*** Nesse post reproduzo artigo de minha autoria publicado na TI Inside. ***
Click here to see the article in English
Espionagem é hoje o assunto do momento e muita gente deve estar se perguntando: "O que fazer para barrar um espião?" Antes convido o leitor a conhecer um caso, publicado recentemente por vários jornais brasileiros, sobre um fotógrafo americano que obteve o direito de tirar fotos de quem ele quiser, fazendo com que aos vizinhos dele só reste a opção de fechar as cortinas das janelas. Da mesma forma que os vizinhos do fotógrafo, que se sentem lesados, tentar deter o espião é o maior erro que uma empresa pode cometer, e remete a uma regra de ouro da segurança de TI: Você não pode mitigar o que não controla. Assim como os moradores do prédio vizinho ao do fotógrafo em Nova York, nós não temos como impedir que alguém nos espione. Temos, na verdade, que esperar o oposto. Pessoas, empresas e governos fazem isso há séculos e não há razão para que parem. A nós só resta fechar as cortinas, o que pode parecer inconveniente, mas infelizmente segurança não combina com conveniência, e há algumas escolhas a fazer.
A boa notícia é que as cortinas estão disponíveis para todos e a maioria delas é trivial. Inclusive, boa parte das soluções de segurança necessárias já estão instaladas em nossas empresas. O principal recurso de proteção de dados ainda é a criptografia. Tudo que é confidencial deve ser criptografado, tanto no armazenamento como na comunicação. Um problema em especial são os dados armazenados em dispositivos de funcionários, muitas vezes fora do radar da empresa. Laptops devem ser criptografados sempre.
Até mesmo a criptografia de celulares e telefonemas, antes restrita a governos, já está disponível a empresas. Mas a sua reputação foi afetada pela notícia de que a Agência de Segurança dos EUA (NSA) é capaz de abrir mensagens cifradas. É sabido que chaves consideradas fracas podem ser quebradas facilmente, mas o mesmo não se aplica a criptografia de última geração. Desvendar chaves consideradas mais seguras pode custar milhões de dólares em tempo de processamento, sem falar em hardware. A grande revelação é que a agência americana obteve chaves criptográficas e plantou vulnerabilidades que permitem aos agentes da NSA ler as mensagens diretamente. Apesar do governo americano aparentemente possuir todo esse poder, o mesmo não se aplica a outros.
Dados também podem ser comprometidos via a invasão de redes e servidores, e aqui entram os já conhecidos sistemas de firewall, prevenção de intrusos, análise de conteúdo, etc. Há muita discussão hoje em dia sobre a necessidade de substituir produtos instalados por outros de "próxima geração". Em geral, isso não é necessário — a não ser que o produto atualmente instalado esteja, realmente, obsoleto ou a empresa precise de alguma camada nova, como monitoramento de redes sociais, não disponível no dispositivo já usado. O grande problema dos sistemas de proteção de redes, servidores e aplicações não é o produto ou tecnologia instalados, mas, sim, a sua configuração e gerenciamento. Muitas empresas gerenciam mal seus produtos, por isso, eles são ineficientes. Mudá-los não resolveria muita coisa. Inclusive uma pesquisa publicada pela Verizon, realizada em 27 países, identificou que 78% dos ataques iniciais eram de baixa dificuldade, portanto detectáveis por sistemas já em uso. Para essas empresas vale mais a pena investir em gerenciamento que em novas tecnologias.
Mas há outro problema muito comum, além do gerenciamento falho: o ser humano. É um clichê dizer que o ser humano é o elo mais fraco da corrente, mas é a pura verdade. Afinal, quais foram as causas dos vazamentos do wikileaks e da NSA? Seres humanos. Não usuários comuns, mas funcionários com acesso aos dados. Para usuários comuns normalmente programas de conscientização resolvem, mas para os últimos é necessário um processo especial de vigilância e monitoramento, especificamente o de acesso e mudanças. Sim, o espião pode estar em casa e possuir senha de administrador.
Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.
quinta-feira, 21 de novembro de 2013
quarta-feira, 20 de novembro de 2013
Do not worry about the spy
Spying is
now a hot topic and a lot of people must be wondering: "What can be done
to stop a spy?" Before answering this question, I invite the reader to
know a case recently published by several newspapers in Brazil about an
American photographer who got the right to take pictures of whomever he wants,
so that the only option that remained to his neighbors was to close their
curtains. Likewise the photographer's neighbors, who feel aggrieved , trying to
stop the spy is the biggest mistake a company can make, and it refers to a
golden rule of IT security: You can not mitigate the non-controlling. As residents
of the photographer's neighboring building in New York , we have no way to
prevent someone from spying us. We have , in fact, to expect the opposite.
People, business and government have been doing it for centuries and there is
no reason for them to stop. To us, the only option is to close the curtains,
which may seem inconvenient, but, unfortunately, security does not suit
convenience, and there are some choices to make.
The good
news is that the curtains are available for everyone and most of them are
trivial. In fact, most of the required security solutions are already installed
in our companies. The main resource for data protection is still encryption.
Everything that is confidential should be encrypted, both in storage and
communication. A particular problem is the data stored in employee devices,
often out of the radar of the company. Laptops should always be encrypted.
Even
encrypting cell phones and calls, previously restricted to governments , is now
available to companies. But its reputation was affected by the news that the
U.S. Security Agency (NSA) is able to open encrypted messages. It is known that
considered weak keys can be broken easily, but the same does not apply to
state-of-the-art encryption. To unravel considered safer keys can cost millions
of dollars in processing time, not to mention hardware. The big revelation is
that the American agency obtained cryptographic keys and planted
vulnerabilities that allow NSA agents to read the messages directly. Despite
the U.S. government apparently having all this power, the same does not apply
to others.
Data can
also be compromised via the invasion of networks and servers, and here it comes
to the well known firewall systems, intrusion prevention, content analysis,
etc.. There is currently a lot of discussion about the need to replace
installed products by others from the "next generation ". In general
, this is not necessary - unless the product currently installed is really
obsolete or the company needs some new layers, such as monitoring of social
networks, not available on the device already used . The major problem of
systems for protection of networks, servers and applications is not the
installed product or technology, but rather, its configuration and management.
Many companies poorly manage their products, so that they become inefficient .
Changing them would not solve much. A survey published by Verizon and performed
in 27 countries found that 78 % of initial attacks were of low difficulty,
therefore detectable by systems already in use. For these companies it is more
worthwhile to invest in management than in new technologies.
But there
is another very common problem beyond the flawed management: the human being.
It may be a cliché to say that the human being is the weakest link in the
chain, but it is true. After all, what were the causes of the leaks of
Wikileaks and the NSA? Humans. No ordinary users, but employees with access to
data. For ordinary users, awareness programs usually work fine, but, for the
later users, a special process of surveillance and monitoring is required,
specifically regarding access and changes. Yes, the spy can be at home and have
an administrator password.
quarta-feira, 25 de setembro de 2013
O que um ataque pode nos revelar?
*** artigo publicado na revista RTI, agosto/2013 ***
O que um orçamento de 100 milhões de
dólares em segurança da informação significa para você, caro leitor? Pois esse
foi o valor gasto pela FIS - Fidelity Information Services – após a grande
invasão e fraude que ocorreu na empresa em 2011. Para aqueles que não se
recordam do caso, a FIS é uma empresa americana e prestadora de serviços a
vários bancos e instituições financeiras, com atuação global. Em Maio de 2011 a
empresa reconheceu em seu relatório trimestral que sofreu uma invasão que
resultou em perdas de 13 milhões de dólares. Embora sem especificar detalhes,
soube-se que hackers invadiram os sistemas de controle dos cartões de débito
pré-pago da companhia e alteraram os limites de 22 cartões pré-pagos de débito
de um dos seus clientes. Depois esses cartões foram clonados e espalhados pelos
mundo, e saques foram realizados simultaneamente na tarde de um domingo em
vários países da Europa. Enquanto os saques eram realizados, os hackers
continuavam dentro dos sistemas de controle de saldo dos cartões, aumentando-os
quando estes chegavam a zero.
Após a invasão milionária a empresa
sofreu sucessivas auditorias do Federal Deposit Insurance Corp. (FDIC), órgão
de seguros do mercado financeiro dos Estados Unidos. Dados do último relatório
dessas auditorias foram relevados no blog KrebsOnSecurity, e ilustram com mais
detalhes os problemas e desafios enfrentados por companhias desse tamanho. O
relatório não é bom para a empresa americana, principalmente por revelar que a
invasão foi mais extensa do que publicado inicialmente, e também porque dados
de vários outros clientes, aparentemente não afetados no ataque, foram
extraidos e poderiam ser utilizados em novas ações. Para começar os auditores
identificaram atrasos na integração de sistemas e redes de empresas adquiridas
pela FIS nos últimos anos, no entanto reconheceram a complexidade em um projeto
que consiste de “aproximadamente 30 mil servidores e sistemas operacionais,
outros 30 mil dispositivos de rede, mais de 40 mil estações de trabalho, 50 mil
circuitos de rede e 28 mainframes rodando 80 partições lógicas”. É claro que
não é fácil assegurar uma rede desse tamanho, principalmente quando vem de
empresas adquiridas e desconhecidas. Foram listados também “18.747
vulnerabilidades de rede e mais de 291 vulnerabilidades de aplicação”. Essas
varreduras também revelaram mais de 10 mil ocorrências de senhas default no
ambiente, assim como senhas em branco.
Outro problema é que a habilidade dos investigadores em identificar a
origem da invasão foi seriamente afetada porque o pessoal de resposta a
emergências apagaram e reinstalaram vários sistemas comprometidos na tentativa
de restabelecer as operações normais, antes que estes pudessem ser analisados.
Obviamente é fácil criticar quando temos
a visão privilegiada do observador, e meu objetivo é listar quatro aprendizados
para melhorar a segurança da informação em nossas empresas:
Aparências enganam
Em um ataque hackers podem colher
informações para ataques futuros, portanto, quando vítima de uma quebra, não se
limite a analisar os alvos aparentes de um ataque. Não se contente em dizer que
“apenas sistemas de pouca relevância foram afetados” e esquecer a questão.
Sementes para outras invasões podem ter sido plantadas. Dessa forma a
investigação e revisão de segurança devem se estender por toda a rede, por mais
custoso que isso possa ser, inclusive para sua carreira na empresa. É da
natureza humana minimizar ocorrências para nossos chefes, mas será muito pior
se o que inicialmente dissemos ser “algo
pequeno” se revela depois algo bem mais destrutivo.
Prepara-se para o pior
É essencial que empresas de todos os
portes e segmentos possuam um plano de resposta a incidentes, no intuito de
preservar não só os ativos da empresa mas também as evidencias dos ataques,
permitindo que investigadores possam identificar autores e métodos, e impedir
quebras futuras. Esse é o ponto falho mais comum nos planos. Como muitas
empresas não possuem sistemas redundantes a única alternativa face a um ataque
é restabelecer rapidamente os servidores para que as operações voltem ao
normal. Isso ocorre mesmo em grandes empresas e preservar ou não servidores
atacados é uma decisão que deve ser tomada pelos executivos. Mas há
alternativas como gerar imagens dos sistemas afetados antes de estes serem
recuperados. Pode atrasar o restabelecimento da rede mas salvar a investigação
e impedir novas ocorrências.
Priorize
Priorizar vulnerabilidades é
essencial, e para isso é também essencial que se conheça os níveis de
importancia de cada servidor e sistema para os negócios da empresa. Mas
primeiro devemos reconhecer que detecção de vulnerabilidades não é
gerenciamento de vulnerabilidades. Não basta executar varreduras e depois
enxugar gelo tentando corrigi-las. O primeiro passo é trabalhar em um
inventário realista de equipamentos e sistemas, onde o valor de cada um é
corretamente avaliado. As primeiras vulnerabilidades a corrigir são as de alto
risco que afetam sistemas altamente críticos. Deve-se também coletar
inteligência de ataques e acrescentar a essa equação a probabilidade da
vulnerabilidade ser invadida, medido pela existência de exploits ativos.
Lembremos também que a probabilidade de invasão é reduzida ou eliminada se há
um sistema bem configurado de prevenção de intrusos ou se as portas TCP/IP
estão bloqueadas nos firewalls, caso isso seja possível.
Segurança também é cultura
Há algo errado quando funcionários
de TI, mesmo trabalhando em uma companhia que preza a segurança da informação,
continuam a não alterar senhas default de sistemas. Esse fato revela a falta de
uma cultura de segurança e um imenso risco para as operações, não importa
quanto se gaste em controles e sistemas de segurança. Não me canso em repetir que segurança é como
qualidade, ou se faz diariamente ou não temos nada. E funcionários que não
julgam importante a segurança e a comprometem são pessoas que não compartilham
da mesma cultura da empresa, e essa deve avaliar se vale a pena mantê-los.
terça-feira, 17 de setembro de 2013
Espionagem e a NSA
Há muitos artigos e discussão na rede sobre a NSA e a espionagem que a agência vem executando. Para quem deseja entender melhor o tema eu recomendo o blog de Bruce Schneier. Além de ser um dos maiores especialistas mundiais em segurança e criptografia, ele teve acesso aos documentos de Edward Snowden. Ou seja, ele sabe do que está falando. Em especial recomendo esse post:
https://www.schneier.com/blog/archives/2013/09/how_to_remain_s.html
https://www.schneier.com/blog/archives/2013/09/how_to_remain_s.html
quarta-feira, 11 de setembro de 2013
Reflexões sobre emails e (ilusões de) segurança
*** artigo publicado na revista RTI Julho/2013 ***
Esse ano decidi mudar o meu endereço
pessoal de email. O que inicialmente parecia uma tarefa simples, alterar
cadastro em sites e avisar aos amigos, se revelou um caminho longo e árduo
(perdoem-me pelo clichê). Minha maior preocupação, avisar a todos os amigos, se
revelou infundada, pois em tempos de
Facebook, Linkedin e outros quase ninguém se comunica mais via email. Eu não
havia me dado conta disso, mas nos comunicamos profissionalmente, ainda, por email,
mas com os amigos é via alguma rede social. O problema mesmo foi alterar o
cadastro em 62 sites e serviços, isso já descontando os que decidi descartar. Mas
essa é uma coluna de segurança, e essa novela provocou reflexões que gostaria
de compartilhar.
A primeira delas é a mudança da
função do email. Ao mesmo tempo que diminui sua importância no relacionamento
pessoal, aumenta o seu papel na gestão do relacionamento entre fornecedores e
clientes. A preocupação ambiental e a busca pela redução do uso de papel
contribui ainda mais para esse fenômeno, e muitas das correspondências que
recebiamos chegam hoje por correio eletrônico. Vejam que me refiro à
administração das relações comerciais e não aos aspector promocionais, estes
migrando também para as redes sociais, embora muito presentes nas centenas de
spams que recebemos todos os dias. A questão é que o correio eletrônico é um
veículo com muitas restrições no quesito segurança, principalmente quando
consideramos que o intuito desse tipo de comunicação entre fornecedor e cliente
é a pessoalidade. Acontece que os emails são abertos por definição a não ser
que se use chaves de criptografia, e nenhuma empresa envia emails cifrados a
seus clientes. Dessa forma qualquer um pode ver o conteúdo de uma mensagem enquanto
ela trafega. Você pode argumentar que correspondência em papel também não são
criptografadas, entretanto se alguém abrir um envelope dificilmente passará
desapercebido pelo destinatário. O mesmo não ocorre com um email. Os bancos
resolveram esse problema enviando extratos bancários e outras informações
relevantes em anexos cifrados e/ou protegidos, mas a maior parte das outras
empresas não. Minha dúvida é o quanto elas estão cientes de como precária é sua
confidencialidade. Considerando as vezes que me pedem dados de cartão de
crédito via email não creio que saibam todas as implicações.
Nesse processo de mudança de
endereço alguns de meus fornecedores, e entre estes não há nenhuma instituição
financeira, criaram inúmeros obstáculos para que eu alterasse o email. A
empresa que mais criou dificuldade foi, por incrivel que pareça, uma companhia
aérea, “por motivos de segurança” de acordo com ela, “porque a senha de resgate
de pontos é enviada por email”. Assim me pediram para enviar, por email, copias
de documentos e até de comprovante de residência, “para análise posterior”. E
assim chego à minha segunda reflexão, que se refere a dois principios em
segurança. O primeiro vou chamar de “teoria da dificuldade” e o segundo de
“teoria do alerta”. A primeira, como iremos ver, resulta na maioria das vezes
em uma confortável ilusão de segurança.
Na teoria da dificuldade o
fornecedor tenta dificultar uma ação com o objetivo que o fraudador desista ou
não consiga atender a todos os requerimentos. Algo como proteger uma bicicleta
com um corrente bem grossa, na esperança do ladrão não consiga cortá-la ou que
ache outra bicicleta mais fácil de roubar. Na falta da corrente grossa a pessoa
tenta dificultar o acesso colocando obstáculos, outras bicicletas por exemplo. A
principal falha dessa teoria é a falsa relação entre dificuldade e
segurança. Como veremos mais a frente
algumas das melhores soluções são simples. A segunda falha é basear-se em
premissas equivocadas. Essa companhia aérea acredita que é mais seguro exigir
de seu cliente todo esse trabalho de escanear e enviar documentos por email que
simplesmente confirmar dados por telefone, ou seja, partem da premissa que
email é mais seguro que telefone. Por último, a falha de desconhecer ou ignorar
que se um hacker tiver um alvo especifico, ele o invadirá, não importam os
obstáculos. Foi o que aconteceu com o jornalista Matt Honan, tema de meu artigo
aqui na RTI em Outubro de 2012. Aliás,
nessa mesma cia aérea, se um hacker invadir meu correio eletrônico ele conseguirá
alterar a senha do site, precisando somente de mais alguns dados que podem ser
obtidos sem dificuldade.
Já a teoria do alerta parte de outra
premissa, muito mais realista. Se é impossível evitar o pior (pois não há 100%
de segurança), que ao menos se possa avisar o cliente de todas as formas
possíveis. Foi uma boa surpresa que a maioria dos sites se comportou dessa
maneira. O melhor é que todas essas ações são simples e eficazes. A primera
delas é enviar um aviso ao email anterior, comunicando a alteração. Assim, em
caso do fraudador roubar o acesso ao site ou os dados pessoais do usuário, para
uso por telefone, a possível vítima seria alertada. Ainda mais eficiente é
cadastrar um endereço alternativo, e enviar um alerta também para essa conta. O
primeiro caso exige que o hacker tome controle também do email atual do
usuário, o segundo que até o email alternativo seja invadido. Os sites mais
avançados também cadastram o telefone celular e enviam mensagens de texto alertando
a mudança. No Google, por exemplo, o usuário pode ativar a segurança em duas
camadas, exigindo assim que o hacker use um computador autorizado para mudar o
endereço, mudança essa que será de qualquer forma avisada para os endereços
cadastrados. Uma invasão teria que ser dessa forma generalizada e, portanto,
bem mais complexa, até porque um acesso desde um computador ou local
desconhecido também é alertado. Notem que aqui também há maior dificuldade, mas
para o hacker e não para o cliente. Minha conclusão é que segurança não pode
dificultar a vida do usuário e muito menos de um cliente, porque fazer isso
significa atrapalhar os negócios.
segunda-feira, 29 de julho de 2013
Valorização
Em 2005 a Check Point quase comprou a Sourcefire por 225 milhões. A transação apenas não se concluiu devido a restrições do governo americana. Nada melhor para os acionistas da Sourcefire, pois venderam nessa semana para a Cisco por 2.7 bilhões. Isso que é valorização!
sábado, 27 de julho de 2013
Escalabilidade
*** artigo publicado na revista RTI Junho/2013 ***
Nos últimos
anos houve uma grande mudança nos produtos de segurança de rede a partir da
busca pelos fabricantes de soluções mais confiáveis e mais próximas à nova
realidade das ameaças e dos requerimentos dos clientes. É incontestável que
essas novas gerações resultaram em produtos melhores, porém houve também um
efeito colateral: a obsolescência do modelo tradicional de compra. A maior
parte das empresas, em qualquer lugar do mundo, ainda compra produtos de
segurança usando throughput como principal ou as vezes único requerimento. Eu
tratei desse assunto em dois outros artigos – setembro/2011 e março/2010 – que
continuam atuais, e que podem ser consultados na versão online da RTI. Esse mês
irei tratar especificamente de escalabilidade, usando alguns dos conceitos
apresentados por Robert Graham no blog de sua empresa, a Errata Security.
Escalabilidade
é uma das características que mais vem sendo solicitada por empresas de grande
porte nos últimos tempos, devido ao crescimento contínuo do uso da rede e da
demanda de novos serviços. As midias sociais são um ótimo exemplo, com as
empresas cada vez mais utilizando-as como ferramentas de marketing, mas há
também tecnologias como streaming e video conferencia, a cada dia mais acessíveis.
Assim muitos desses usuários pedem equipamentos escaláveis, ou seja, que possam
crescer sem que tenham que ser substituídos por outros com maior capacidade.
No entanto
a coisa pode não ser assim tão simples. O primeiro ponto é perguntar-se: escalabilidade
em quê? ‘Como assim’, responderia você, ‘capacidade, ora’. Ok, diria eu,
capacidade de quê? Infelizmente para todos nós, equipamentos de segurança de
rede são altamente complexos quando tentamos mensurar seu desempenho e
capacidade. Para piorar, tecnologias diferentes são afetadas de formas distintas.
Vamos tomar um firewall, por exemplo. Como regra geral esses dispositivos
possuem determinada capacidade de processamento de pacotes (medidos por
pacotes/segundo), throughput (gigabits/seg), sessões concorrentes e novas
conexões por segundo. Além desses há ainda a latência. Throughput é também
influenciado pelo tipo de tráfego (protocolos) e tamanho dos pacotes. É claro
que o desejável é que a escalabilidade de todos esses elementos seja
proporcional, mas nem sempre é assim. E por que? Porque a arquitetura de
software e hardware pode apresentar limitações e a escalabilidade, como
resultado, não ser linear.
Escalabilidade
linear significa que todos os elementos de desempenho crescem proporcionalmente
acompanhando o crescimento dos recursos de hardware disponíveis. Imaginem um
firewall com quatro processadores e 8GB de memória que processe 10Gbps, 2
milhões de conexões concorrentes e 45 mil novas conexões por segundo. Deixemos
pacotes por segundo e latência de lado para não complicar. Um crescimento
linear significaria que com oito processadores e 16GB de memória ele iria
processar o dobro, mas, na maioria das vezes para falar a verdade, isso não
ocorre. Por causa de alguma limitação de arquitetura muitos produtos
processariam os 4 milhões de conexões mas apenas 60 mil novas conexões por
segundo. Essa limitação pode ocorrer na maneira como foi configurado o
multiprocessamento ou no método de aceleramento de rede. Mesmo em sistemas
baseados em chassis nem sempre há linearidade devido as limitações no backplane
e switch fabrics dos equipamentos.
Mas como
dificultar é sempre possível estamos na era dos next-generation firewalls, o que se traduz em mais camadas de
análise como prevenção de intrusos, detector de malware, compliance, data loss prevention, análise de
aplicações e por aí vai. O efeito dessas camadas no desempenho de um firewall
varia bastante de acordo com o fabricante mas sempre ocorre e pode ser
devastador, com redução de até 85% da capacidade nominal. Portanto a
escalabilidade deve ser planejada também no quesito de quais novas funções
serão habilitadas no firewall, porque a linearidade pode ser diferente entre
uma funcionalidade ou outra. É fácil entender o porquê. Muitos fabricantes
atingem altos niveis de desempenho a partir de hardware de aceleramento, mas
uma ou outra funcionalidade pode ser incompativel e prejudicar ou até
desabilitá-lo, resultando em uma queda brutal.
Há ainda
outra dificuldade para a qual empresas também precisam de ajuda: o
monitoramento de seus sistemas. O principal método de gerenciar a capacidade
dos equipamentos é ainda o acompanhamento do uso de componentes do hardware
como cpu e memória. O problema é que para alguns produtos e tecnologias isso
não é mais válido. O sistema de gerência de umas das maiores fabricantes de
segurança, por exemplo, estimula seus clientes a monitorar seus equipamentos multiprocessados
usando a média de utilização das cpus. Um grande erro já que seu software
separa os processadores por função e alguns podem estar com alto uso enquanto
outros estão quase sem carga. A média, relativamente baixa devido aos
processadores ociosos, irá sugerir que ainda há muito espaço para crescimento
quando na verdade o sistema já pode estar no seu limite.
Os datasheets publicados pelos fabricantes
não resolvem a questão, o que não quer dizer que haja ma fé de ninguém.
Primeiramente essas empresas precisam publicar seus números máximos de
desempenho. Apesar de somente serem alcançados em laboratório são dados muito
usados para comparação e classificação de produtos. Depois elas utilizam
procedimentos mais ou menos padronizados para identificar o que seria o
desempenho do ‘mundo real’ de seus produtos. Mas eles são criados a partir de
uma média de uso. Emboram sirvam bastante como referência não podem ser
considerados como definitivos. Assim somente há uma solução para se comprar bem
um sistema escalável: conversar muito com o fornecedores e fabricantes para
entender sua arquitetura e limitações, e somente depois escrever RFPs e
editais. É claro que isso adiciona trabalho ao processo de compra mas é
totalmente justificável para empresas que irão gastar centenas de milhares, até
milhões, na compra de um sistema de proteção de rede.
sexta-feira, 31 de maio de 2013
Software-Defined Networking é a rede do futuro?
*** Artigo publicado na revista RTI - maio/2013 ***
É comum em TI o lançamento de novas
tecnologias. Algumas são revolucionárias e prometem mudar completamente a
maneira como trabalhamos. Podem ser um grande sucesso ou acabar esquecidas.
Esse é o caso da SDN, ou software-defined networking, a tendência do momento em
arquitetura de redes. Para quem nunca ouviu falar aí vai um resumo em uma
frase: ela promete mudar completamente a maneira como empresas instalam e
gerenciam suas redes, com um potencial ainda não medido de alterar quem dá as
cartas no mercado de redes. Algo como a introdução da computação pessoal na
época dos mainframes.
O elemento básico dessa nova
arquitetura é a separação dos planos de controle e processamento de tráfego.
Hoje a configuração dos dispositivos de rede está implantada em cada
equipamento, apesar do gerenciamento centralizado. Uma mudança, física ou
lógica, exige mudanças em vários dispositivos. Na SDN a configuração da rede
está completamente separada. Regras de roteamento e ACLs, assim como definições
de VLAN, por exemplo, não são mais configuradas nos equipamentos e sim nesse
plano de controle, que se comunica com os equipamentos físicos que só executam
as instruções. Essa camada física torna-se também transparente para as aplicações,
que apenas se comunicam com o plano de controle. A chave de tudo isso está no
OpenFlow, o protocolo de comunicação entre os planos de controle e de
processamento de rede. Em tese as configurações de rede se tornam independentes
do hardware e do fabricante. Uma empresa pode, em tese, instalar qualquer
switch, de qualquer marca, que não fará a menor diferença. Aqui vemos o impacto
que a SDN pode causar no mercado, incluindo o de segurança.
Mas antes de falar sobre segurança
vejamos quem está por trás da proposta, e essa pode ser sua principal força. A
organização responsável pela definição e promoção da SDN chama-se Open
Networking Foundation (ONF) e foi criada pelo Deutsche Telekom, Facebook,
Google, Microsoft, Verizon e Yahoo!. O Google é alias um dos maiores
entusiastas com ampla adoção do OpenFlow em 2012. O que há de especial nessa
lista de fundadores? São todos usuários de redes. No comitê central da ONF
estão ainda a NTT (empresa de telecomunicações japonesa) e o Goldman Sachs. Já
entre os membros estão praticamente todas as empresas importantes de redes, TI
e telecomunicações; entre fabricantes, integradores e usuários. É também um
grupo internacional, com representantes dos Estados Unidos à China. Infelizmente nenhuma empresa brasileira faz
parte, sinal inequívoco das nossas dificuldades em inovação nessa área da
tecnologia. Vamos bem em outras, como aviação, mas em tecnologia de rede
continuamos a reboque de outros países, alguns deles emergentes como nós. Os
grandes fabricantes de redes – Cisco, Juniper, Huawey, entre outros, principais
afetados se a nova arquitetura pegar, também estão entre os membros.
Até o momento a discussão sobre
segurança é bem vaga. Fala-se dos benefícios da nova arquitetura em comparação
à atual, hierárquica, e que será mais simples implementar controles e reagir a
ataques como os de DDoS, já que é possível rapidamente reconfigurar a rede e
isolar o tráfego de ataque. A hierarquia na arquitetura de rede teve como
principal promotor a Cisco, que criou os conceitos das camadas de core,
distribuição e acesso, e a ONF fala diretamente em substitui-la pelo seu
modelo, mais flexível a adaptada aos novos tempos, segundo ela. Pois todos os
produtos de segurança de rede, entre firewalls, IPS e outros gateways, foram
concebidos com a arquitetura hierárquica em mente. Mesmo que os padrões
permitam que um firewall tradicional seja instalado em uma rede SDN, isso será
muito pouco para uma empresa que tenha implementado por completo o SDN e o
OpenFlow. Afinal de contas os dispositivos de segurança também são dispositivos
de rede, não há como a arquitetura de rede ser de um jeito e a de segurança de
outro.
Atualmente a implementação de
firewalls, assim como todas as outras tecnologias de proteção de rede, é
centrada no gateway, seja ele um equipamento ou um cluster. Se uma grande
empresa com dezenas de firewalls precisar liberar um acesso específico
provavelmente será necessário configurar a regra de diferentes equipamentos.
Tal procedimento é trabalhoso e propenso a falhas. Em um hipotético firewall
SDN (reforço que é em tese, pois tal equipamento não existe) todos os
equipamentos seriam parte de um grande sistema de firewall. Liberar tal acesso
para toda a rede seria tão simples como é hoje incluir uma regra em um único
dispositivo, pois a regra valeria para todos.
Ao especificar uma política de processamento de tráfego o administrador
iria também definir a política de segurança para ele, abstraindo-se dos
equipamentos físicos que iriam executar tais instruções. O monitoramento também
poderá se beneficiar a partir da simplificação e flexibilização da arquitetura
e aproximar-se das aplicações de negócio, traduzindo mais facilmente regras de
negócio em regras de segurança. Será sem dúvida uma grande mudança e não há como
prever o impacto e se novos fornecedores surgirão, ou se os fabricantes de rede
irão tomar a dianteira. Por outro lado novas tecnologias sempre trazem novas
vulnerabilidades e incertezas. Nenhum software é perfeito e questões como a
proteção do plano de controle deverão ser encaradas, pois o seu comprometimento
causaria muito mais estragos que o ataques atuais a equipamentos
individualizados.
É importante ter em mente que a
tecnologia ainda é nova e imatura; e continua como tendência, apesar de
implementada em empresas do porte da Google. É possível que no futuro se torne
o novo padrão, ou que seja eclipsada por algo mais novo que venha a surgir. No
final são sempre os usuários que definem qual arquitetura é a melhor. Mas
devemos levar em conta que no caso da SDN não é apenas a “indústria” quem a
está promovendo. Há usuários participando das definições dos padrões, e,
espero, aproximando os desejos dos fabricantes às necessidades dos clientes.
domingo, 5 de maio de 2013
Inteligência, Prevenção, Monitoração
*** artigo publicado na revista RTI ***
Desde que
o guru Bruce Schneier cunhou o famoso tripé “pessoas, processos e tecnologia”
para a segurança, temos a tentação de propor nossos próprios tripés, seja com
um objetivo mais amplo ou para uma necessidade específica. Hoje estou propondo
o meu próprio para lidar com a nova geração de ataques que estamos presenciando
e que vieram para ficar. Mais especificamente, o meu tripé, título do artigo, é
minha sugestão para o que pessoas, processos e tecnologias devem fazer para
lidar com eles.
Hoje um
grupo bem financiado e com hackers talentosos pode invadir a rede ou computador
que quiserem. O que eles farão depois disso vai depender de como a vítima
estiver, ou não, preparada. Os exemplos mais famosos que temos são os de grupos
patrocinados por governos. Fala-se muito de Estados Unidos, Israel e China; mas
há também os grupos profissionais, bem estruturados e organizados, para ataques
a empresas para roubo, espionagem ou sabotagem; ou criação e administração de
botnets, entre outros. E minha sensação é que a maioria das empresas não está
preparada, e por vários motivos.
O
principal deles é um vicio que sempre critico no mercado: a maneira como usamos
termos cunhados para indicar alguma nova ameaça ou tecnologia, muitas vezes com
objetivos de marketing. O problema aumenta em nosso país por causa da lingua, e
assim repetimos termos em inglês sem nem ao menos interpretar seu significado.
É assim com os produtos next-generation.
Empresas pedem um next-generation
firewall e nem sabem o que o Gartner
queria dizer quando inventou o termo, que aliás usa repetidamente, tanto que na
década passada também havia um firewall de próxima geração, que hoje é o da
geração passada. E é assim com o advanced
persistent thread, termo criado justamente para retratar os ataques dos
grupos altamente organizados. Não se trata de um ataque, ou mesmo uma ameaça, e
sim de um padrão de ação desses grupos, seja para fins criminosos ou políticos.
Até para o tripé de Schneier há um contexto, que muita gente desconhece e fica
discutindo o que não existe. Como o próprio autor explica em seu blog, em um
post no último dia 30 de janeiro, na época, mais exatamente 1999, sua
preocupação era sugerir outros caminhos além de tecnologia, até então o único
adotado pelas empresas. Catorze anos depois as coisas mudaram, como o próprio
autor reconhece. Minha primeira sugestão é esquecer os nomes ou termos e
trabalhar com o significado. Ao invés de pedir ao seu fornecedor um next-generation firewall peça um
firewall que faça a, b e c. Não há o que perder. Você saberá o que estará
comprando e o outro o que estará vendendo.
O mesmo
deve ser feito com os ataques a que a empresa estaria sujeita. Esqueça os
termos prontos e vamos assim ao nosso primeiro pilar, a inteligência, para
entender como os ataques e fraudes acontecem contra a empresa em especial, e
quais os alvos deles dentro dela. O grande exemplo que temos no Brasil são os
bancos, que reduziram significativamente as fraudes digitais começando por uma
medida muito simples: eles trocam informações. Se uma instituição sofre algum
tipo de fraude ela será comunicada às outras. Mais do que isso, eles procuram
juntos soluções, compartilham estudos realizados e estratégias adotadas. Qualquer
ramo de negócio pode adotar a mesma prática, facilitada pelo fato da grande
maioria estar representada em organizações patronais. Outra medida é utilizar
serviços de informação, pagos ou gratuitos. Temos no Brasil também provedores
que investigam e coletam informações sob encomenda, de forma contínua ou
pontual. Por fim as empresas precisam também conhecer o que possuem de maior
valor, como ele pode ser protegido e qual tipo de comprometimento a que este
ativo estaria sujeito: o vazamento de dados ou afetação de transações? É um
erro comum tratar toda a rede e todos os servidores, dados e transações como
confidenciais e de alta criticidade.
Uma vez
que temos toda essa informação chegou a hora de prevenir. Aqui temos o nosso
“depende”. O que fazer dependerá do trabalho anterior de inteligência. Em
alguns casos haverá um nível aceitável de ocorrências, em outros nada. Até isso
você precisará saber na hora de definir o plano. Mas posso citar alguns
exemplos. Um deles são as medidas preventivas adotadas em um grande partido
político. Como sabemos os partidos possuem picos de trabalho a cada dois anos,
nas eleições, e entre os dados mais críticos estão as estratégias de campanha e
o plano de governo. Um vazamento seria sem dúvida um desastre. Esse partido a
cada eleição compra computadores novos para criação e manipulação desses dados,
e mantidos desconectados. Parece exagero? Não, não é. A isso eu adicionaria um
controle estrito do uso de portas USB, o controle de impressão e desativar
completamente o bluetooth e wi-fi. Outro exemplo é o de testes contínuos de
vulnerabilidade durante o desenvolvimento e implementação de portais e sistemas
de uso proprietário. Nenhum dispositivo de segurança de rede ou sistema
operacional irá proteger um sistema de ataques no nível da aplicação. Se ele
inclui transações ou dados confidenciais a empresa não pode economizar. A regra
de ouro é nunca adotar somente soluções de uso comum para proteger ativos
críticos, faça isso para servidores e segmentos menos importantes ou
compartilhados. Proteja o perímetro como todos fazem, firewall, IPS, etc, mas
não confie que somente isso trará proteção aos seus dados mais importantes. Para
estes tenha um plano especial.
Definindo
o que proteger e como, chega a hora da monitoração. Aqui há também uma grande
lacuna entre o que fazer e o que está sendo efetivamente realizado. Monitorar
significa acompanhar o que está ocorrendo o mais próximo possível do tempo
real. Nos últimos meses escrevi vários artigos aqui na RTI sobre técnicas e
tecnologias como SIEM, netflow e outros. Assim não preciso nem tenho espaço
para aprofundar essa parte, mas fica a minha sugestão para sabermos se a
monitoração está sendo eficaz ou não. Para ter eficácia ela precisa responder
as seguintes perguntas: “quem”, “o que”, “quando”, “onde” e “como”.
quarta-feira, 3 de abril de 2013
Inteligência em Segurança e Firewalls
Qual a
diferença entre uma empresa que convive bem com as ameaças digitais com outra
que está sempre na berlinda? Há muitas respostas: uma boa política de
segurança, funcionários bem treinados e conscientes, processos bem implementados e produtos de
segurança bem instalados e gerenciados. Tudo isto está correto mais há algo que
essas empresas tem que as outras não possuem: inteligência de segurança. Esse
tema não é novo e eu já venho tratando dele há muito tempo, seja para prevenção
de ameaças, seja para a segurança de redes. Nesse post trato pela primeira vez
da inteligência no gerenciamento de firewalls.
Por que? Firewalls
são a primeira linha de defesa de qualquer rede, e isso não mudará tão cedo. Para
alguns é ainda a única. Seja qual for a geração, e sempre haverá um de próxima
geração, firewalls são baseados em regras, e estas são muito simples na
verdade: quem pode fazer o quê. As várias gerações de firewalls vem alterando o
“quem” (de IPs para pessoas) e o quê (de serviços e portas para ações e
atividades), mas a essência é a mesma, e o fato é que hoje existe pouca
inteligência no gerenciamento de regras, e ainda menos inteligência em
posicionar firewalls dentro do espectro de risco.
O que
significa inteligência? Ela é o resultado do conhecimento. Quanto mais
conhecimento mais sábias serão as decisões tomadas e mais condições teremos de
antecipar acontecimentos no futuro. Empresas são administradas dessa forma há
anos. É também assim que os pais parecem mais inteligentes (ou mais sábios se você
preferir) que seus filhos: eles tomam decisões melhores porque possuem mais
conhecimento, e portanto podem prever melhor os resultados. Muitas empresas
empregam bem esse conceito na prevenção de malware e de ataque em geral, mas
pouca gente o faz para os firewalls.
O que
significa uma determinada regra (por que se está permitindo ou bloqueando tal
acesso)? Por que ela existe (qual a função de negócio)? Quem a solicitou? Onde
e quando? E até quando ela deve existir? Como a regra afeta meus níveis de
risco e compliance? Vejam que não saímos do “o que, quem, por que, onde, quando
e como”. Saber as respostas para essas
perguntas significa firewalls melhor configurados e mais segurança.
sexta-feira, 15 de fevereiro de 2013
O Ataque dos Zumbis e os Embedded Systems
No último dia 12 alguns hackers nos Estados Unidos decidiram fazer uma piada, invadiram o sistema de aviso de emergências (emergency broadcast system) em vários estados e publicaram um alarme para um ataque apocalíptico de zumbis. A esse sistema estão conectados redes de televisão e comunicações, que retransmitem os alertas. A noticia pode ser lida em vários fontes, entre elas a Reuters - http://www.reuters.com/article/2013/02/12/us-usa-zombie-montana-idUSBRE91B1IA20130212.
Aparentemente (ainda bem) ninguém levou a sério a ameaça mas fico imaginando como seria se o alarme se relacionasse a ameaças reais, como tornados, vazamento de gases tóxicos ou nuclear. Com certeza haveria pânico e confusão.
Infelizmente a realidade dos equipamentos com sistemas embutidos (embedded systems), como esses sistemas de aviso invadidos, é lamentável. Por sistemas embutidos (a tradução aqui é minha) entendemos equipamentos diversos, mas não de computação, que contém um sistema operacional e que são controláveis por computador, e muitas vezes com acesso via rede. Hoje eles estão em toda parte e o exemplo mais próximo de nós são as smart-TVs. Mas há muitos outros que passam desapercebidos como sistemas hospitalares, prédios inteligentes, máquinas industriais, centrais telefônicas, etc. Infelizmente a grande maioria possui vulnerabilidades antigas e nunca corrigidas, usam senhas padrão ou muito fáceis, e por fim não possuem proteção para ataques a partir da rede. Muitos nem estão no radar das equipes de segurança como sistemas a proteger, independente do risco que representam para os negócios dessas empresas.
Aparentemente (ainda bem) ninguém levou a sério a ameaça mas fico imaginando como seria se o alarme se relacionasse a ameaças reais, como tornados, vazamento de gases tóxicos ou nuclear. Com certeza haveria pânico e confusão.
Infelizmente a realidade dos equipamentos com sistemas embutidos (embedded systems), como esses sistemas de aviso invadidos, é lamentável. Por sistemas embutidos (a tradução aqui é minha) entendemos equipamentos diversos, mas não de computação, que contém um sistema operacional e que são controláveis por computador, e muitas vezes com acesso via rede. Hoje eles estão em toda parte e o exemplo mais próximo de nós são as smart-TVs. Mas há muitos outros que passam desapercebidos como sistemas hospitalares, prédios inteligentes, máquinas industriais, centrais telefônicas, etc. Infelizmente a grande maioria possui vulnerabilidades antigas e nunca corrigidas, usam senhas padrão ou muito fáceis, e por fim não possuem proteção para ataques a partir da rede. Muitos nem estão no radar das equipes de segurança como sistemas a proteger, independente do risco que representam para os negócios dessas empresas.
WebRep
currentVote
noRating
noWeight
terça-feira, 5 de fevereiro de 2013
Ser ou não ser...
Andei lendo algumas discussões em blogs sobre duas antigas afirmações que viraram chavões em segurança. Uma delas é "segurança é um processo" e a outra é o famoso "pessoas, processos e tecnologia". Pensando um pouco poderia listar outras mas fiquemos por aqui. Em resumo se está discutindo se elas são ainda válidas. Antes de entrar no mérito é importante discutir outro conceito importante: contexto, aqui em seu sentido literal. Essas frases foram cunhadas há uma década mais ou menos, e faziam parte de um contexto em algum trabalho de seus autores. Ninguém acordou e declarou solenemente "segurança é um processo". Ok, atualmente isso é possível acontecer, via o twitter, mas há dez anos não. É por isso que há tanta besteira sendo escrita por aí.
Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.
Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.
Assim acho um pouco sem sentido discuti-las sem levar em consideração não só o contexto em que elas foram formuladas como também todo o ambiente de risco da época. Mas é natural que algo tenha mudado, pois dez anos atrás as ameaças e o volume de dados nas redes era completamente outros. Não se pode proteger redes e dados hoje em dia com os mesmos princípios do inicio da década passada. Outro ponto é que essas afirmações são genéricas demais e cada pessoa pode dar a interpretação que entende.
Duvido que nossos inimigos percam tempo discutindo os "princípios filosóficos" para a criação e controle de uma botnet. Eles partem para ação usando as pessoas (incluo aqui as vítimas), as tecnologias apropriadas e os processos necessários para seu sucesso. Se faltar uma tecnologia que ela seja adicionada ou desenvolvida. Se um processo deu errado que seja então alterado. E por ai vai. Estou simplificando muito? Talvez, mas segurança de TI já é complicado demais para que nós a dificultemos.
segunda-feira, 4 de fevereiro de 2013
10 anos do Slammer
No último dia 25 o ataque do Slammer fez dez anos. Vale a leitura do artigo de Robert Graham no blog da Errata Security: http://erratasec.blogspot.com.br/2013/01/10-years-of-slammer-one-retrospective.html
segunda-feira, 7 de janeiro de 2013
Artigo Guerra Cibernética
A edição de número 12 da revista Fonte, publicada anualmente pela Prodemge nos meses de Dezembro, saiu com um artigo de minha autoria sobre guerra cibernética. A edição integral da revista pode ser baixada do endereço http://www.prodemge.gov.br/images/revistafonte/revista_12.pdf.
Assinar:
Postagens (Atom)