Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

sexta-feira, 27 de novembro de 2009

Preocupações Militares

Há algumas semanas ouvi um oficial do Exército Brasileiro expor suas preocupações sobre o uso de sistemas de segurança de TI com tecnologia estrangeira pelas Forças Armadas. Confesso que no inicio achei excesso de preocupação, mas depois refleti que a preocupação pode não ser assim tão exagerada. Afinal estamos falando de Defesa, com "D" maiúsculo. E o oficial do nosso Exército não está sozinho. As Forças Armadas dos Estados Unidos estão preocupadas porque apenas 2% dos 3,5 bilhões dos circuitos integrados comprados anualmente para uso em equipamentos militares são americanos (caderno The New York Times da Folha de São Paulo, de 9/11/2009). O receio é que chips estrangeiros tragam embutidos cavalos de troia criados por inimigos.

Considero a resolução desse problema quase impossível. As linhas de produção de hardware e software de quase todas as empresas estão espalhadas pelo mundo, o que trouxe ganhos de escala e barateamento. Para resolver o problema governos teriam que centralizar desenvolvimento e produção no próprio país ou em países aliados, o que não seria nada fácil. Ademais, aliados hoje podem ser inimigos amanhã. Complicado!

quarta-feira, 25 de novembro de 2009

Sobre TEMPEST e a criatividade

Foi noticiado que o TSE convidou vários especialistas em segurança para um concurso cuja objetivo era testar a segurança do sistema de votação eletrônica, uma iniciativa a ser parabenizada. O mais legal foi a maneira como o ganhador, o perito Sérgio Freitas da Silva, realizou o teste que ganhou o prêmio, e que está disponível nessa matéria do IDGNow:
http://idgnow.uol.com.br/seguranca/2009/11/20/perito-quebra-sigilo-eleitoral-e-descobre-voto-de-eleitores-na-urna-eletronica/

O TEMPEST é uma das coisas mais interessantes da segurança da informação, e saber que alguém a usou, nesses tempos em que qualquer pessoa pode "se tornar hacker" ao comprar ou baixar utilitários prontos de invasão e até fazer um curso (!), é uma boa noticia. Quem não é familiar com o assunto pode consultar o Wiki, que traz um bom artigo e links para consulta: http://en.wikipedia.org/wiki/TEMPEST

O pior invasor de sistemas é o criativo, que utiliza técnicas não óbvias, mesmo que simples, e que foge do lugar comum. Um bom exemplo? A invasão do Twitter. A técnica utilizada pelo invasor foi a mais antiga que se conhece: a engenharia social, e explorou a mais antiga das vulnerabilidades: a humana. Ele fez o estrago sem que na verdade nenhum esquema de segurança tenha sido burlado, assim como nenhum sistema tenha sido tecnicamente invadido. Resumidamente (a história completa está disponível no TechCrunch), o hacker pesquisou os dados disponíveis dos funcionários do Twitter em sites de redes sociais, descobriu a senha do email pessoal de um deles para depois obter acesso aos dados da empresa, disponíveis em serviços contratados na modalidade de cloud computing. Estavam em sites de provedores e não em servidores internos. Deu bastante trabalho mas aparentemente ele tinha todo o tempo do mundo, o que, aliás, é uma lição que não podemos esquecer: hackers sempre tem todo o tempo do mundo.

segunda-feira, 16 de novembro de 2009

Hackers e a ONS

Impossível não comentar a discussão em torno do apagão, dos rumores da inteligência americana sobre blecautes antigos terem sido provocados por hackers, sobre o programa da CBS - 60 Minutes - insinuando a mesma coisa, e sobre a noticia publicada hoje na Folha de São Paulo sobre vulnerabilidades no sistema da ONS.

Trabalho há muitos anos em segurança para duvidar de tudo. Duvido quando um executivo declara que seu site é seguro assim como duvido quando alguém diz que pode invadir determinado sistema. As coisas não são assim tão simples, tão binárias! É fato que o site da ONS estava com uma baita vulnerabilidade que dava acesso a um ou mais servidores e aplicações. Mas dizer que a partir da daí alguém poderia invadir o sistema de operação é simples chute. Há muitos "se": "se as redes estiverem conectadas", "se o sistema invadido armazenar dados que permitam ...", etc etc. Somente uma avaliação criteriosa pode dizer até onde um invasor poderia chegar e o que poderia fazer. Fora isso é chute.

Mas a imagem romântica do hacker continua. Em nosso imaginário estão filmes como "Duro de Matar 4.0" ou o antigo "A Rede" (alguém se lembra?). Hackers são aqueles que conseguem tudo, feiticeiros do século 21. Pessoas que se intulam "hackers" exercem uma atração sobre as outras. Dizer que trabalha com segurança também. Há um certo romantismo em dizer que um evento como o apagão da semana passada foi obra de hackers. Imagine como será frustrante descobrir que foi incompetência de alguém ou erro operacional de algum sistema que deveria funcionar e não funcionou. Zero de glamour.

Os problemas no site da ONS também não tem nenhum glamour. Nada. Zero. Tratam-se de vulnerabilidades banais que permitem ataques manjados contra servidores de banco de dados e que seriam identificados com um teste simples, que obviamente não foi feito. Incrivel que um site tão importante tenha sido colocado no ar sem a realização de um teste, mas essa realidade é mais comum do que deveria ser. O diretor do DSIC - Raphael Mandarino - declarou à Folha de São Paulo que um servidor do governo foi invadido porque a senha do sistema era a default! Essa é a frustrante realidade do mundo da segurança da informação. Em boa parte do tempo lidamos com essas falhas banais, não com gênios da tecnologia.

segunda-feira, 9 de novembro de 2009

Next Generation Firewall

Todos sabemos que os termos em informática possuem significados diferentes de acordo com visões pessoais, principalmente aqueles relativamente novos ou ainda não amadurecidos. É o caso do “Next Generation Firewall” ou simplesmente NGFW, que anda muito em voga nos últimos tempos e merece um olhar mais próximo. Afinal de contas, o seu próximo firewall pode ser um NGFW (ou um firewall comum renomeado para “next generation”, mas aí já é outra história).

Para entender o que é um firewall de próxima geração é importante começar pelo o que seria um firewall “da geração atual”. Um firewall em seu conceito mais básico é um sistema ou dispositivo projetado para bloquear acessos não autorizados. É uma tecnologia bastante antiga, do final da década de 80, o que explica suas deficiências. Nos anos 90 a tecnologia evoluiu, em boa parte graças a CheckPoint, que criou entre outras coisas o conceito de stateful inspection, que se tornou um requisito obrigatório. Com o passar do tempo o firewall tornou-se essencial, quase onipresente, e acabou virando para leigos sinônimo de proteção de rede ou do computador.

No entanto toda a evolução não retirou do firewall sua característica e limitação essencial: tomar decisões a partir de protocolos e portas. Ao mesmo tempo as técnicas de invasão utilizadas por hackers evoluiram gerando outros sistemas de segurança complementares. O mais famoso deles foi o IDS (intrusion detecion system), que depois evoluiu para o IPS (intrusion prevention system). Não os citei por acaso. Firewall e IDS/IPS foram desde o inicio consideramos primos, tecnologias não apenas complementares como simbióticas. Não foi por acaso que na primeira metade dessa década muitos especialistas acreditaram que os produtos de firewall iriam incorporar os de detecção e até provocar sua extinção. Na época o Gartner Group chegou a anunciar o fim da detecção de intrusos como tecnologia isolada. Esse novo produto foi chamado de “deep packet inspection firewall”, ou firewall com inspeção profunda de pacotes, em uma tradução ao pé da letra. Foi a primeira versão de um NGFW.

Hoje sabemos que o “deep packet inspection firewall” não deu certo, pelo menos até agora. Por vários motivos as empresas de firewall não conseguiram integrar componentes eficientes de detecção de intrusos. Por outro lado, as empresas de detecção de intrusos, que tentaram o caminho oposto de integrar um firewall aos seus produtos, também falharam. Mas os esforços não foram em vão. Esse investimento em pesquisa foi um dos geradores da tecnologia que permitiu o UTM, os produtos de segurança multifuncionais para pequenas e médias redes. A diferença entre um UTM e um NGFW é o desempenho limitado do primeiro. O NGFW deveria, desde o inicio, ser um firewall corporativo. O resultado é que as grandes empresas em sua maioria continuam a utilizar equipamentos dedicados para firewall e IPS.

Apesar do fracasso o conceito inicial se manteve, e até hoje o conjunto firewall + IPS continua a ser a base do que as empresas e mercado chamam de NGFW. A diferença é que cada um incorpora ou sugere funcionalidades adicionais. Para o Gartner, por exemplo, o NGFW deveria incorporar, além do IPS, as funcionalidades de identificação de aplicações, integração com outras tecnologias de segurança não instalados no firewall, como filtros web, e recursos avançados de gerenciamento de políticas de acesso. Para outros não deve faltar o chamado firewall de aplicação, tecnologias especializadas para filtrar o acesso a servidores de aplicação ou banco de dados. Um fator de ajuda aos fabricantes é a evolução da capacidade de processamento do hardware e a tecnologia multicore, tanto no processamento de rede como no de aplicação, que já permite que sistemas corporativos de firewall e IPS possam ser executados no mesmo equipamento com bons resultados, embora ainda não existam exemplos de software integrados realmente eficientes. Não é a toa que melhores exemplos atuais de integração são encontrados nos produtos de blade, hardware genéricos que permitem a instalação de produtos independentes em um mesmo chassi.

É possível que com o passar do tempo a idéia evolua para algo mais abrangente, migrando do paradigma de um único produto com superpoderes para o que acabou se tornando de fato o que é NGFW hoje: sistemas diversos integrados em seu gerenciamento e monitoração por processos e/ou tecnologias. Para as empresas o mais importante é o resultado final, não importando se as diferentes camadas de proteção estão em um único produto de software, em diferentes appliances/servidores ou integrados em um grande equipamento com blades de hardware. Além disso as experiências em tentar integrar em um único produto diferentes camadas mostraram que elas não interagem entre si só porque compartilham o mesmo hardware. Pelo contrário, a maioria atua como se fossem produtos independentes. Para piorar, as consoles de gerenciamento estão muito longe de ser a soma das consoles dos produtos dedicados. Todas são limitadas.

Na hora de selecionar produtos corporativos de segurança as empresas devem focar em dois pontos: a eficiência da tecnologia em cumprir o que promete e a eficiência do gerenciamento para que a empresa aproveite os benefícios da tecnologia. É claro que há outros pontos importantes como os custos envolvidos para aquisição e operação, porém o mais importante é que o produto de segurança funcione bem em todos os aspectos, o que inclui não afetar a rede e os sistemas de negócio. Falando especificamente de firewall, deve-se escolher um firewall que faça bem a sua função primordial. Se o produto trouxer outras camadas, ainda melhor. Depois deve-se complementar o firewall com as camadas de segurança necessárias para a operação da empresa, não importando se o produto está ou não integrado ou se é ou não do mesmo fabricante. Se for, é melhor. Por fim deve-se integrá-los na camada de gerenciamento, com processos ou software se for o caso, para correlacionar eventos e gerar informação. Em outras palavras, NGFW é a solução de segurança implementada para proteção de rede que ao mesmo tempo que a protege contra diferentes tipos de ataques, fornece ao administrador de segurança informações úteis que o ajudem a identificar e mitigar ameaças. Pode ser um produto ou vários, gerenciado pela empresa ou por um prestador de serviços. A forma, na verdade, é o que menos importa, se o resultado for o que a empresa precisa.