Não se preocupe com o espião

*** Nesse post reproduzo artigo de minha autoria publicado na TI Inside. ***

Click here to see the article in English

Espionagem é hoje o assunto do momento e muita gente deve estar se perguntando: "O que fazer para barrar um espião?" Antes convido o leitor a conhecer um caso, publicado recentemente por vários jornais brasileiros, sobre um fotógrafo americano que obteve o direito de tirar fotos de quem ele quiser, fazendo com que aos vizinhos dele só reste a opção de fechar as cortinas das janelas. Da mesma forma que os vizinhos do fotógrafo, que se sentem lesados, tentar deter o espião é o maior erro que uma empresa pode cometer, e remete a uma regra de ouro da segurança de TI: Você não pode mitigar o que não controla. Assim como os moradores do prédio vizinho ao do fotógrafo em Nova York, nós não temos como impedir que alguém nos espione. Temos, na verdade, que esperar o oposto. Pessoas, empresas e governos fazem isso há séculos e não há razão para que parem. A nós só resta fechar as cortinas, o que pode parecer inconveniente, mas infelizmente segurança não combina com conveniência, e há algumas escolhas a fazer.

A boa notícia é que as cortinas estão disponíveis para todos e a maioria delas é trivial. Inclusive, boa parte das soluções de segurança necessárias já estão instaladas em nossas empresas. O principal recurso de proteção de dados ainda é a criptografia. Tudo que é confidencial deve ser criptografado, tanto no armazenamento como na comunicação. Um problema em especial são os dados armazenados em dispositivos de funcionários, muitas vezes fora do radar da empresa. Laptops devem ser criptografados sempre.

Até mesmo a criptografia de celulares e telefonemas, antes restrita a governos, já está disponível a empresas. Mas a sua reputação foi afetada pela notícia de que a Agência de Segurança dos EUA (NSA) é capaz de abrir mensagens cifradas. É sabido que chaves consideradas fracas podem ser quebradas facilmente, mas o mesmo não se aplica a criptografia de última geração. Desvendar chaves consideradas mais seguras pode custar milhões de dólares em tempo de processamento, sem falar em hardware. A grande revelação é que a agência americana obteve chaves criptográficas e plantou vulnerabilidades que permitem aos agentes da NSA ler as mensagens diretamente. Apesar do governo americano aparentemente possuir todo esse poder, o mesmo não se aplica a outros.

Dados também podem ser comprometidos via a invasão de redes e servidores, e aqui entram os já conhecidos sistemas de firewall, prevenção de intrusos, análise de conteúdo, etc. Há muita discussão hoje em dia sobre a necessidade de substituir produtos instalados por outros de "próxima geração". Em geral, isso não é necessário — a não ser que o produto atualmente instalado esteja, realmente, obsoleto ou a empresa precise de alguma camada nova, como monitoramento de redes sociais, não disponível no dispositivo já usado. O grande problema dos sistemas de proteção de redes, servidores e aplicações não é o produto ou tecnologia instalados, mas, sim, a sua configuração e gerenciamento. Muitas empresas gerenciam mal seus produtos, por isso, eles são ineficientes. Mudá-los não resolveria muita coisa. Inclusive uma pesquisa publicada pela Verizon, realizada em 27 países, identificou que 78% dos ataques iniciais eram de baixa dificuldade, portanto detectáveis por sistemas já em uso. Para essas empresas vale mais a pena investir em gerenciamento que em novas tecnologias.

Mas há outro problema muito comum, além do gerenciamento falho: o ser humano. É um clichê dizer que o ser humano é o elo mais fraco da corrente, mas é a pura verdade. Afinal, quais foram as causas dos vazamentos do wikileaks e da NSA? Seres humanos. Não usuários comuns, mas funcionários com acesso aos dados. Para usuários comuns normalmente programas de conscientização resolvem, mas para os últimos é necessário um processo especial de vigilância e monitoramento, especificamente o de acesso e mudanças. Sim, o espião pode estar em casa e possuir senha de administrador.

Do not worry about the spy

Spying is now a hot topic and a lot of people must be wondering: "What can be done to stop a spy?" Before answering this question, I invite the reader to know a case recently published by several newspapers in Brazil about an American photographer who got the right to take pictures of whomever he wants, so that the only option that remained to his neighbors was to close their curtains. Likewise the photographer's neighbors, who feel aggrieved , trying to stop the spy is the biggest mistake a company can make, and it refers to a golden rule of IT security: You can not mitigate the non-controlling. As residents of the photographer's neighboring building in New York , we have no way to prevent someone from spying us. We have , in fact, to expect the opposite. People, business and government have been doing it for centuries and there is no reason for them to stop. To us, the only option is to close the curtains, which may seem inconvenient, but, unfortunately, security does not suit convenience, and there are some choices to make.

The good news is that the curtains are available for everyone and most of them are trivial. In fact, most of the required security solutions are already installed in our companies. The main resource for data protection is still encryption. Everything that is confidential should be encrypted, both in storage and communication. A particular problem is the data stored in employee devices, often out of the radar of the company. Laptops should always be encrypted.

Even encrypting cell phones and calls, previously restricted to governments , is now available to companies. But its reputation was affected by the news that the U.S. Security Agency (NSA) is able to open encrypted messages. It is known that considered weak keys can be broken easily, but the same does not apply to state-of-the-art encryption. To unravel considered safer keys can cost millions of dollars in processing time, not to mention hardware. The big revelation is that the American agency obtained cryptographic keys and planted vulnerabilities that allow NSA agents to read the messages directly. Despite the U.S. government apparently having all this power, the same does not apply to others.

Data can also be compromised via the invasion of networks and servers, and here it comes to the well known firewall systems, intrusion prevention, content analysis, etc.. There is currently a lot of discussion about the need to replace installed products by others from the "next generation ". In general , this is not necessary - unless the product currently installed is really obsolete or the company needs some new layers, such as monitoring of social networks, not available on the device already used . The major problem of systems for protection of networks, servers and applications is not the installed product or technology, but rather, its configuration and management. Many companies poorly manage their products, so that they become inefficient . Changing them would not solve much. A survey published by Verizon and performed in 27 countries found that 78 % of initial attacks were of low difficulty, therefore detectable by systems already in use. For these companies it is more worthwhile to invest in management than in new technologies.

But there is another very common problem beyond the flawed management: the human being. It may be a cliché to say that the human being is the weakest link in the chain, but it is true. After all, what were the causes of the leaks of Wikileaks and the NSA? Humans. No ordinary users, but employees with access to data. For ordinary users, awareness programs usually work fine, but, for the later users, a special process of surveillance and monitoring is required, specifically regarding access and changes. Yes, the spy can be at home and have an administrator password.