Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

quinta-feira, 21 de novembro de 2013

Não se preocupe com o espião

*** Nesse post reproduzo artigo de minha autoria publicado na TI Inside. ***

Click here to see the article in English

Espionagem é hoje o assunto do momento e muita gente deve estar se perguntando: "O que fazer para barrar um espião?" Antes convido o leitor a conhecer um caso, publicado recentemente por vários jornais brasileiros, sobre um fotógrafo americano que obteve o direito de tirar fotos de quem ele quiser, fazendo com que aos vizinhos dele só reste a opção de fechar as cortinas das janelas. Da mesma forma que os vizinhos do fotógrafo, que se sentem lesados, tentar deter o espião é o maior erro que uma empresa pode cometer, e remete a uma regra de ouro da segurança de TI: Você não pode mitigar o que não controla. Assim como os moradores do prédio vizinho ao do fotógrafo em Nova York, nós não temos como impedir que alguém nos espione. Temos, na verdade, que esperar o oposto. Pessoas, empresas e governos fazem isso há séculos e não há razão para que parem. A nós só resta fechar as cortinas, o que pode parecer inconveniente, mas infelizmente segurança não combina com conveniência, e há algumas escolhas a fazer.

A boa notícia é que as cortinas estão disponíveis para todos e a maioria delas é trivial. Inclusive, boa parte das soluções de segurança necessárias já estão instaladas em nossas empresas. O principal recurso de proteção de dados ainda é a criptografia. Tudo que é confidencial deve ser criptografado, tanto no armazenamento como na comunicação. Um problema em especial são os dados armazenados em dispositivos de funcionários, muitas vezes fora do radar da empresa. Laptops devem ser criptografados sempre.

Até mesmo a criptografia de celulares e telefonemas, antes restrita a governos, já está disponível a empresas. Mas a sua reputação foi afetada pela notícia de que a Agência de Segurança dos EUA (NSA) é capaz de abrir mensagens cifradas. É sabido que chaves consideradas fracas podem ser quebradas facilmente, mas o mesmo não se aplica a criptografia de última geração. Desvendar chaves consideradas mais seguras pode custar milhões de dólares em tempo de processamento, sem falar em hardware. A grande revelação é que a agência americana obteve chaves criptográficas e plantou vulnerabilidades que permitem aos agentes da NSA ler as mensagens diretamente. Apesar do governo americano aparentemente possuir todo esse poder, o mesmo não se aplica a outros.

Dados também podem ser comprometidos via a invasão de redes e servidores, e aqui entram os já conhecidos sistemas de firewall, prevenção de intrusos, análise de conteúdo, etc. Há muita discussão hoje em dia sobre a necessidade de substituir produtos instalados por outros de "próxima geração". Em geral, isso não é necessário — a não ser que o produto atualmente instalado esteja, realmente, obsoleto ou a empresa precise de alguma camada nova, como monitoramento de redes sociais, não disponível no dispositivo já usado. O grande problema dos sistemas de proteção de redes, servidores e aplicações não é o produto ou tecnologia instalados, mas, sim, a sua configuração e gerenciamento. Muitas empresas gerenciam mal seus produtos, por isso, eles são ineficientes. Mudá-los não resolveria muita coisa. Inclusive uma pesquisa publicada pela Verizon, realizada em 27 países, identificou que 78% dos ataques iniciais eram de baixa dificuldade, portanto detectáveis por sistemas já em uso. Para essas empresas vale mais a pena investir em gerenciamento que em novas tecnologias.

Mas há outro problema muito comum, além do gerenciamento falho: o ser humano. É um clichê dizer que o ser humano é o elo mais fraco da corrente, mas é a pura verdade. Afinal, quais foram as causas dos vazamentos do wikileaks e da NSA? Seres humanos. Não usuários comuns, mas funcionários com acesso aos dados. Para usuários comuns normalmente programas de conscientização resolvem, mas para os últimos é necessário um processo especial de vigilância e monitoramento, especificamente o de acesso e mudanças. Sim, o espião pode estar em casa e possuir senha de administrador.

quarta-feira, 20 de novembro de 2013

Do not worry about the spy

Spying is now a hot topic and a lot of people must be wondering: "What can be done to stop a spy?" Before answering this question, I invite the reader to know a case recently published by several newspapers in Brazil about an American photographer who got the right to take pictures of whomever he wants, so that the only option that remained to his neighbors was to close their curtains. Likewise the photographer's neighbors, who feel aggrieved , trying to stop the spy is the biggest mistake a company can make, and it refers to a golden rule of IT security: You can not mitigate the non-controlling. As residents of the photographer's neighboring building in New York , we have no way to prevent someone from spying us. We have , in fact, to expect the opposite. People, business and government have been doing it for centuries and there is no reason for them to stop. To us, the only option is to close the curtains, which may seem inconvenient, but, unfortunately, security does not suit convenience, and there are some choices to make.

The good news is that the curtains are available for everyone and most of them are trivial. In fact, most of the required security solutions are already installed in our companies. The main resource for data protection is still encryption. Everything that is confidential should be encrypted, both in storage and communication. A particular problem is the data stored in employee devices, often out of the radar of the company. Laptops should always be encrypted.

Even encrypting cell phones and calls, previously restricted to governments , is now available to companies. But its reputation was affected by the news that the U.S. Security Agency (NSA) is able to open encrypted messages. It is known that considered weak keys can be broken easily, but the same does not apply to state-of-the-art encryption. To unravel considered safer keys can cost millions of dollars in processing time, not to mention hardware. The big revelation is that the American agency obtained cryptographic keys and planted vulnerabilities that allow NSA agents to read the messages directly. Despite the U.S. government apparently having all this power, the same does not apply to others.

Data can also be compromised via the invasion of networks and servers, and here it comes to the well known firewall systems, intrusion prevention, content analysis, etc.. There is currently a lot of discussion about the need to replace installed products by others from the "next generation ". In general , this is not necessary - unless the product currently installed is really obsolete or the company needs some new layers, such as monitoring of social networks, not available on the device already used . The major problem of systems for protection of networks, servers and applications is not the installed product or technology, but rather, its configuration and management. Many companies poorly manage their products, so that they become inefficient . Changing them would not solve much. A survey published by Verizon and performed in 27 countries found that 78 % of initial attacks were of low difficulty, therefore detectable by systems already in use. For these companies it is more worthwhile to invest in management than in new technologies.


But there is another very common problem beyond the flawed management: the human being. It may be a cliché to say that the human being is the weakest link in the chain, but it is true. After all, what were the causes of the leaks of Wikileaks and the NSA? Humans. No ordinary users, but employees with access to data. For ordinary users, awareness programs usually work fine, but, for the later users, a special process of surveillance and monitoring is required, specifically regarding access and changes. Yes, the spy can be at home and have an administrator password.

quarta-feira, 25 de setembro de 2013

O que um ataque pode nos revelar?

*** artigo publicado na revista RTI, agosto/2013 ***

O que um orçamento de 100 milhões de dólares em segurança da informação significa para você, caro leitor? Pois esse foi o valor gasto pela FIS - Fidelity Information Services – após a grande invasão e fraude que ocorreu na empresa em 2011. Para aqueles que não se recordam do caso, a FIS é uma empresa americana e prestadora de serviços a vários bancos e instituições financeiras, com atuação global. Em Maio de 2011 a empresa reconheceu em seu relatório trimestral que sofreu uma invasão que resultou em perdas de 13 milhões de dólares. Embora sem especificar detalhes, soube-se que hackers invadiram os sistemas de controle dos cartões de débito pré-pago da companhia e alteraram os limites de 22 cartões pré-pagos de débito de um dos seus clientes. Depois esses cartões foram clonados e espalhados pelos mundo, e saques foram realizados simultaneamente na tarde de um domingo em vários países da Europa. Enquanto os saques eram realizados, os hackers continuavam dentro dos sistemas de controle de saldo dos cartões, aumentando-os quando estes chegavam a zero.

Após a invasão milionária a empresa sofreu sucessivas auditorias do Federal Deposit Insurance Corp. (FDIC), órgão de seguros do mercado financeiro dos Estados Unidos. Dados do último relatório dessas auditorias foram relevados no blog KrebsOnSecurity, e ilustram com mais detalhes os problemas e desafios enfrentados por companhias desse tamanho. O relatório não é bom para a empresa americana, principalmente por revelar que a invasão foi mais extensa do que publicado inicialmente, e também porque dados de vários outros clientes, aparentemente não afetados no ataque, foram extraidos e poderiam ser utilizados em novas ações. Para começar os auditores identificaram atrasos na integração de sistemas e redes de empresas adquiridas pela FIS nos últimos anos, no entanto reconheceram a complexidade em um projeto que consiste de “aproximadamente 30 mil servidores e sistemas operacionais, outros 30 mil dispositivos de rede, mais de 40 mil estações de trabalho, 50 mil circuitos de rede e 28 mainframes rodando 80 partições lógicas”. É claro que não é fácil assegurar uma rede desse tamanho, principalmente quando vem de empresas adquiridas e desconhecidas. Foram listados também “18.747 vulnerabilidades de rede e mais de 291 vulnerabilidades de aplicação”. Essas varreduras também revelaram mais de 10 mil ocorrências de senhas default no ambiente, assim como senhas em branco.  Outro problema é que a habilidade dos investigadores em identificar a origem da invasão foi seriamente afetada porque o pessoal de resposta a emergências apagaram e reinstalaram vários sistemas comprometidos na tentativa de restabelecer as operações normais, antes que estes pudessem ser analisados.

Obviamente é fácil criticar quando temos a visão privilegiada do observador, e meu objetivo é listar quatro aprendizados para melhorar a segurança da informação em nossas empresas:

Aparências enganam
Em um ataque hackers podem colher informações para ataques futuros, portanto, quando vítima de uma quebra, não se limite a analisar os alvos aparentes de um ataque. Não se contente em dizer que “apenas sistemas de pouca relevância foram afetados” e esquecer a questão. Sementes para outras invasões podem ter sido plantadas. Dessa forma a investigação e revisão de segurança devem se estender por toda a rede, por mais custoso que isso possa ser, inclusive para sua carreira na empresa. É da natureza humana minimizar ocorrências para nossos chefes, mas será muito pior se o que inicialmente dissemos ser  “algo pequeno” se revela depois algo bem mais destrutivo.

Prepara-se para o pior
É essencial que empresas de todos os portes e segmentos possuam um plano de resposta a incidentes, no intuito de preservar não só os ativos da empresa mas também as evidencias dos ataques, permitindo que investigadores possam identificar autores e métodos, e impedir quebras futuras. Esse é o ponto falho mais comum nos planos. Como muitas empresas não possuem sistemas redundantes a única alternativa face a um ataque é restabelecer rapidamente os servidores para que as operações voltem ao normal. Isso ocorre mesmo em grandes empresas e preservar ou não servidores atacados é uma decisão que deve ser tomada pelos executivos. Mas há alternativas como gerar imagens dos sistemas afetados antes de estes serem recuperados. Pode atrasar o restabelecimento da rede mas salvar a investigação e impedir novas ocorrências.

Priorize
Priorizar vulnerabilidades é essencial, e para isso é também essencial que se conheça os níveis de importancia de cada servidor e sistema para os negócios da empresa. Mas primeiro devemos reconhecer que detecção de vulnerabilidades não é gerenciamento de vulnerabilidades. Não basta executar varreduras e depois enxugar gelo tentando corrigi-las. O primeiro passo é trabalhar em um inventário realista de equipamentos e sistemas, onde o valor de cada um é corretamente avaliado. As primeiras vulnerabilidades a corrigir são as de alto risco que afetam sistemas altamente críticos. Deve-se também coletar inteligência de ataques e acrescentar a essa equação a probabilidade da vulnerabilidade ser invadida, medido pela existência de exploits ativos. Lembremos também que a probabilidade de invasão é reduzida ou eliminada se há um sistema bem configurado de prevenção de intrusos ou se as portas TCP/IP estão bloqueadas nos firewalls, caso isso seja possível.

Segurança também é cultura

Há algo errado quando funcionários de TI, mesmo trabalhando em uma companhia que preza a segurança da informação, continuam a não alterar senhas default de sistemas. Esse fato revela a falta de uma cultura de segurança e um imenso risco para as operações, não importa quanto se gaste em controles e sistemas de segurança.  Não me canso em repetir que segurança é como qualidade, ou se faz diariamente ou não temos nada. E funcionários que não julgam importante a segurança e a comprometem são pessoas que não compartilham da mesma cultura da empresa, e essa deve avaliar se vale a pena mantê-los.

terça-feira, 17 de setembro de 2013

Espionagem e a NSA

Há muitos artigos e discussão na rede sobre a NSA e a espionagem que a agência vem executando. Para quem deseja entender melhor o tema eu recomendo o blog de Bruce Schneier. Além de ser um dos maiores especialistas mundiais em segurança e criptografia, ele teve acesso aos documentos de Edward Snowden. Ou seja, ele sabe do que está falando. Em especial recomendo esse post:
https://www.schneier.com/blog/archives/2013/09/how_to_remain_s.html

quarta-feira, 11 de setembro de 2013

Reflexões sobre emails e (ilusões de) segurança

*** artigo publicado na revista RTI Julho/2013 ***

Esse ano decidi mudar o meu endereço pessoal de email. O que inicialmente parecia uma tarefa simples, alterar cadastro em sites e avisar aos amigos, se revelou um caminho longo e árduo (perdoem-me pelo clichê). Minha maior preocupação, avisar a todos os amigos, se revelou infundada, pois em  tempos de Facebook, Linkedin e outros quase ninguém se comunica mais via email. Eu não havia me dado conta disso, mas nos comunicamos profissionalmente, ainda, por email, mas com os amigos é via alguma rede social. O problema mesmo foi alterar o cadastro em 62 sites e serviços, isso já descontando os que decidi descartar. Mas essa é uma coluna de segurança, e essa novela provocou reflexões que gostaria de compartilhar.

A primeira delas é a mudança da função do email. Ao mesmo tempo que diminui sua importância no relacionamento pessoal, aumenta o seu papel na gestão do relacionamento entre fornecedores e clientes. A preocupação ambiental e a busca pela redução do uso de papel contribui ainda mais para esse fenômeno, e muitas das correspondências que recebiamos chegam hoje por correio eletrônico. Vejam que me refiro à administração das relações comerciais e não aos aspector promocionais, estes migrando também para as redes sociais, embora muito presentes nas centenas de spams que recebemos todos os dias. A questão é que o correio eletrônico é um veículo com muitas restrições no quesito segurança, principalmente quando consideramos que o intuito desse tipo de comunicação entre fornecedor e cliente é a pessoalidade. Acontece que os emails são abertos por definição a não ser que se use chaves de criptografia, e nenhuma empresa envia emails cifrados a seus clientes. Dessa forma qualquer um pode ver o conteúdo de uma mensagem enquanto ela trafega. Você pode argumentar que correspondência em papel também não são criptografadas, entretanto se alguém abrir um envelope dificilmente passará desapercebido pelo destinatário. O mesmo não ocorre com um email. Os bancos resolveram esse problema enviando extratos bancários e outras informações relevantes em anexos cifrados e/ou protegidos, mas a maior parte das outras empresas não. Minha dúvida é o quanto elas estão cientes de como precária é sua confidencialidade. Considerando as vezes que me pedem dados de cartão de crédito via email não creio que saibam todas as implicações.

Nesse processo de mudança de endereço alguns de meus fornecedores, e entre estes não há nenhuma instituição financeira, criaram inúmeros obstáculos para que eu alterasse o email. A empresa que mais criou dificuldade foi, por incrivel que pareça, uma companhia aérea, “por motivos de segurança” de acordo com ela, “porque a senha de resgate de pontos é enviada por email”. Assim me pediram para enviar, por email, copias de documentos e até de comprovante de residência, “para análise posterior”. E assim chego à minha segunda reflexão, que se refere a dois principios em segurança. O primeiro vou chamar de “teoria da dificuldade” e o segundo de “teoria do alerta”. A primeira, como iremos ver, resulta na maioria das vezes em uma confortável ilusão de segurança.

Na teoria da dificuldade o fornecedor tenta dificultar uma ação com o objetivo que o fraudador desista ou não consiga atender a todos os requerimentos. Algo como proteger uma bicicleta com um corrente bem grossa, na esperança do ladrão não consiga cortá-la ou que ache outra bicicleta mais fácil de roubar. Na falta da corrente grossa a pessoa tenta dificultar o acesso colocando obstáculos, outras bicicletas por exemplo. A principal falha dessa teoria é a falsa relação entre dificuldade e segurança.  Como veremos mais a frente algumas das melhores soluções são simples. A segunda falha é basear-se em premissas equivocadas. Essa companhia aérea acredita que é mais seguro exigir de seu cliente todo esse trabalho de escanear e enviar documentos por email que simplesmente confirmar dados por telefone, ou seja, partem da premissa que email é mais seguro que telefone. Por último, a falha de desconhecer ou ignorar que se um hacker tiver um alvo especifico, ele o invadirá, não importam os obstáculos. Foi o que aconteceu com o jornalista Matt Honan, tema de meu artigo aqui na RTI em Outubro de 2012.  Aliás, nessa mesma cia aérea, se um hacker invadir meu correio eletrônico ele conseguirá alterar a senha do site, precisando somente de mais alguns dados que podem ser obtidos sem dificuldade.

Já a teoria do alerta parte de outra premissa, muito mais realista. Se é impossível evitar o pior (pois não há 100% de segurança), que ao menos se possa avisar o cliente de todas as formas possíveis. Foi uma boa surpresa que a maioria dos sites se comportou dessa maneira. O melhor é que todas essas ações são simples e eficazes. A primera delas é enviar um aviso ao email anterior, comunicando a alteração. Assim, em caso do fraudador roubar o acesso ao site ou os dados pessoais do usuário, para uso por telefone, a possível vítima seria alertada. Ainda mais eficiente é cadastrar um endereço alternativo, e enviar um alerta também para essa conta. O primeiro caso exige que o hacker tome controle também do email atual do usuário, o segundo que até o email alternativo seja invadido. Os sites mais avançados também cadastram o telefone celular e enviam mensagens de texto alertando a mudança. No Google, por exemplo, o usuário pode ativar a segurança em duas camadas, exigindo assim que o hacker use um computador autorizado para mudar o endereço, mudança essa que será de qualquer forma avisada para os endereços cadastrados. Uma invasão teria que ser dessa forma generalizada e, portanto, bem mais complexa, até porque um acesso desde um computador ou local desconhecido também é alertado. Notem que aqui também há maior dificuldade, mas para o hacker e não para o cliente. Minha conclusão é que segurança não pode dificultar a vida do usuário e muito menos de um cliente, porque fazer isso significa atrapalhar os negócios. 

segunda-feira, 29 de julho de 2013

Valorização

Em 2005 a Check Point quase comprou a Sourcefire por 225 milhões. A transação apenas não se concluiu devido a restrições do governo americana. Nada melhor para os acionistas da Sourcefire, pois venderam nessa semana para a Cisco por 2.7 bilhões. Isso que é valorização!

sábado, 27 de julho de 2013

Escalabilidade

*** artigo publicado na revista RTI Junho/2013 ***

Nos últimos anos houve uma grande mudança nos produtos de segurança de rede a partir da busca pelos fabricantes de soluções mais confiáveis e mais próximas à nova realidade das ameaças e dos requerimentos dos clientes. É incontestável que essas novas gerações resultaram em produtos melhores, porém houve também um efeito colateral: a obsolescência do modelo tradicional de compra. A maior parte das empresas, em qualquer lugar do mundo, ainda compra produtos de segurança usando throughput como principal ou as vezes único requerimento. Eu tratei desse assunto em dois outros artigos – setembro/2011 e março/2010 – que continuam atuais, e que podem ser consultados na versão online da RTI. Esse mês irei tratar especificamente de escalabilidade, usando alguns dos conceitos apresentados por Robert Graham no blog de sua empresa, a Errata Security.

Escalabilidade é uma das características que mais vem sendo solicitada por empresas de grande porte nos últimos tempos, devido ao crescimento contínuo do uso da rede e da demanda de novos serviços. As midias sociais são um ótimo exemplo, com as empresas cada vez mais utilizando-as como ferramentas de marketing, mas há também tecnologias como streaming e video conferencia, a cada dia mais acessíveis. Assim muitos desses usuários pedem equipamentos escaláveis, ou seja, que possam crescer sem que tenham que ser substituídos por outros com maior capacidade.

No entanto a coisa pode não ser assim tão simples. O primeiro ponto é perguntar-se: escalabilidade em quê? ‘Como assim’, responderia você, ‘capacidade, ora’. Ok, diria eu, capacidade de quê? Infelizmente para todos nós, equipamentos de segurança de rede são altamente complexos quando tentamos mensurar seu desempenho e capacidade. Para piorar, tecnologias diferentes são afetadas de formas distintas. Vamos tomar um firewall, por exemplo. Como regra geral esses dispositivos possuem determinada capacidade de processamento de pacotes (medidos por pacotes/segundo), throughput (gigabits/seg), sessões concorrentes e novas conexões por segundo. Além desses há ainda a latência. Throughput é também influenciado pelo tipo de tráfego (protocolos) e tamanho dos pacotes. É claro que o desejável é que a escalabilidade de todos esses elementos seja proporcional, mas nem sempre é assim. E por que? Porque a arquitetura de software e hardware pode apresentar limitações e a escalabilidade, como resultado, não ser linear.

Escalabilidade linear significa que todos os elementos de desempenho crescem proporcionalmente acompanhando o crescimento dos recursos de hardware disponíveis. Imaginem um firewall com quatro processadores e 8GB de memória que processe 10Gbps, 2 milhões de conexões concorrentes e 45 mil novas conexões por segundo. Deixemos pacotes por segundo e latência de lado para não complicar. Um crescimento linear significaria que com oito processadores e 16GB de memória ele iria processar o dobro, mas, na maioria das vezes para falar a verdade, isso não ocorre. Por causa de alguma limitação de arquitetura muitos produtos processariam os 4 milhões de conexões mas apenas 60 mil novas conexões por segundo. Essa limitação pode ocorrer na maneira como foi configurado o multiprocessamento ou no método de aceleramento de rede. Mesmo em sistemas baseados em chassis nem sempre há linearidade devido as limitações no backplane e switch fabrics dos equipamentos.

Mas como dificultar é sempre possível estamos na era dos next-generation firewalls, o que se traduz em mais camadas de análise como prevenção de intrusos, detector de malware, compliance, data loss prevention, análise de aplicações e por aí vai. O efeito dessas camadas no desempenho de um firewall varia bastante de acordo com o fabricante mas sempre ocorre e pode ser devastador, com redução de até 85% da capacidade nominal. Portanto a escalabilidade deve ser planejada também no quesito de quais novas funções serão habilitadas no firewall, porque a linearidade pode ser diferente entre uma funcionalidade ou outra. É fácil entender o porquê. Muitos fabricantes atingem altos niveis de desempenho a partir de hardware de aceleramento, mas uma ou outra funcionalidade pode ser incompativel e prejudicar ou até desabilitá-lo, resultando em uma queda brutal.
Há ainda outra dificuldade para a qual empresas também precisam de ajuda: o monitoramento de seus sistemas. O principal método de gerenciar a capacidade dos equipamentos é ainda o acompanhamento do uso de componentes do hardware como cpu e memória. O problema é que para alguns produtos e tecnologias isso não é mais válido. O sistema de gerência de umas das maiores fabricantes de segurança, por exemplo, estimula seus clientes a monitorar seus equipamentos multiprocessados usando a média de utilização das cpus. Um grande erro já que seu software separa os processadores por função e alguns podem estar com alto uso enquanto outros estão quase sem carga. A média, relativamente baixa devido aos processadores ociosos, irá sugerir que ainda há muito espaço para crescimento quando na verdade o sistema já pode estar no seu limite.


Os datasheets publicados pelos fabricantes não resolvem a questão, o que não quer dizer que haja ma fé de ninguém. Primeiramente essas empresas precisam publicar seus números máximos de desempenho. Apesar de somente serem alcançados em laboratório são dados muito usados para comparação e classificação de produtos. Depois elas utilizam procedimentos mais ou menos padronizados para identificar o que seria o desempenho do ‘mundo real’ de seus produtos. Mas eles são criados a partir de uma média de uso. Emboram sirvam bastante como referência não podem ser considerados como definitivos. Assim somente há uma solução para se comprar bem um sistema escalável: conversar muito com o fornecedores e fabricantes para entender sua arquitetura e limitações, e somente depois escrever RFPs e editais. É claro que isso adiciona trabalho ao processo de compra mas é totalmente justificável para empresas que irão gastar centenas de milhares, até milhões, na compra de um sistema de proteção de rede.

sexta-feira, 31 de maio de 2013

Software-Defined Networking é a rede do futuro?

*** Artigo publicado na revista RTI - maio/2013 ***

É comum em TI o lançamento de novas tecnologias. Algumas são revolucionárias e prometem mudar completamente a maneira como trabalhamos. Podem ser um grande sucesso ou acabar esquecidas. Esse é o caso da SDN, ou software-defined networking, a tendência do momento em arquitetura de redes. Para quem nunca ouviu falar aí vai um resumo em uma frase: ela promete mudar completamente a maneira como empresas instalam e gerenciam suas redes, com um potencial ainda não medido de alterar quem dá as cartas no mercado de redes. Algo como a introdução da computação pessoal na época dos mainframes.
O elemento básico dessa nova arquitetura é a separação dos planos de controle e processamento de tráfego. Hoje a configuração dos dispositivos de rede está implantada em cada equipamento, apesar do gerenciamento centralizado. Uma mudança, física ou lógica, exige mudanças em vários dispositivos. Na SDN a configuração da rede está completamente separada. Regras de roteamento e ACLs, assim como definições de VLAN, por exemplo, não são mais configuradas nos equipamentos e sim nesse plano de controle, que se comunica com os equipamentos físicos que só executam as instruções. Essa camada física torna-se também transparente para as aplicações, que apenas se comunicam com o plano de controle. A chave de tudo isso está no OpenFlow, o protocolo de comunicação entre os planos de controle e de processamento de rede. Em tese as configurações de rede se tornam independentes do hardware e do fabricante. Uma empresa pode, em tese, instalar qualquer switch, de qualquer marca, que não fará a menor diferença. Aqui vemos o impacto que a SDN pode causar no mercado, incluindo o de segurança.
Mas antes de falar sobre segurança vejamos quem está por trás da proposta, e essa pode ser sua principal força. A organização responsável pela definição e promoção da SDN chama-se Open Networking Foundation (ONF) e foi criada pelo Deutsche Telekom, Facebook, Google, Microsoft, Verizon e Yahoo!. O Google é alias um dos maiores entusiastas com ampla adoção do OpenFlow em 2012. O que há de especial nessa lista de fundadores? São todos usuários de redes. No comitê central da ONF estão ainda a NTT (empresa de telecomunicações japonesa) e o Goldman Sachs. Já entre os membros estão praticamente todas as empresas importantes de redes, TI e telecomunicações; entre fabricantes, integradores e usuários. É também um grupo internacional, com representantes dos Estados Unidos à China.  Infelizmente nenhuma empresa brasileira faz parte, sinal inequívoco das nossas dificuldades em inovação nessa área da tecnologia. Vamos bem em outras, como aviação, mas em tecnologia de rede continuamos a reboque de outros países, alguns deles emergentes como nós. Os grandes fabricantes de redes – Cisco, Juniper, Huawey, entre outros, principais afetados se a nova arquitetura pegar, também estão entre os membros.
Até o momento a discussão sobre segurança é bem vaga. Fala-se dos benefícios da nova arquitetura em comparação à atual, hierárquica, e que será mais simples implementar controles e reagir a ataques como os de DDoS, já que é possível rapidamente reconfigurar a rede e isolar o tráfego de ataque. A hierarquia na arquitetura de rede teve como principal promotor a Cisco, que criou os conceitos das camadas de core, distribuição e acesso, e a ONF fala diretamente em substitui-la pelo seu modelo, mais flexível a adaptada aos novos tempos, segundo ela. Pois todos os produtos de segurança de rede, entre firewalls, IPS e outros gateways, foram concebidos com a arquitetura hierárquica em mente. Mesmo que os padrões permitam que um firewall tradicional seja instalado em uma rede SDN, isso será muito pouco para uma empresa que tenha implementado por completo o SDN e o OpenFlow. Afinal de contas os dispositivos de segurança também são dispositivos de rede, não há como a arquitetura de rede ser de um jeito e a de segurança de outro.
Atualmente a implementação de firewalls, assim como todas as outras tecnologias de proteção de rede, é centrada no gateway, seja ele um equipamento ou um cluster. Se uma grande empresa com dezenas de firewalls precisar liberar um acesso específico provavelmente será necessário configurar a regra de diferentes equipamentos. Tal procedimento é trabalhoso e propenso a falhas. Em um hipotético firewall SDN (reforço que é em tese, pois tal equipamento não existe) todos os equipamentos seriam parte de um grande sistema de firewall. Liberar tal acesso para toda a rede seria tão simples como é hoje incluir uma regra em um único dispositivo, pois a regra valeria para todos.  Ao especificar uma política de processamento de tráfego o administrador iria também definir a política de segurança para ele, abstraindo-se dos equipamentos físicos que iriam executar tais instruções. O monitoramento também poderá se beneficiar a partir da simplificação e flexibilização da arquitetura e aproximar-se das aplicações de negócio, traduzindo mais facilmente regras de negócio em regras de segurança. Será sem dúvida uma grande mudança e não há como prever o impacto e se novos fornecedores surgirão, ou se os fabricantes de rede irão tomar a dianteira. Por outro lado novas tecnologias sempre trazem novas vulnerabilidades e incertezas. Nenhum software é perfeito e questões como a proteção do plano de controle deverão ser encaradas, pois o seu comprometimento causaria muito mais estragos que o ataques atuais a equipamentos individualizados.

É importante ter em mente que a tecnologia ainda é nova e imatura; e continua como tendência, apesar de implementada em empresas do porte da Google. É possível que no futuro se torne o novo padrão, ou que seja eclipsada por algo mais novo que venha a surgir. No final são sempre os usuários que definem qual arquitetura é a melhor. Mas devemos levar em conta que no caso da SDN não é apenas a “indústria” quem a está promovendo. Há usuários participando das definições dos padrões, e, espero, aproximando os desejos dos fabricantes às necessidades dos clientes.

domingo, 5 de maio de 2013

Inteligência, Prevenção, Monitoração


*** artigo publicado na revista RTI ***

Desde que o guru Bruce Schneier cunhou o famoso tripé “pessoas, processos e tecnologia” para a segurança, temos a tentação de propor nossos próprios tripés, seja com um objetivo mais amplo ou para uma necessidade específica. Hoje estou propondo o meu próprio para lidar com a nova geração de ataques que estamos presenciando e que vieram para ficar. Mais especificamente, o meu tripé, título do artigo, é minha sugestão para o que pessoas, processos e tecnologias devem fazer para lidar com eles.
Hoje um grupo bem financiado e com hackers talentosos pode invadir a rede ou computador que quiserem. O que eles farão depois disso vai depender de como a vítima estiver, ou não, preparada. Os exemplos mais famosos que temos são os de grupos patrocinados por governos. Fala-se muito de Estados Unidos, Israel e China; mas há também os grupos profissionais, bem estruturados e organizados, para ataques a empresas para roubo, espionagem ou sabotagem; ou criação e administração de botnets, entre outros. E minha sensação é que a maioria das empresas não está preparada, e por vários motivos.
O principal deles é um vicio que sempre critico no mercado: a maneira como usamos termos cunhados para indicar alguma nova ameaça ou tecnologia, muitas vezes com objetivos de marketing. O problema aumenta em nosso país por causa da lingua, e assim repetimos termos em inglês sem nem ao menos interpretar seu significado. É assim com os produtos next-generation. Empresas pedem um next-generation firewall  e nem sabem o que o Gartner queria dizer quando inventou o termo, que aliás usa repetidamente, tanto que na década passada também havia um firewall de próxima geração, que hoje é o da geração passada. E é assim com o advanced persistent thread, termo criado justamente para retratar os ataques dos grupos altamente organizados. Não se trata de um ataque, ou mesmo uma ameaça, e sim de um padrão de ação desses grupos, seja para fins criminosos ou políticos. Até para o tripé de Schneier há um contexto, que muita gente desconhece e fica discutindo o que não existe. Como o próprio autor explica em seu blog, em um post no último dia 30 de janeiro, na época, mais exatamente 1999, sua preocupação era sugerir outros caminhos além de tecnologia, até então o único adotado pelas empresas. Catorze anos depois as coisas mudaram, como o próprio autor reconhece. Minha primeira sugestão é esquecer os nomes ou termos e trabalhar com o significado. Ao invés de pedir ao seu fornecedor um next-generation firewall peça um firewall que faça a, b e c. Não há o que perder. Você saberá o que estará comprando e o outro o que estará vendendo.
O mesmo deve ser feito com os ataques a que a empresa estaria sujeita. Esqueça os termos prontos e vamos assim ao nosso primeiro pilar, a inteligência, para entender como os ataques e fraudes acontecem contra a empresa em especial, e quais os alvos deles dentro dela. O grande exemplo que temos no Brasil são os bancos, que reduziram significativamente as fraudes digitais começando por uma medida muito simples: eles trocam informações. Se uma instituição sofre algum tipo de fraude ela será comunicada às outras. Mais do que isso, eles procuram juntos soluções, compartilham estudos realizados e estratégias adotadas. Qualquer ramo de negócio pode adotar a mesma prática, facilitada pelo fato da grande maioria estar representada em organizações patronais. Outra medida é utilizar serviços de informação, pagos ou gratuitos. Temos no Brasil também provedores que investigam e coletam informações sob encomenda, de forma contínua ou pontual. Por fim as empresas precisam também conhecer o que possuem de maior valor, como ele pode ser protegido e qual tipo de comprometimento a que este ativo estaria sujeito: o vazamento de dados ou afetação de transações? É um erro comum tratar toda a rede e todos os servidores, dados e transações como confidenciais e de alta criticidade.
Uma vez que temos toda essa informação chegou a hora de prevenir. Aqui temos o nosso “depende”. O que fazer dependerá do trabalho anterior de inteligência. Em alguns casos haverá um nível aceitável de ocorrências, em outros nada. Até isso você precisará saber na hora de definir o plano. Mas posso citar alguns exemplos. Um deles são as medidas preventivas adotadas em um grande partido político. Como sabemos os partidos possuem picos de trabalho a cada dois anos, nas eleições, e entre os dados mais críticos estão as estratégias de campanha e o plano de governo. Um vazamento seria sem dúvida um desastre. Esse partido a cada eleição compra computadores novos para criação e manipulação desses dados, e mantidos desconectados. Parece exagero? Não, não é. A isso eu adicionaria um controle estrito do uso de portas USB, o controle de impressão e desativar completamente o bluetooth e wi-fi. Outro exemplo é o de testes contínuos de vulnerabilidade durante o desenvolvimento e implementação de portais e sistemas de uso proprietário. Nenhum dispositivo de segurança de rede ou sistema operacional irá proteger um sistema de ataques no nível da aplicação. Se ele inclui transações ou dados confidenciais a empresa não pode economizar. A regra de ouro é nunca adotar somente soluções de uso comum para proteger ativos críticos, faça isso para servidores e segmentos menos importantes ou compartilhados. Proteja o perímetro como todos fazem, firewall, IPS, etc, mas não confie que somente isso trará proteção aos seus dados mais importantes. Para estes tenha um plano especial.
Definindo o que proteger e como, chega a hora da monitoração. Aqui há também uma grande lacuna entre o que fazer e o que está sendo efetivamente realizado. Monitorar significa acompanhar o que está ocorrendo o mais próximo possível do tempo real. Nos últimos meses escrevi vários artigos aqui na RTI sobre técnicas e tecnologias como SIEM, netflow e outros. Assim não preciso nem tenho espaço para aprofundar essa parte, mas fica a minha sugestão para sabermos se a monitoração está sendo eficaz ou não. Para ter eficácia ela precisa responder as seguintes perguntas: “quem”, “o que”, “quando”, “onde” e “como”. 

quarta-feira, 3 de abril de 2013

Inteligência em Segurança e Firewalls


Qual a diferença entre uma empresa que convive bem com as ameaças digitais com outra que está sempre na berlinda? Há muitas respostas: uma boa política de segurança, funcionários bem treinados e conscientes,  processos bem implementados e produtos de segurança bem instalados e gerenciados. Tudo isto está correto mais há algo que essas empresas tem que as outras não possuem: inteligência de segurança. Esse tema não é novo e eu já venho tratando dele há muito tempo, seja para prevenção de ameaças, seja para a segurança de redes. Nesse post trato pela primeira vez da inteligência no gerenciamento de firewalls.

Por que? Firewalls são a primeira linha de defesa de qualquer rede, e isso não mudará tão cedo. Para alguns é ainda a única. Seja qual for a geração, e sempre haverá um de próxima geração, firewalls são baseados em regras, e estas são muito simples na verdade: quem pode fazer o quê. As várias gerações de firewalls vem alterando o “quem” (de IPs para pessoas) e o quê (de serviços e portas para ações e atividades), mas a essência é a mesma, e o fato é que hoje existe pouca inteligência no gerenciamento de regras, e ainda menos inteligência em posicionar firewalls dentro do espectro de risco.

O que significa inteligência? Ela é o resultado do conhecimento. Quanto mais conhecimento mais sábias serão as decisões tomadas e mais condições teremos de antecipar acontecimentos no futuro. Empresas são administradas dessa forma há anos. É também assim que os pais parecem mais inteligentes (ou mais sábios se você preferir) que seus filhos: eles tomam decisões melhores porque possuem mais conhecimento, e portanto podem prever melhor os resultados. Muitas empresas empregam bem esse conceito na prevenção de malware e de ataque em geral, mas pouca gente o faz para os firewalls.

O que significa uma determinada regra (por que se está permitindo ou bloqueando tal acesso)? Por que ela existe (qual a função de negócio)? Quem a solicitou? Onde e quando? E até quando ela deve existir? Como a regra afeta meus níveis de risco e compliance? Vejam que não saímos do “o que, quem, por que, onde, quando e como”.  Saber as respostas para essas perguntas significa firewalls melhor configurados e mais segurança.

sexta-feira, 15 de fevereiro de 2013

O Ataque dos Zumbis e os Embedded Systems

No último dia 12 alguns hackers nos Estados Unidos decidiram fazer uma piada, invadiram o sistema de aviso de emergências (emergency broadcast system) em vários estados e publicaram um alarme para um ataque apocalíptico de zumbis. A esse sistema estão conectados redes de televisão e comunicações, que retransmitem os alertas. A noticia pode ser lida em vários fontes, entre elas a Reuters - http://www.reuters.com/article/2013/02/12/us-usa-zombie-montana-idUSBRE91B1IA20130212.
Aparentemente (ainda bem) ninguém levou a sério a ameaça mas fico imaginando como seria se o alarme se relacionasse a ameaças reais, como tornados, vazamento de gases tóxicos ou nuclear. Com certeza haveria pânico e confusão.

Infelizmente a realidade dos equipamentos com sistemas embutidos (embedded systems), como esses sistemas de aviso invadidos, é lamentável. Por sistemas embutidos (a tradução aqui é minha) entendemos equipamentos diversos, mas não de computação, que contém um sistema operacional e que são controláveis por computador, e muitas vezes com acesso via rede. Hoje eles estão em toda parte e o exemplo mais próximo de nós são as smart-TVs. Mas há muitos outros que passam desapercebidos como sistemas hospitalares, prédios inteligentes, máquinas industriais, centrais telefônicas, etc. Infelizmente a grande maioria possui vulnerabilidades antigas e nunca corrigidas, usam senhas padrão ou muito fáceis, e por fim não possuem proteção para ataques a partir da rede. Muitos nem estão no radar das equipes de segurança como sistemas a proteger, independente do risco que representam para os negócios dessas empresas.

terça-feira, 5 de fevereiro de 2013

Ser ou não ser...

Andei lendo algumas discussões em blogs sobre duas antigas afirmações que viraram chavões em segurança. Uma delas é "segurança é um processo" e a outra é o famoso "pessoas, processos e tecnologia". Pensando um pouco poderia listar outras mas fiquemos por aqui. Em resumo se está discutindo se elas são ainda válidas. Antes de entrar no mérito é importante discutir outro conceito importante: contexto, aqui em seu sentido literal. Essas frases foram cunhadas há uma década mais ou menos, e faziam parte de um contexto em algum trabalho de seus autores. Ninguém acordou e declarou solenemente "segurança é um processo". Ok, atualmente isso é possível acontecer, via o twitter, mas há dez anos não. É por isso que há tanta besteira sendo escrita por aí.

Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.

Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.

segunda-feira, 4 de fevereiro de 2013

segunda-feira, 7 de janeiro de 2013

Artigo Guerra Cibernética

A edição de número 12 da revista Fonte, publicada anualmente pela Prodemge nos meses de Dezembro, saiu com um artigo de minha autoria sobre guerra cibernética. A edição integral da revista pode ser baixada do endereço http://www.prodemge.gov.br/images/revistafonte/revista_12.pdf.