Consolidação vs Segmentação

Hoje, apesar do atraso, respondo ao comentário de meu post do dia 9 de novembro, sobre Next Generation Firewalls. A pergunta foi "como tem evoluido a posicao das empresas em relacao a consolidacao de dispositivos de seguranca, no que diz respeito a famosa "separacao fisica"? Jah eh viavel termos um mesmo chassi implementando - de forma virtualizada - varias camadas de firewalls (externa, DMZ, interna) sem o pessoal de Seguranca ter um ataque cardiaco? "

O que tenho observado é que sim, muitas empresas estão encarando a consolidação/virtualização de firewalls com  naturalidade e, devido ao tema da TI Verde, a virtualização da segurança vem crescendo, mas não ainda no Brasil. Conheço empresas de diferentes segmentos no exterior, como um banco global, algumas empresas de telefonia e vários datacenters que já adotaram firewalls virtualizados, consolidados em um único chassis. Mas vamos por partes.

Segmentar será sempre mais seguro que virtualizar. Diferentes equipamentos permitem um nível de segurança maior que um equipamentos com múltiplas instâncias. Mas há dois fatores que contribuiram para a adoção da consolidação/virtualização:

1. Os produtos de consolidação e virtualização evoluiram e fornecem um nível de segurança muito próximo ao dos equipamentos individualizados;
2. Consolidar/virtualizar reduz custos, o que hoje é uma necessidade. Não é um cenário aceitável para um executivo que os servidores cada vez mais se concentrem enquanto os de segurança continuam individualizados. No exterior até que cunhou um termo para isso: "appliance sprawl", ou proliferação de appliances.

Alguns casos ilustram o que é isso. Um datacenter em um país na América Latina decidiu substituir 200 pequenos appliances de firewall por um único chassi com virtualização de firewall. É claro que um firewall individual por cliente dá mais segurança, mas como, nos dias de hoje, justificar 200 appliances utilizando muito espaço (200 u de rack), 200 patch cables, 200 portas de switch, etc? É claro que a empresa não migraria se o software e o hardware para virtualização de firewall não fossem maduros. Então ai está a questão: as grandes empresas terão que mais cedo ou mais tarde migrar para a virtualização, amparados por soluções mais robustas e maduras. O pessoal da Segurança terá que se adaptar, não tem jeito, procurando meios de implementá-la da forma mais confiável. E a indústria de segurança terá que fornecer as soluções, confiáveis, robustas e maduras.

Um pouco mais sobre TEMPEST

Conforme escrevi em outro post, TEMPEST é para mim uma das coisas mais fascinantes da segurança da informação. Há vários relatos sobre as origens das pesquisas em emissões eletromagnéticas no século passado, o que depois se tornou o que hoje conhecemos como TEMPEST, embora este seja um nome exclusivamente norte-americano. Outros países não utilizam a mesma terminologia. Conta-se que na Primeira Guerra Mundial os alemães fincavam estacas no chão para ouvir as conversas dos inimigos, já que estes usavam somente um fio de telefone para comunicar-se, e o retorno dos telefones ia pela terra.

Uma das histórias, contada em um relatório da NSA (Network Security Agency) relata que durante a Segunda Guerra Mundial um pesquisador da Bell Labs realizava testes em um equipamento de criptografia quando, por acidente, percebeu que cada vez que uma tecla era pressionada no equipamento, uma alteração era registrada em um osciloscópio distante alguns metros. Ao analisar o aparelho, para seu espanto, percebeu que poderia entender o que foi digitado, em texto claro, sem criptografia. O exército americano reagiu de forma "burocrática". Como pesquisadores da Bell Labs conseguiram reproduzir o problema em até 25 metros de distância, determinou-se uma área de segurança de 30 m ao redor dos centros de criptografia. A preocupação dos americanos terminou junto com a guerra, para reaparecer somente em 1951, já com a Guerra Fria, em testes de equipamentos de criptografia realizados pela CIA, a agência de inteligência norte-americana.

Mas não foram só os americanos que se preocupavam na metade da década passada. Conta-se que em 1954 os soviéticos publicaram um manual completo de padrões para redução da interferência eletromagnética, com foco principal em equipamentos de comunicação e teclados, e que já usavam a técnica para espionar os seus inimigos, ou seja, os Estados Unidos.

O principio é que todos os equipamentos emitem ondas eletromagnéticas que podem ser detectadas e interpretadas. Para uma pessoa comum isso é completamente irrelevante, a não ser quando alguém publica um estudo dizendo que tais emissões podem causar doenças como o câncer. No entanto, para quem trabalha com comunicações ou dados confidenciais, faz toda a diferença. Os equipamentos necessários para captar e decodificar esses emanações não são sofisticados: antena e um receptor eletromagnético comuns, porém a complexidade aumenta na mesmo proporção que a distância. Os sinais capturados são então processados por programas que auxiliam na sua interpretação. Já a solução primária para mitigar o problema é a blindagem dos componentes, embora não a única. Há técnicas de adicionar ruído ao que é emitido, tornando o que é detectado ininteligível, embora dependa da qualidade do software utilizado pelo outro lado para limpar a detecção.

Outros métodos de espionagem foram também pesquisados pelas agências de inteligência e cientistas. Um dos mais antigos é o da gravação sonora, não de vozes nem de conversas, mas do som produzido por equipamentos, como por exemplo, teclados. Hoje em dia esse pode não mais ser um problema, no entanto, há trinta ou quarenta anos, teclados e impressoras eram bem barulhentos. Um texto que encontrei na Internet há alguns anos descrevia um método para reproduzir impressões a partir do som das velhas impressoras matriciais. Uma experiência que ficou famosa foi realizada pelo pesquisador holandês Wim van Eck em 1985, na qual conseguiu reproduzir o conteúdo mostrado em um monitor do tipo CRT (de tubo) ao capturar suas emissões. A técnica passou a ser conhecida como Van Eck phreaking e mais tarde se mostrou também eficiente com os modernos monitores LCD, sendo inclusive demonstrada na Cebit em 2006. Outra experiência, realizada pelo pesquisador Markus G. Kuhn da Universidade de Cambridge, em 2003, conseguiu reproduzir o conteúdo de um monitor através da luminosidade difusa refletida na parede. O reflexo foi gravado para então ser processado por um software que “limpou” a imagem, com um resultado surpreendente. Já uma dupla de suiços, Martin Vuagnoux e Sylvain Pasini, realizou com sucesso em 2008 experiências em que capturavam informações digitadas em modernos teclados com fio, dos mesmos tipos que usamos em nossos computadores atualmente. Os resultados estão em um vídeo publicado na Internet. Eles dizem que o mesmo efeito seria produzido com teclados sem fio.