento pode até ser semelhante ou o mesmo, mas não é necessário ter feito um para poder fazer o outro. Se não bastasse, a ética é frequentemente esquecida. E não só a ética, mas também a formação da pessoa como profissional. A formação ética e moral para trabalhar em um ambiente profissional não é necessária para um garoto que invade sistemas como passatempo. Por mais que ele tenha os conhecimentos técnicos necessários, não deve ser uma pessoa indicada para proteger uma empresa. Muitos seguiram por este caminho e encontraram problemas graves de relacionamento profissional com essas pessoas.

Perpetuamos o problema ao continuar criando uma aura de magia e mistério sobre eles. Não há nada de espetacular. O “fenômeno hacker”, aquele que fala de jovens capazes de invadir qualquer sistema com suas habilidades quase sobrenaturais e que se reúnem em salas de chat secretas do “submundo”, não passa na realidade de jovens com um passatempo discutível em termos éticos. Felizmente alguns, no processo de amadurecimento, percebem o que estão fazendo e acabam no futuro se tornando profissionais de segurança. A maioria, porém, vê isso apenas como um passatempo e uma maneira de contar vantagem em uma roda de amigos. “Sou hacker”, adoram dizer. O curioso é que para entrar em tais grupos basta demonstrar conhecimento técnico, “atitude” (gírias típicas, “currículo” de invasões, etc) e ter um pseudônimo original. É extremamente preocupante ver que alguns deles, ao tentar passar para o “lado do bem”, mantém seus pseudônimos com orgulho, esquecendo que a transparência é o comportamento mais adequado para o mundo profissional. Profissionais que tem medo de usar o próprio nome em suas ações e declarações não são confiáveis.

Talvez como reflexo da origem dos profissionais, outros problemas acabam aparecendo no nosso mundo que contribuem ainda mais para manchar nossa reputação. A divulgação de vulnerabilidades é um deles. Ninguém discorda da necessidade de pesquisar e encontrar vulnerabilidades nos sistemas que utilizamos, pois assim com nós podemos fazê-lo, aqueles que pretendem explorar tais vulnerabilidades também podem. Como fazer essa divulgação, entretanto, de maneira que esta ação não contribua para aumentar o problema advindo da vulnerabilidade? Em um tempo onde os fornecedores de software preferiam negar e existência das vulnerabilidades a disponibilizar uma correção, até fazia sentido fazer uma divulgação aberta das descobertas. O conhecimento público forçava a empresa a corrigir a falha, pois seus clientes passariam a saber que estavam vulneráveis. Com o tempo, porém, a postura das empresas mudou. Hoje é raro encontrar uma empresa que tente negar a existência de uma vulnerabilidade. Sendo assim, não é mais necessário abrir a falha ao público logo de início. Ao informar antes o responsável dá-se a chance de que uma correção seja criada antes da falha ser conhecida pelo público. A chance de ataques acontecerem antes da falha ser corrigida diminui. Em caso de falha no site de uma empresa, e não em software, a postura de divulgação pública torna-se ainda mais incorreta. Informar apenas a empresa cujo site precisa ser corrigido permite a ela que efetue a correção sem aumentar o risco de potenciais invasores conhecerem o problema. É claro que ainda vão existir casos onde a empresa responsável por corrigir a falha fará pouco caso do problema, tornando necessária uma pressão maior, talvez através de uma divulgação aberta. Hoje esse comportamento está cada vez menos comum, permitindo aos pesquisadores adotar uma forma de divulgação mais adequada. Não é mais necessário “plantar o terror”. Algumas das maiores pesquisadoras de vulnerabilidades já adotaram tal prática, como eEye, @stake, ISS e outras.
Apesar da postura profissional ser clara nesse sentido, há ainda uma cultura no meio que acaba atrapalhando a adoção de práticas assim. Muitos profissionais são pessoas engajadas em projetos de software livre. Com isso, acabam demonstrando uma certa indignação com empresas cujo objetivo é vender aquilo que eles acreditam que deve ser aberto e livre. A Microsoft, por dominar o mercado de sistemas operacionais, é quem mais sofre com isso. É claro que o histórico de falhas em seus produtos acaba trazendo uma resistência natural por parte dos profissionais, mas o comportamento acaba tendendo para o infantil, com atitudes como “se é falha no Windows vamos divulgar para todo mundo, para que vejam o quanto a Microsoft é má e não se importa com segurança”. O nível de necessidade de segurança para sistemas operacionais de PCs cresceu muito nos últimos anos, e é natural que a empresa tenha dificuldades em adaptar seus produtos. Birra e guerrilha, porém, não são os comportamentos mais indicados para aqueles que tem a missão de proteger. Recomendar outros produtos, sim. Sabotar o uso de produtos Microsoft por simples antipatia, não parece profissional.

Mesmo sem preconceito quanto a produtos, ainda erramos ao fazer o trabalho de conscientização dos executivos. Ainda é comum ver profissionais trabalhando exclusivamente em cima de FUD (Fear, Uncertainty and Doubt), ou seja, medo. Toda vulnerabilidade então é apresentada como “crítica”, podendo causar danos enormes e imensuráveis. Mostra-se tudo de ruim que pode acontecer, sempre com um certo capricho nos exageros, mas sem oferecer subsídios para o executivo tomar decisões. Ao querer corrigir tudo, acabam tentando mostrar que tudo é crítico e indispensável. Com o passar do tempo o executivo descobre que aquilo não era tão crítico, e acaba assumindo que o pessoal de SI só exagera e que não é preciso investir naquilo. Um tiro no pé. Precisamos passar a trabalhar em cima de riscos, se não totalmente mensuráveis, pelo menos passiveis de priorização. Análises de vulnerabilidades são interessantes, mas devemos ser sinceros quando nos pedem para apontar o risco de cada ponto.

O escopo de atuação é o último ponto que deve ser discutido, mas não o menos importante. SI é um assunto amplo e que deve ser tratado em diversas frentes. É raro também encontrar profissionais que conheçam o campo de maneira ampla. Alguns profissionais, além de desconhecer os pontos diversos de sua área de atuação, também pregam que não são importantes e não devem ser tratados. Profissionais mais técnicos dizem que não é necessário criar políticas, conscientizar usuários e analisar processos, enquanto profissionais de escopo mais gerencial acabam dando pouca atenção a detalhes técnicos que encobrem grandes riscos. É preciso que todos aceitem a importância das diversas frentes de atuação, permitindo às empresas conhecer todos os problemas de maneira imparcial.

Nenhuma área de atuação profissional é composta apenas de profissionais e empresas de comportamento exemplar. Porém, todos devem ter como objetivo chegar o mais próximo possível disso. Quando falamos de segurança (não SI) e justiça, há promiscuidade com o mundo do crime, mas o objetivo e o ideal de todos é que isso não aconteça. Estamos um passo atrás, onde ainda é necessário definir o que é e o que não é aceitável. Assim que conseguirmos refinar os padrões de comportamento ético de nossa área de atuação, seremos encarados com mais seriedade por parte dos executivos e aí sim poderemos usufruir o crescimento sempre previsto para a área de SI.