Nessa semana a eBay confirmou que teve a rede invadida e o banco de dados de seus clientes roubado, incluindo as senhas. Como sempre há pouca informação sobre o que ocorreu mas o site disse que algumas credenciais de funcionários foram roubadas, o que permitiu o comprometimento da rede. Certamente mais detalhes serão revelados nos próximos dias.
Mas mesmo com essa pequena informação é possível ter uma pista do que ocorreu. Primeiro, os produtos de segurança, sejam eles quais for, não falharam, pois o invasor usou credenciais legítimas. Me parece que o problema foi que as contas acessam muito mais do que precisam, pois o banco de dados deveria permanecer em servidor restrito a pouquíssimos funcionários além de ter o acesso permanentemente monitorado.
sexta-feira, 23 de maio de 2014
segunda-feira, 12 de maio de 2014
As Ameaças e a Nuvem
*** artigo publicado na edição de maio da revista RTI
http://www.arandanet.com.br/midiaonline/rti/2014/maio/index.html ***
Mas o cloud poderá melhorar a situação geral da
segurança se esta for melhor administrada pelo provedor do que pelo usuário
final, e este deveria ser um fator de análise pelas empresas. Não me refiro
aqui à administração de dispositivos de segurança, serviço já há muito tempo
provido por Managed Service Providers (MSP), mas que um banco de dados ou
sistema armazenado e gerenciado por um terceiro poderá ter mais proteção que o
localizado dentro de casa. É claro que aqui o SLA é fundamental e métricas
objetivas devem ser estabelecidas para medir o nível e a qualidade da
segurança. É um erro pensar que segurança da informação é um item tão elementar
que não precisa ser especificado em detalhes, como a segurança patrimonial. Há
hoje uma profusão dessas métricas, nas várias regulações disponiveis para TI,
como o COBIT e o ISO 27000, e não se deve hesitar em exigi-los em contrato. Mas,
é claro, não há milagres e e, no caso de um APT, pode até ser mesmo menos
eficiente, já que o provedor da nuvem não terá o conhecimento sobre os
potenciais alvos de um ataque. Isso nos remete ao principio de que a estratégia
da segurança nunca “pode ir para a nuvem”. Nenhuma empresa deve transferir a
terceiros a palavra final sobre a proteção de seus dados, esteja estes onde
estiverem.
http://www.arandanet.com.br/midiaonline/rti/2014/maio/index.html ***
Recentemente participei de um painel em um
evento de segurança no Rio de Janeiro com o sugestivo título de “Ameaças
persistentes e avançadas: quais os novos requisitos de segurança no cenário de
cloud computing”. Uma discussão imediatista iria dizer se a nuvem protege ou
não contra essas ameaças, os APTs, porém o mais interessante é que ambos – APTs
e cloud computing – não estão relacionados diretamente, e para relacioná-los é
essencial antes esmiuçar cada um deles separadamente.
Primeiro que elas não são novas e sim uma
evolução do que vemos já há 15 anos. Os bancos brasileiros por exemplo lidam
com APTs há pelo menos dez anos. Segundo, essas ameaças não estão substituindo
as “antigas” (aspas novamente propositais) pois elas continuam ativas e
causando estragos, e como foi demonstrado pela pesquisa da Verizon em 2013 os
ataques persistentes fazem uso de ataques simples (as “antigas” ameaças) para
então instalar código especialmente desenhado para o alvo – o que também não
quer dizer que seja mais avançado. Terceiro, em minha visão o maior problema da
segurança atual não são os APTs ou o malware, mas o fato de que as empresas
ainda gerenciam muito mal a sua segurança. Produtos de segurança costumam ser
muito mal administrados e configurados, muitas vezes de uma forma que não
servem para nada, o que nos leva à conclusão de que mudar os dispositivos para
versões mais novas não ajuda sempre a obter mais segurança.
Um APT é por definição um ataque direcionado. Em
cada evento os alvos são cuidadosamente selecionados e estudados, e disso
dependerá a metodologia do ataque. Aqui está o primeiro erro em generalizar
esse tipo de ameaça, pois não há ataques APT sem alvos previamente escolhidos.
Um bom exemplo são as fraudes em Internet banking, que de tão específicos podem
ser direcionados a apenas um banco, sem afetar clientes de outros. O que pode
trazer alguma confusão é que algumas situações o alvo por si só é amplo. Uma
ameaça que afete Internet banking de todos os bancos com certeza possui um
escopo amplo, o que não quer dizer que não haja um alvo. Também há situações em
que a metodologia do ataque pressupõe o uso de botnets, trazendo a necessidade
de uma ampla invasão, mas o escopo delimitado continua. Um exemplo é um ataque
direcionado a retirar do ar um determinado serviço, e que será executado via
DdoS a partir da rede bot. Além disso em outras vezes o programa simplesmente
vaza e se alastra como um worm, como parece ter sido o caso do Stuxnet. Também
em um APT nem tudo é avançado que não pode ser detectado. O código que realiza
o ataque é um bom exemplo de ameaça avançada, e já foi visto exemplos que efetivam
o ataque à um internet banking corrompendo a memória do computador. Mas isso
não significa que a invasão inicial também usará um ataque avançado, como os de vulnerabilidade dia zero. Vimos em
casos reais que técnicas como phishing para download involuntario e engenharia
social foram usados. Dizem que no caso do Stuxnet um pen drive foi o veiculo
usado para a primeira invasão. Mas isso vai depender do estudo realizado sobre
o alvo e se for o caso novos ataques serão sim usados. Finalmente, Se o APT é
direcionado e persistente, assim deve ser a proteção. A empresa deve conhecer a
fundo seus potenciais alvos internos e estudá-los a fundo, conhecendo formas de
ataque possíveis e desenvolvendo meios de proteção.
Muito se fala hoje do cloud computing e como
sempre há muitas opiniões divergentes. Aqui irei falar apenas das nuvens
públicas, pois as privadas, criadas dentro das mega corporações são nada mais do que um processo
de centralização de serviços de TI. Vejo a nuvem como um revolução para as
pequenas e médias empresas que podem usufruir de serviços, sistemas e
infraestrutura de grandes empresas arcando com uma fração dos custos. É a única
maneira de um que pequeno provedor de software as a service possuir redundancia
de datacenter, podendo fazê-lo até em paises diferentes. Ou de uma média
empresa tornar-se global com seus funcionários trabalhando integrados, não
importa o país onde estejam. Já para as grandes corporações, que já contam com
seus datacenters montados, os beneficios da computação em nuvem não são assim
tão grandes, e a maior parte das empresas com as quais conversei a usam muito
pouco e sempre para dados ou sistemas de menor importância. E nenhuma vez ouvi
alguém citar segurança como motivador para migrar sistemas para centros de
dados operados por terceiros. Pequenos e médios vão para alavancar suas
operações, grandes vão para economizar no que não é crítico.
Acionista processa direção de empresa por problemas em segurança
Além da queda do CEO da rede Target, outros altos executivos também estão tendo problemas devido a falhas de segurança. Um acionista da redes de hoteis Wyndham está processando a direção da empresa sob a alegação que ela está falhando “em tomar medidas razoáveis para manter as informações pessoais e financeiras dos clientes de uma maneira segura”. A empresa foi invadida e dados vazados por três vezes entre abril de 2008 e janeiro de 2010, e está sendo processada pelo Federal Trade Comission, responsável pela proteção aos consumidores nos Estados Unidos e similar ao Procon no Brasil.
terça-feira, 6 de maio de 2014
CEO perde o emprego por causa de invasão
O CEO da Target, rede de supermercados norte-americana, perdeu o emprego em virtude da invasão que a empresa sofreu. Veja em http://www.bostonglobe.com/business/2014/05/05/target-ceo-out-wake-big-security-breach/QZtybyZXH85dmrXOS2ePjK/story.html
Eu comentei a invasão em artigo aqui no blog: http://segdigital.blogspot.com.br/2014/04/a-invasao-na-target-e-o-que-podemos.html
Eu comentei a invasão em artigo aqui no blog: http://segdigital.blogspot.com.br/2014/04/a-invasao-na-target-e-o-que-podemos.html
Assinar:
Postagens (Atom)