Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

segunda-feira, 19 de janeiro de 2009

Tendências 2009: Endpoint Protection

... Ou como proteger o usuário enquanto o deixa trabalhar?

No passado não tão distante assim a segurança do usuário final era sinônimo de um único – e leve – agente de segurança instalado: o antivirus. Mas o cenário das ameaças digitais se expandiu, e com ele o leque das tecnologias de segurança. Sobretudo por conta da mobilidade o computador do usuário final se tornou parte do perímetro da rede e portanto passou a requerer toda a parnafenália de segurança habitual dos perímetros. Traduzindo: firewall, cliente VPN, IPS, antivirus de assinatura, antivirus de comportamento, anti-spyware, proteção de aplicações e, agora, agente DLP. É muita coisa. No computador em que escrevo esse artigo, com Windows XP e apenas o MS Word aberto, 500 MB estão ocupados. Com o Windows Vista seria muito mais.

E a realidade é que muitas empresas, talvez a maioria, ainda possuem em grande escala desktops com 512MB de RAM, deixando muito pouco para as aplicações de negócio. Esse é o imblóglio que os fabricantes precisam resolver. Provavelmente não será resolvido em 2009, mas os clientes estão pressionando por algo mais eficiente, sem falar na questão do gerenciamento.

quinta-feira, 15 de janeiro de 2009

Tendências 2009: Data Loss/Leakage Prevention

Em 2008 várias empresas no Brasil se interessaram e avaliaram sistemas DLP, para prevenção da perda de vazamento de dados. Como também já comentei em outros artigos, DLP é muito mais do que sistemas de detecção de uso de informações confidenciais, porém esses sistemas são um componente essencial. Em 2009 haverá uma amadurecimento do mercado – sobretudo dos usuários – a respeito do que é essencial e do que é exagero do tema do DLP.

Um ponto que está gerando muita discussão é o dos agentes DLP nas estações de trabalho. Apesar das novas estações de trabalho estarem sendo adquiridas com 1GB de RAM ou mais, o próprio sistema operacional Windows está exigindo e consumindo boa parte dessa memória, o que nos leva ao problema comum de que instalar muito software administrativo no desktop acaba por reduzir seu desempenho para as aplicações de negócio, o que aumenta em muito o custo ao exigir mais recursos de CPU e memória. Essa discussão nos leva ao próximo ponto.

domingo, 11 de janeiro de 2009

Tendências 2009: UTM e Virtualização

A crise econômica alidada à questão ambiental está trazendo uma oportunidade para os já conhecidos sistemas UTM – Unified Threat Management, lançados há pouco mais de cinco anos e de acordo com o IDC, que cunhou o termo, irá evoluir para outra plataforma, o XTM – Extended Theat Management.

As soluções de UTM são um sucesso nas pequenas e médias empresas, além das redes distribuidas de grandes corporações, e já são comercializados pela maioria dos fabricantes. Embora com diferentes funcionalidades, todos os produtos compartilham as funções básicas de firewall, VPN, intrusion detection/prevention e antivírus. O sucesso do UTM se deve à simplificação dos processos de compra, instalação, gerenciamento e manutenção; com o efeito imediato de redução de custos. Esse sucesso está alavancando o UTM para as grandes redes, mais precisamente para o backbone das redes, sob pressão para também se tornarem mais ‘verdes’, compatíveis com o esforço do Green IT.

É nesse sentido que o IDC indica o conceito de XTM como sua evolução natural. O ambiente das redes corporativas, e sobretudo dos backbones, exigem funcionalidades antes não previstas na arquitetura dos UTM, concebidos para pequenas redes. O principal deles é performance, que necessita alcançar os 10Gbps enquanto mantém baixa latência. O IDC ainda aponta outros elementos para o XTM: gerenciamento mais completo, funcionalidades de rede como load balancing e suporte amplo a protocolos, e suporte a tecnologias de segurança mais complexas. O ano de 2009 parece portanto uma excelente oportunidade para o mercado de UTMs.

Ainda sob o guarda-chuva do Green IT temos a questão da virtualização, já comentando por mim em um artigo. A virtualização da segurança não está tão disseminada quanto o UTM e ainda há poucos fabricantes com soluções maduras no mercado, mas a maioria deles irá lançar produtos ou versões virtualizadas de seus produtos. Assim virtualização será um assunto corrente em 2009. Também será muito comentado no ano a questão da segurança em ambientes virtualizados, tema que deverá ganhar muita importância em 2010.

domingo, 4 de janeiro de 2009

Tendências para 2009

O que esperar de 2009? Finalmente chegamos a 2009! Escrevo ´finalmente´ porque muita gente queria que 2008 acabasse logo, de preferência junto com a crise financeira/econômica. Infelizmente o Ano Novo foi comemorado sob incertezas dos impactos para o mercado de TI. Há também incertezas sobre a reforma ortográfica. Não que ela tenha algum efeito sobre segurança, mas já começaram a circular os spams oferecendo guias e miraculosos corretores, que provavelmente não irão fazer nada além de instalar malware nos computadores dos desavisados.

Minhas tendências para 2009 (irei comentar uma a uma em posts futuros)
  • UTM e Virtualização
  • DLP
  • Mudanças na proteção das estações (Endpoint Protection)
  • Segurança para cloud computing

Profissionalização do Crime Digital e a Floresta Amazônica

Vale a pena ler o artigo do Greenpeace “Hackers help destroy the Amazon rainforest” (Hackers ajudam a destruir a Floresta Amazônica) no endereço http://www.greenpeace.org.uk/blog/forests/hackers-help-destroy-amazon-rainforest-20081212. De acordo com o Greenpeace, o Ministério Público do Pará está investigando a contratação de hackers para invadir e fraudar os sistemas de controle do Governo, afim de permitir a exploração ilegal de madeira na Amazônia.

Esse artigo nos remete ao tema da profissionalização do crime cibernético, ou como os grupos de hackers estão vendendo cada vez mais seus serviços. Um ótimo comentário está no blog Frequency X: http://blogs.iss.net/archive/RainforestHackers.html.

sábado, 3 de janeiro de 2009

Perguntas (talvez) incômodas

Todas as áreas do conhecimento humano possuem suas perguntas, digamos assim, incômodas ou impertinentes. Ou porque vão contra o pensamento comum (e confortável), ou porque tocam em pontos polêmicos. Não seria diferente em segurança da informação. Vejamos quatro dessas questões. Meu objetivo não é julgá-las e sim listar argumentos para que cada um construa sua opinião.

Senhas

A primeira é a respeito das senhas. Está nas boas práticas da segurança desde sempre que as senhas devem ser alteradas periodicamente, em média 90 dias. Dez em dez políticas de segurança possuem essa regra, e ninguém questiona isso. Quando perguntado o porquê, o administrador de segurança responderá que é uma boa prática para aumentar a segurança. Porém algumas pessoas começaram a se perguntar: “qual realmente o motivo de se trocar a senha a cada x dias?. Isso é ainda necessário em 2008?”

Eles argumentam que hoje em dia a quase totalidade dos sistemas exigem senhas complexas com letras, números e algarismos especiais. Os mecanismos de proteção de senha estão mais avançados e muitos usam autenticação baseada em dois fatores. Por outro lado, alguém que escreva suas senhas em um post-it abaixo do mousepad continuará fazendo, seja qual for a periodicidade de troca. Mas o ponto principal é que hoje temos que lidar com dezenas de senhas. Como nenhum ser humano tem memória inesgostável a gente acaba usando senhas semelhantes onde é possível. Como a maior parte dessas senhas necessitam ser alteradas periodicamente, a pessoa acaba por fazer alterações insignificantes em suas senhas, ou pior, escreve em algum lugar que pode ser muito mais vulnerável que a memória. Nessa visão, a prática de mudança periódica de senhas diminuiria o nível de segurança. Primeiro porque a pessoa tenderá a usar senhas mais fáceis de lembrar e alterar, e segundo porque terá que anotar essa senha em algum lugar.

Patchs

Hoje é uma prática comum os fabricantes disponibilizarem correções de segurança para os bugs em seu software. Tornou-se uma prática tão comum que alguns elegeram dias específicos para publicá-las. Además quase todos desenvolveram pequenos agentes para atualização automática, que verificam a existência de uma patch, efetuam o download e a instalam, alguns automaticamente. Os usuários se habituaram com esse método e o tratam com normalidade, e o que deveria ser uma exceção se tornou normal, como se fosse normal um fabricante soltar software com falhas graves de segurança para depois corrigir. Há ainda um agravante, muitas vezes os próprios agentes de atualização possuem bugs de segurança e servem como porta de entrada para invasores.

Ainda sobre as patchs, temos uma questão bem polêmica exemplificada pela seguinte situação: em Novembro a Microsoft emitiu um alerta e publicou uma patch para a vulnerabilidade MS08-067. Entre cinco a seis semanas depois, o ataque “conficker” tinha infectado, de acordo com a PC World, 500 mil sistemas ao redor do mundo. Ou seja, apesar da funcionalidade de atualização automática do Windows, milhares de sistemas (talvez milhões) permanecem vulneráveis mesmo que o bug seja considerado crítico. Isso está levando algumas pessoas a questionar se não seria justificável que as atualizações críticas fossem aplicadas sem conhecimento do usuário, com o argumento de que a negligência de alguns usuários está prejudicanto outros. A discussão é bem polêmica e dificilmente seria adotada por fabricantes já que invade a área da privacidade, mas é um assunto que vale a discussão.

Computadores Inseguros e o Roubo de Dados

Continuando um pouco o tópico anterior, imagine que uma pessoa tem seus dados de cartão de crédito ou bancários roubados em seu próprio computador, invadido por este estar desatualizado e vulnerável. Qual a responsabilidade do usuário e qual a do banco ou empresa de comércio eletrônico? E se esse computador fosse usado para atacar outra pessoa ou empresa? Qual a reponsabilidade do usuário que por negligência deixou seu computador vulnerável? Ou seria por desconhecimento e portanto sem culpa?

A Ética da Publicação de Vulnerabilidades

Imagine que você é um estudioso de segurança e descobre uma vulnerabilidade em algum sistema, e que essa vulnerabilidade quando explorada poderia dar acesso privilegiado aos computadores de milhões de usuários. O que você faria? (a) Enviaria a informação diretamente ao fabricante para que este providenciasse uma correção; (b) Publicaria imediatamente na Internet inclusive com o código para explorá-la; (c) Venderia a informação para alguma das empresas de segurança que compram vulnerabilidades.

Se você nunca pensou no assunto, então benvindo à discussão da ética na publicação de vulnerabilidades. De início a mais responsável parece ser a primeira opção. Você envia ao fabricante que rapidamente publica um alerta com os devidos créditos a você e desenvolve uma correção. Mas, e se o fabricante simplesmente o ignorasse? Você ainda manteria a vulnerabilidade em segredo, mesmo que milhares de usuários ficassem expostos a uma invasão?
A segunda opção é a escolhida por diversos pesquisadores independentes, sobretudo aqueles que seguem a velha máxima do hackerismo, de que a “informação deve ser livre”. Essa opção também não deixa ser uma “punição ao fabricante descuidado”, embora os verdadeiros punidos sejam os usuários inocentes. Mas enfim não há nada ilícito em publicar informações, embora seja discutível no ponto de vista da ética.

Mas a terceira é com certeza a mais polêmica, pois trata do mercado de compra e venda de vulnerabilidades. Esse mercado surgiu quando algumas empresas de segurança, sérias, começaram a pagar pesquisadores independentes de vulnerabilidades. Essas empresas sustentam que pagar pesquisadores é ético ao incentivar a pesquisa de segurança e recompensar aqueles que não desejam se associar a um determinado empregador. Por outro lado, os críticos suspeitam que grupos de crackers utilizariam esses programas para financiar suas atividades ilegais. Assim uma vulnerabilidade vendida pagaria a pesquisa de outras que seriam mantidas em segredo até serem usadas para um ataque.