Baixe o app para aproveitar ainda mais
Prévia do material em texto
141 SEGURANÇA EM REDES DE COMPUTADORES Unidade IV 7 TESTE DE INVASÃO E TECNOLOGIAS EMERGENTES Após a implantação dos dispositivos tecnológicos de segurança, a grande dificuldade dos administradores de rede é saber se tudo aquilo que foi implantado e investido está efetivamente protegendo as informações que trafegam na rede. Para tal, os administradores podem aplicar os testes de invasão. Além disso, pensando nas mais diversas formas de ataque que podem ocorrer, pode-se reconfigurar os dispositivos. 7.1 Teste de invasão, conceito De acordo com Weidman: testes de invasão ou pentesting (não confundir com testes de caneta esferográfica ou de canetas-tinteiro) envolvem a simulação de ataques reais para avaliar os riscos associados a potenciais brechas de segurança. Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). Informações a respeito de organizações de grande porte que foram alvo de um ciberataque são comuns hoje. Com mais frequência do que se espera, os invasores não usam a última e mais recente vulnerabilidade zero-day (uma vulnerabilidade que ainda não foi corrigida pelos fornecedores de software), eles atacam usando vulnerabilidades existentes há muito tempo e, na maioria das vezes, com a correção publicada. Organizações que gastam consideravelmente em segurança tornam-se vítimas de vulnerabilidades de injeção de SQL em seus sites, de ataques de engenharia social contra seus funcionários, de senhas fracas em serviços disponíveis pela internet e assim por diante. Em outras palavras, as organizações estão perdendo dados proprietários e expondo detalhes pessoais de seus clientes em consequência de brechas de segurança que poderiam ter sido corrigidas. Quando se aplica um teste de invasão, esses problemas são descobertos antes que um invasor o faça, assim é possível fornecer recomendações sobre como corrigi-los e evitar vulnerabilidades futuras. O escopo dos testes de invasão pode variar de cliente para cliente, assim como ocorre com as tarefas. Algumas organizações terão uma postura excelente no tocante à segurança, enquanto outras terão vulnerabilidades que permitiriam aos invasores violar o perímetro e obter acesso aos sistemas internos. 142 Unidade IV Às vezes, ainda será necessário ser responsável pela avaliação de uma ou mais aplicações web personalizadas. Isso poderá exigir ataques de engenharia social e do lado do cliente para obter acesso à sua rede interna. Alguns testes de invasão exigirão atuações como se fosse alguém de dentro: um funcionário mau caráter ou descontente ou um invasor que já tenha violado o perímetro. Algumas situações exigirão um teste de invasão externo, em que será necessário simular um ataque por meio da internet. Há organizações que desejam avaliar a segurança das redes wireless de seus escritórios. Em alguns casos, é possível efetuar uma auditoria nos controles de segurança físicos da organização. 7.2 Processos de um teste de invasão Os testes de invasão têm início com a fase de preparação (pre-engagement), que envolve definir os objetivos para o teste de invasão, o mapeamento do escopo (a extensão e os parâmetros do teste) e assim por diante. O teste terá início quando o pentester e a organização chegarem a um acordo sobre o escopo, a formatação do relatório e sobre o formato do teste de invasão. A seguir, vamos destacar cada um desses testes conforme sua ordem de execução. Coleta de informações (information gathering) O pentester procura informações disponíveis publicamente sobre a organização e identifica maneiras em potencial de conectar-se com seus sistemas. Modelagem das ameaças (threat modeling) É preciso pensar como os invasores para desenvolver planos de ataque de acordo com as informações coletadas. Por exemplo, se o cliente desenvolver um software proprietário, um invasor poderá devastar a empresa se acessar os sistemas de desenvolvimento internos, cujo código-fonte é desenvolvido e testado, e vender os segredos comerciais da empresa a um concorrente. De acordo com os dados encontrados durante a fase de coleta de informações, serão desenvolvidas estratégias para invadir os sistemas da organização. Essa avaliação permite ao pentester desenvolver um plano de ação e métodos de ataque. Análise de vulnerabilidades (vulnerability analysis) Os pentesters começam a descobrir ativamente as vulnerabilidades a fim de determinar até que ponto suas estratégias de exploração de falhas poderão ser bem-sucedidas. Os exploits que falharem poderão desativar serviços, disparar alertas de detecção de invasão e arruinar suas chances de efetuar uma exploração de falhas com êxito. Com frequência, durante essa fase, os pentesters executam scanners, que usam bancos de dados de vulnerabilidades e uma série de verificações ativas para obter um palpite melhor a respeito de quais delas estão presentes no sistema de um cliente. Entretanto, embora os scanners de vulnerabilidade sejam ferramentas eficazes, elas não podem substituir totalmente o raciocínio crítico, é vital que também sejam feitas análises manuais nessa etapa. 143 SEGURANÇA EM REDES DE COMPUTADORES Exploração (exploit) Para a exploração de falhas, são executados testes contra as vulnerabilidades descobertas (às vezes, usando uma ferramenta como o Metasploit) em uma tentativa de acessar os sistemas de um cliente. Algumas vulnerabilidades são muito fáceis de serem exploradas, por exemplo, fazer login com senhas default. Pós-exploração Os testes de invasão realmente começam somente após a exploração de falhas. Nesse momento, o profissional conseguiu entrar no sistema, mas o que essa invasão realmente significa para a organização? Se você invadir um sistema legado, sem patches (correções), que não faça parte de um domínio ou que não esteja ligado a alvos muito valiosos, e esse sistema não contiver nenhuma informação que interesse a um invasor, o risco dessa vulnerabilidade será significativamente menor do que se você pudesse explorar um controlador de domínio ou um sistema de desenvolvimento de um cliente. Durante a fase de pós-exploração de falhas, reúnem-se informações sobre o sistema invadido, procuram-se arquivos interessantes, tenta-se elevar o nível dos privilégios quando necessário e assim por diante. Por exemplo: pode-se fazer um dump das hashes de senha para ver se é possível revertê-las ou usá-las para acessar sistemas adicionais. Pode-se tentar usar o computador explorado para atacar sistemas que não estavam anteriormente disponíveis se for efetuado um retorno para esses sistemas. Geração de relatórios (report generation) Descreve-se a última etapa do processo. Nesse instante, devem ser informadas as descobertas de maneira significativa. Diz-se o que a empresa está fazendo corretamente, os pontos em que deve melhorar quanto à segurança, e o profissional destaca como conseguiu invadir, o que descobriu, como corrigir os problemas e assim por diante. Escrever um bom relatório de teste de invasão é uma arte que exige prática para ser dominada. Será necessário informar as descobertas de forma clara a todos, da equipe de TI responsável pela correção das vulnerabilidades até a alta gerência, que aprova as alterações com os auditores externos. Deve-se evitar termos técnicos em excesso e, caso tenha que usá-los, explicar seus conceitos. Uma melhor maneira de o responsável pelo teste transmitir esse raciocínio seria mencionar os dados privados que foi capaz de acessar ou de alterar. Uma afirmação como “Fui capaz de ler o seu e-mail” vai gerar repercussões em quase todos. O relatório do teste de invasão deve incluir tanto um sumário executivo como um relatório técnico. O sumário executivo descreve os objetivos do teste e oferece umavisão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. O sumário executivo deve incluir o seguinte: • Histórico: descrição do propósito do teste, definições de qualquer termo que possa não ser familiar aos executivos, vulnerabilidades e medidas de prevenção. 144 Unidade IV • Postura geral: visão geral da eficiência do teste, os problemas encontrados (por exemplo, a exploração da vulnerabilidade MS08-067 da Microsoft) e problemas gerais que causam vulnerabilidades, como a ausência de gerenciamento de patches. • Perfil do risco: classificação geral da postura da empresa quanto à segurança, quando comparada com organizações semelhantes, com medidas – como alto, moderado ou baixo. Deve haver uma explicação sobre a classificação ou adotar-se a matriz de risco da organização caso ela o tenha. • Descobertas gerais: uma sinopse geral dos problemas identificados, juntamente com estatísticas e métricas sobre a eficiência de qualquer medida de prevenção implantada. • Resumo das recomendações: visão geral das tarefas necessárias para corrigir os problemas descobertos no teste de invasão. • Mapa estratégico: oferece objetivos de curto e de longo prazo ao cliente para melhorar a sua postura quanto à segurança. Por exemplo, o responsável pelo teste pode dizer à empresa que aplicar determinados patches para endereçar as preocupações de curto prazo não resolverá o problema, que o ideal é criar um plano de longo prazo para o gerenciamento de patches. O relatório técnico oferece detalhes técnicos sobre o teste, devendo incluir: • Introdução: um inventário dos detalhes, como escopo, contatos e assim por diante. • Coleta de informações: detalhes das descobertas da fase de coleta de informações, em especial os rastros do cliente (footprint) deixados na internet. • Avaliação de vulnerabilidades: particularidades das evidências da fase de análise de vulnerabilidades do teste. • Exploração de falhas/verificação de vulnerabilidades: observações das descobertas da etapa de exploração de falhas do teste. • Pós-exploração de falhas: detalhes das apreciações da fase de pós-exploração de falhas do teste. • Risco/exposição: descrição quantitativa do risco identificado. Essa seção faz uma estimativa das perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor. • Conclusão: uma visão geral do teste. 145 SEGURANÇA EM REDES DE COMPUTADORES Saiba mais Para obter mais informações sobre testes de invasão, um bom local para começar é o Penetration Testing Execution Standard (PTES): http://www.pentest--standard.org 7.2.1 Etapa de coleta de informações O objetivo dessa etapa é conhecer o máximo possível os clientes. O executivo revela informações demais no Twitter? O administrador do sistema está escrevendo para listservs de arquivos, perguntando a respeito de como garantir a segurança de uma instalação de Drupal? Que softwares estão sendo executados em seus servidores web? Os sistemas voltados à internet estão ouvindo mais portas do que deveriam? Ou, se esse é um teste de invasão interno, qual é o endereço IP controlador de domínio? Nesse instante é que se começa a interagir com o sistema-alvo, conhecendo o máximo que puder sobre eles, sem atacá-los de forma ativa. Usa-se o conhecimento adquirido nessa fase para prosseguir para a fase de modelagem de ameaças, quando deverá se pensar como os invasores, e então desenvolver planos de ataque com base nas informações coletadas. De acordo com as informações que forem descobertas, deve-se procurar e verificar as vulnerabilidades de forma ativa usando técnicas de scanning. Pode-se aprender bastante sobre a organização e a infraestrutura do objeto de análise antes de enviar nem sequer um único pacote. Contudo, a coleta de informações continua sendo uma espécie de alvo em movimento. Não é viável estudar a vida on-line de todos os funcionários, pois a quantidade de informações coletadas é enorme e poderá ser difícil discernir dados importantes de ruídos. Se o executivo tuitar com frequência sobre um time esportivo favorito, o nome desse time será a base da senha de seu webmail, mas essa informação poderia ser também totalmente irrelevante. Em outras ocasiões, será mais fácil escolher algo que seja mais importante. Por exemplo, se o cliente tiver postagens de ofertas de emprego on-line para uma vaga de administrador de sistemas que seja especialista em determinado software, haverá uma boa chance de essas plataformas terem sido implantadas na infraestrutura da organização. Em oposição aos dados de inteligência obtidos a partir de fontes secretas, por exemplo, ao vasculhar lixos, vasculhar bancos de dados de sites e usar a engenharia social, o OSINT (Open Source Intelligence – Inteligência de Fontes Abertas) é coletado a partir de fontes legais, como de registros públicos e por meio da mídia social. O sucesso de um teste de invasão com frequência depende do resultado da etapa de coleta de informações, e algumas ferramentas para obter informações interessantes são provenientes de fontes públicas. 146 Unidade IV 7.2.2 Descobrindo as vulnerabilidades Antes de começar a lançar exploits, é preciso fazer algumas pesquisas. Quando são identificadas vulnerabilidades, procuram-se, de forma ativa, problemas que levarão a um comprometimento na fase de exploração de falhas. Embora algumas empresas de segurança executem somente uma ferramenta automatizada de exploração de falhas e esperem pelo melhor, um estudo cuidadoso das vulnerabilidades feito por um pentester habilidoso proporcionará melhores resultados do que qualquer ferramenta por si só. Após serem obtidas as informações sobre o alvo e a superfície de ataque, será possível desenvolver cenários para atingir os objetivos do teste de invasão. Por exemplo, o servidor FTP na porta 21 anunciou-se como sendo o Vsftpd 2.3.4. Vsftpd corresponde à abreviatura de Very Secure FTP (FTP Muito Seguro). Pode-se supor que um produto que se autodenomine muito seguro está pedindo para ter problemas, e, de fato, em julho de 2011, veio à tona a notícia de que o repositório do Vsftpd havia sido invadido. Os binários do Vsftpd haviam sido substituídos por uma versão contendo um backdoor (porta dos fundos) que podia ser acionado com um nome de usuário contendo uma carinha sorridente. Isso fazia com que um root shell fosse aberto na porta 6200. Depois que o problema foi descoberto, os binários com o backdoor foram removidos e o Vsftpd 2.3.4 oficial foi restaurado. Portanto, embora a presença do Vsftpd 2.3.4 não assegure que o alvo seja vulnerável, definitivamente, é uma ameaça a ser considerada. O teste de invasão se torna mais fácil se pegarmos uma carona com um invasor que já tenha o controle de um sistema. Embora alguns cursos de testes de invasão excluam totalmente o scanning de vulnerabilidades e argumentem que um pentester habilidoso pode descobrir tudo o que um scanner pode, os scanners continuam sendo ferramentas valiosas, especialmente porque muitos testes de invasão são realizados em uma janela de tempo menor do que qualquer um gostaria de ter. Porém, se um dos objetivos da avaliação for evitar a detecção, deverá se pensar duas vezes antes de usar um scanner indiscreto de vulnerabilidades. Muito embora as ferramentas sejam eficazes, às vezes nenhuma solução chegará nem perto da análise manual de vulnerabilidades para verificar se um serviço resultará em um comprometimento, e nada melhor do que a prática para se aperfeiçoar. A seguir, vamos explorar algumas pistas promissoras obtidas a partir do scanning de portas e de vulnerabilidades. Como exemplo, podemos analisar uma porta que não costuma não aparecer em scans automatizados: a porta 3232 tendo como alvo Windows. Se tentarmos efetuar o scan dessa porta com um scan convencional, perceberemos que haverá uma falha. Esse comportamento sugere que o programa que está ouvindo é projetado para ouvir um dado de entrada em particulare que ele tem dificuldade de processar qualquer outra informação. Esse tipo de comportamento é interessante para os pentesters porque os programas que falham quando lidam com dados de entrada indevidos não estão validando suas entradas de forma adequada. 147 SEGURANÇA EM REDES DE COMPUTADORES Observação Existem diversas ferramentas automatizadas de exploração de vulnerabilidades, e os testes serão mais eficientes se o responsável unir a tecnologia com sua experiência, pois algumas ameaças estão além do ambiente tecnológico das redes. 7.2.3 Capturando tráfego Antes de partir para exploração de falhas, deve-se usar as ferramentas de monitoração (o Wireshark é bem conhecido) e outras para efetuar o sniffing e a manipulação do tráfego de modo a obter informações úteis de outros computadores da rede local. Em um teste de invasão interno, quando estivermos simulando uma ameaça interna ou um invasor tiver conseguido acessar a periferia do sistema, capturar o tráfego de outros sistemas da rede poderá proporcionar informações adicionais interessantes (quem sabe até mesmo nomes de usuário e senhas) que poderão ajudar na exploração de falhas. O problema é que a captura de tráfego pode gerar uma quantidade massiva de dados potencialmente úteis. Capturar todo o tráfego somente em sua rede local pode fazer com que várias telas do Wireshark sejam preenchidas rapidamente, e descobrir qual tráfego é útil em um teste de invasão poderá ser difícil. De modo diferente dos hubs, os switches enviam tráfego somente para o sistema desejado, portanto, em uma rede com switches, não podemos ver, por exemplo, todo o tráfego de rede para o controlador de domínio sem que enganemos a rede para que ela envie esse tráfego. A maioria das redes com as quais você se deparar nos testes de invasão provavelmente será composta de redes com switches; até mesmo alguns hardwares de redes legadas que utilizam hub podem ter a funcionalidade de um switch. As redes virtuais parecem agir como hubs porque todas as suas máquinas virtuais compartilham um dispositivo físico. Se o tráfego for capturado em modo promíscuo em uma rede virtual, você poderá ver o tráfego de todas as máquinas virtuais bem como o do computador host, mesmo que um switch esteja sendo usado no lugar de um hub em seu ambiente. Para simular uma rede não virtualizada, desativa-se o Use promiscuous mode (Usar modo promíscuo) em todas as interfaces no Wireshark, o que significa que será necessário se esforçar um pouco mais para capturar o tráfego das máquinas virtuais alvo. 7.2.4 Exploração de falhas É nessa fase que serão executados os exploits contra as vulnerabilidades descobertas para obter acesso aos sistemas-alvo. Algumas vulnerabilidades, por exemplo, o uso de senhas default, são tão fáceis de serem exploradas que nem parecem ser uma exploração de falhas. Outras são muito mais complicadas. Retornemos ao exemplo anterior (MS08-067). É possível explorar um problema no servidor SLMail POP3 usando um módulo do Metasploit. Além disso, será possível pegar uma carona em um comprometimento anterior e ignorar o login no servidor FTP em nosso alvo Linux. Vamos explorar uma 148 Unidade IV vulnerabilidade na instalação do TikiWiki no alvo Linux e alguns problemas de senhas default em uma instalação do XAMPP no alvo Windows. Também vamos tirar proveito de um compartilhamento NFS com permissão de leitura e de escrita para assumirmos o controle de chaves SSH e fazer login como um usuário válido sem que tenhamos conhecimento da senha. Vamos interagir com um servidor web frágil em uma porta não padrão para tirar proveito de um problema de directory traversal (travessia de diretórios) e faremos o download de arquivos do sistema. 7.2.5 Ataques a senhas Weidman lembra que: geralmente, as senhas representam o ponto que oferece a menor resistência em atividades de testes de invasão. Um cliente com um programa robusto de segurança pode corrigir a falta de patches do Windows e evitar a existência de softwares desatualizados, porém os usuários em si não podem ser corrigidos (WEIDMAN, 2014, p. 247). Os ataques aos usuários com maior êxito a senhas utilizam técnicas de engenharia social, porém, se for possível adivinhar ou calcular corretamente a senha de um usuário, poderá ser evitado totalmente seu envolvimento no ataque. As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas; ataques por meio de força bruta e palpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos. Até mesmos os web services como o Gmail e o Dropbox oferecem autenticação de dois fatores, em que o usuário fornece uma senha, além de um segundo valor, por exemplo, os dígitos de um token eletrônico. Se a autenticação de dois fatores não estiver disponível, o uso de senhas fortes será mandatório para garantir a segurança da conta, pois tudo o que estiver entre o invasor e os dados sensíveis poderá se reduzir a uma simples string. Senhas fortes são longas, utilizam caracteres de classes com diversas complexidades e não são baseadas em palavras que se encontram em dicionários. As empresas podem forçar os usuários a criar senhas fortes, mas, à medida que as senhas se tornam mais complexas, elas se tornam mais difíceis de lembrar. É provável que os usuários deixem uma senha da qual não conseguem se lembrar em um arquivo em seu computador, no smartphone ou até mesmo em um papel para recados, pois é mais fácil se lembrar delas dessa maneira. É óbvio que senhas que podem ser descobertas por aí em formato de texto simples colocam em risco a segurança proporcionada pelo uso de uma senha forte. Outro pecado mortal para um bom gerenciamento de senhas consiste em usar a mesma senha em vários sites. Em um cenário de pior caso, a senha fraca do CEO usada em um fórum web comprometido pode ser a mesma usada para o seu acesso corporativo aos documentos financeiros. A reutilização de senhas é algo para ter em mente ao realizar ataques a senhas; você poderá encontrar as mesmas senhas sendo usadas em vários sistemas e sites. 149 SEGURANÇA EM REDES DE COMPUTADORES O gerenciamento de senhas apresenta um problema difícil para a equipe de TI e é provável que continue a ser um caminho frutífero para os invasores, a menos que, ou até que a autenticação baseada em senhas seja completamente substituída por outro modelo. Assim como usamos scans automatizados para descobrir vulnerabilidades, podemos usar scripts para tentar fazer login automaticamente em serviços e descobrir credenciais válidas. Serão utilizadas ferramentas projetadas para automatizar ataques on-line a senhas ou para fornecer palpites para as senhas até o servidor responder com um login bem-sucedido. Essas ferramentas usam uma técnica chamada força bruta. As ferramentas que usam a força bruta tentam usar todas as combinações possíveis de nome de usuário e senha e, se houver tempo suficiente, elas irão descobrir credenciais válidas. O problema com a força bruta é que, à medida que senhas mais fortes são usadas, o tempo necessário para descobri-las por meio dessa técnica passa de horas para anos e até mesmo para um tempo maior que a duração natural de sua vida. Provavelmente, será possível descobrir credenciais funcionais mais facilmente se forem fornecidos palpites embasados sobre as senhas corretas a uma ferramenta automatizada de login. Palavras que se encontram em dicionários são fáceis de serem lembradas, portanto, apesar dos avisos de segurança, muitos usuários as incorporam nas senhas. Usuários um pouco mais conscientes quanto à segurança colocam alguns números ou até mesmo um ponto de exclamação no final de suas senhas. Uma lista de palavras deve ser desenvolvida antes da utilização de uma ferramenta para adivinhar senhas, e é preciso ter uma lista de credenciais para experimentar. Se você não souber o nome daconta do usuário cuja senha você quer quebrar, ou se quiser simplesmente fazer o cracking do máximo possível de contas, é possível fornecer uma lista de nomes de usuário a ser percorrida pela ferramenta que adivinha senhas. As listas de usuários devem ser criadas onde inicialmente devemos procurar determinar o esquema a ser usado pelo alvo do teste para os nomes de usuário. Por exemplo, se você estiver tentando invadir as contas de e-mail dos funcionários, descubra o padrão seguido pelos endereços de e-mail. Esse padrão corresponde ao primeiro nome/sobrenome, somente ao primeiro nome ou é algo diferente? Você pode dar uma olhada em bons candidatos a nomes de usuário em listas de primeiro nome e sobrenome comuns. É claro que haverá mais chances de os palpites terem mais sucesso se você puder descobrir os nomes dos funcionários de seu alvo. Se uma organização usar a inicial do primeiro nome seguido de um sobrenome como o esquema para o nome do usuário, e eles tiverem um funcionário chamado Carlos Silveira, csilveira provavelmente será um nome válido de usuário. Observação Pesquisas revelam que 60% dos usuários de redes corporativas utilizam senhas fracas, o que facilita o ataque de força bruta. Assim, os testes de invasão são eficazes para verificar se a norma está sendo cumprida. 150 Unidade IV 7.2.6 Explorando falhas do lado da organização Nesse tipo de teste, é comum descobrir serviços vulneráveis ouvindo portas, senhas default que não foram alteradas, servidores web indevidamente configurados e assim por diante. Entretanto, organizações que investem bastante tempo e esforço em sua atitude quanto à segurança podem estar livres desses tipos de vulnerabilidade. Pode-se instalar todos os patches de segurança, efetuar auditorias periódicas em senhas e remover qualquer uma que possa ser facilmente adivinhada ou quebrada. Também é possível controlar os papéis dos usuários: usuários normais podem não ter direitos de administrador em suas estações de trabalho e qualquer software instalado é investigado e mantido pela equipe de segurança. Como resultado, poderá não haver muitos serviços nem para tentar atacar. Mesmo assim, apesar da implantação das melhores e mais recentes tecnologias de segurança e do emprego de equipes de segurança contra cracking, organizações de destaque (que podem resultar em recompensas potencialmente valiosas para os invasores) continuam sendo invadidas. Às vezes, não é necessário escutar diretamente uma porta no computador. Como é preciso pensar em outra maneira de atacar um dispositivo dentro do perímetro de uma organização, deve-se selecionar o payload de acordo com esse cenário. Enquanto um bind shell normal pode funcionar bem em sistemas diretamente expostos à internet ou que estejam ouvindo uma porta em nossa rede local, nesse caso, no mínimo, estaremos limitados a conexões reversas. Nos ataques do lado da organização, em vez de atacar diretamente um serviço que esteja ouvindo uma porta, será necessário criar uma variedade de arquivos maliciosos que, quando abertos em um software vulnerável no computador-alvo, resultarão em um comprometimento. Após a execução de ferramentas, análises manuais e pesquisas, as possibilidades de exploração de falhas se reduzem gradualmente, restando um número limitado de problemas nos sistemas-alvo. Esses problemas correspondiam a entraves do lado do servidor, ou seja, de serviços que estavam ouvindo portas. O que está sendo deixado de lado é qualquer software potencialmente vulnerável que não esteja ouvindo uma porta, ou seja, softwares do lado da organização. Softwares como navegadores web, visualizadores de documentos, players de música e assim por diante estão sujeitos aos mesmos tipos de problema que os servidores web, os servidores de e-mail e todos os demais que programas baseados em rede apresentam. Obviamente, como os softwares do lado da organização não estão ouvindo a rede, não será possível atacá-los diretamente, porém o princípio geral será o mesmo. Se pudermos enviar um dado de entrada não esperado a um programa para acionar uma vulnerabilidade, podemos sequestrar a execução da mesma maneira que exploramos os programas do lado do servidor. Como não podemos enviar dados de entrada diretamente aos programas do lado do cliente pela rede, devemos convencer um usuário a abrir um arquivo malicioso. 151 SEGURANÇA EM REDES DE COMPUTADORES Se a segurança for levada mais a sério e as vulnerabilidades do lado do servidor ficarem mais difíceis de serem descobertas do ponto de vista da internet, a exploração de falhas do lado do cliente se tornará a chave para obter acesso até mesmo em redes internas cuidadosamente protegidas. Os ataques ao lado do cliente são ideais em equipamentos como estações de trabalho ou dispositivos móveis que não possuem um endereço IP disponível na internet. Embora, do ponto de vista da internet, não seja possível acessar diretamente esses sistemas, eles normalmente podem acessar a internet ou um sistema controlado por um pentester, caso a execução puder ser sequestrada. Infelizmente, o sucesso de ataques do lado da organização depende de garantir, de certo modo, que nosso exploit seja baixado e aberto em um produto vulnerável para concretizar o ataque. 7.3 Segurança em tecnologias emergentes Os administradores de redes devem aperfeiçoar constantemente suas habilidades quanto às novas tecnologias e suas implicações no quesito segurança, uma vez que essas tecnologias demostram quase sempre redução de custos ou melhorias significativas de desempenho. Infelizmente, é comum que as empresas deixem a segurança das informações em segundo plano, e é responsabilidade dos administradores de redes trazer à tona discussões relevantes sobre o tema. 7.3.1 Cloud computing A computação em nuvem ou cloud computing refere-se a uma tecnologia antiga que ganhou força em 2008. Nada mais é do que utilizar, armazenar, desenvolver dados, informações ou aplicações das mais variadas formas através da internet, seja no local, seja na plataforma. O e-mail que é acessado pelo navegador sempre esteve na nuvem, porém a partir de 2008 foram desenvolvidas soluções comerciais que, além de facilitar a administração, reduzem custos. Com a computação em nuvem, os aplicativos e os arquivos não precisam mais estar instalados ou armazenados no computador do usuário ou em um servidor próximo. Esse conteúdo está disponível na nuvem, isto é, na internet. Assim, o fornecedor das aplicações fica com todas as tarefas de gerenciamento e manutenção desses dados, como armazenamento, atualização, backup, escalonamento. Os clientes e/ou organizações não precisam se preocupar com nenhum desses aspectos, apenas em acessar e utilizar seus e-mails. 152 Unidade IV ] Figura 40 – Utilização da nuvem Exemplo prático dessa situação é o Office 386, da Microsoft, serviço que disponibiliza aos usuários acesso aos recursos do pacote de forma inteiramente on-line. O usuário deve possuir acesso à internet, pagar o serviço e criar sua conta e senha e através de qualquer navegador o acesso será fornecido. Com as vantagens e a constante ampliação dos serviços em nuvem – aliados à mobilidade e ao aumento da velocidade de conexão –, os serviços estão migrando para a nuvem em um caminho quase que sem volta, não sendo possível aos administradores negarem a sua utilização ou simplesmente ignorarem o fato de que as organizações utilizarão os serviços, restando apenas garantir que essa migração seja realizada de forma segura. No caso específico da implantação de serviços em nuvem, a primeira preocupação dos administradores é com a disponibilidade dessas informações. É muito provável que os executivos acabem adotando serviços em nuvem por acreditarem que uma de suas características possa trazer benéficos; o maior apelo, como sempre, seria o financeiro, mas existem outras características. Quadro 30 Benefícios Características Diversidade Pode-se acessar as aplicações independentementedo sistema operacional ou do equipamento utilizado Redução de custos com atualização do parque e segurança da informação Não é necessária a preocupação com a estrutura para executar a aplicação – hardware, procedimentos de backup, controle de segurança, manutenção, entre outros Unicidade de informações em qualquer lugar O trabalho colaborativo se torna mais fácil, pois todos os usuários acessam as aplicações e os dados do mesmo lugar: a nuvem Disponibilidade Dependendo do fornecedor, é disponibilizada alta disponibilidade computacional: caso um servidor pare de funcionar, os demais que fazem parte da estrutura continuam a oferecer o serviço Controle de gastos O usuário pode contar com melhor controle de gastos, pois contrata somente o que irá utilizar 153 SEGURANÇA EM REDES DE COMPUTADORES Estão disponibilizados os mais diversos serviços em nuvem, e a seguir ilustraremos os mais comumente oferecidos. • Software as a Service (SaaS) ou Software como Serviço: formato de serviço em que o contratante não necessita adquirir a licença de uso para instalar ou mesmo investir em computadores, ele simplesmente contrata os serviços de software por assinatura e paga um valor periódico pelo uso por um tempo definido em contrato. • Platform as a Service (PaaS) ou Plataforma como Serviço: é uma solução que, na maioria das vezes, inclui todos ou quase todos os recursos necessários ao trabalho, como armazenamento, banco de dados, escalabilidade (aumento automático da capacidade de armazenamento ou processamento), suporte a linguagens de programação e segurança. • Database as a Service (DaaS) ou Banco de Dados como Serviço: é oferecido aos clientes que desejam o fornecimento de serviços para armazenamento e acesso de volumes de dados. A vantagem está na flexibilidade para expandir o banco de dados, compartilhar as informações com outros sistemas. • Infrastructure as a Service (IaaS) ou Infraestrutura como Serviço: muito semelhante ao PaaS, porém destinado à estrutura de hardware ou de máquinas virtuais, com o usuário tendo inclusive acesso a recursos do sistema operacional. • Testing as a Service (TaaS) ou Teste como Serviço: disponibiliza ambiente de teste das aplicações de sistemas desenvolvidos pelo cliente, inclusive como simulações do comportamento desses sistemas em nível de execução. Quando os administradores de redes se deparam com a implantação de um ou mais desses serviços em nuvem, devem ter consciência que os problemas de segurança apenas mudaram de endereço, não deixaram simplesmente de existir. Assim, a análise no aspecto de segurança deverá considerar qual formato de nuvem a organização adotou. As nuvens podem ser estruturadas em três formatos diferentes, sendo públicas, privadas ou híbridas. A nuvem pública fornece determinados serviços em plataformas distantes (gerenciadas por um terceiro) que são acessadas através da internet. Já a nuvem privada ou private cloud apresenta os mesmos benefícios, inclusive os usuários da rede nem percebem a diferença entre as duas, porém o que ocorre por trás faz toda diferença: os equipamentos e sistemas utilizados para constituir a nuvem ficam dentro da infraestrutura da própria corporação; em outras palavras, é uma nuvem particular, um terceiro modo aparece para unificar as duas e as nuvem híbridas mesclam as nuvens privadas, que geralmente ficam para as atividades mais críticas ao negócio ou que sofrem imposição legal. Para o modelo privado, resta tudo o que não for crítico ou imposto pela lei, proporcionando segurança, desempenho e redução de custos. Assim, no tocante à segurança da informação, os dados disponibilizados em nuvem devem traçar objetivos distintos para cada formato. Para nuvens privadas, os princípios de segurança seguem os modelos estudados até aqui, como autenticação, configuração de dispositivos e assim por diante. Nesse 154 Unidade IV contexto, a configuração será realizada no local pelo próprio responsável pela rede e sua equipe. Nos casos de nuvens públicas, as preocupações são exatamente as mesmas, porém a configuração e a manutenção não ficarão a cargo do responsável pela rede e sua equipe, e sim de um terceiro. Não se engane, pois isso não retira a responsabilidade pelos ativos ali transmitidos, deve-se encarar a operação considerando a esfera jurídica. Então, caberá ao cliente (contratante) estabelecer o seguinte: um contrato muito bem redigido, constando de todas as necessidades de segurança nos aspectos de confidencialidade, integridade e, principalmente, disponibilidade das informações; multas elevadas (no mínimo duas vezes o valor do ativo de informação) para os casos de vazamento de informações, indisponibilizando o serviço, mesmo que temporariamente; auditorias presenciais, se possível, ou remotas nos casos das nuvens muito distantes; por fim, os corriqueiros testes de invasão. Aparentemente, as nuvens híbridas parecem mais eficazes pensando em segurança da informação, e elas realmente são, e o motivo é bem óbvio: a terceirizada usa apenas as informações menos importantes da organização, o restante fica protegido pelas políticas de segurança da própria organização, que as gerencia. Lembrete Para ter uma nuvem híbrida protegida, os responsáveis devem estar atentos aos princípios de classificação da informação e de análise de risco, inclusive para efeitos de contrato. 7.3.2 IoT – Internet das Coisas O conceito de IoT surgiu em 1992 para definir algo que estava sendo viabilizado com a introdução do IPV6 (que multiplicou o número de endereços IP válidos na internet). A partir desse momento, iniciaram-se os estudos para introduzir exatamente tudo na internet, desenvolvendo uma rede de objetos físicos, veículos, prédios e outros que possuem tecnologia embarcada, sensores e conexão com rede capaz de coletar e transmitir dados. Hoje o termo já está incorporado em nosso cotidiano, a exemplo das câmeras de segurança conectadas à internet, televisores, geladeiras, casas, automóveis, enfim, todos ligando as coisas físicas à grande rede. Os administradores de redes sabem que está cada vez mais difícil encaixar a segurança das informações e, por que não dizer, a segurança física dentro desse cenário sem retorno e extremamente instável. Antes, esses profissionais deveriam se preocupar apenas com sua segurança perimetral, agora devem enfrentar o avanço da tecnologia rumo à sua convergência com as demais, como bigdata, inteligência artificial, mobilidade, moedas criptográficas, blockchain e computação na nuvem. O administrador sabe que as decisões sobre segurança devem ser tão rápidas como o avanço dessas tecnologias emergentes. Tudo o que apreendemos sobre segurança deverá se adaptar a essa nova realidade. Comumente há funcionários conectados à rede corporativa de qualquer lugar do mundo realizando reuniões dentro de seus veículos ou por meio de celulares. Essas pessoas processam e geram informações importantes e 155 SEGURANÇA EM REDES DE COMPUTADORES confidencias, que requerem o mesmo grau de proteção daquelas que estão nos servidores corporativos na organização, independentemente de estarem na nuvem. Essas características de praticidade são fantásticas quando se trata de negócios, mas quando o assunto é segurança da informação elas se tornam um pesadelo, uma vez que as pessoas estão se preocupando menos com os princípios de segurança, abrindo muitas vulnerabilidades. Por sua vez, os administradores de redes devem procurar conhecer as brechas existentes. Não se deve apenas introduzir soluções caríssimas de proteção, mas também usar soluções simples, como a compra de protetores que fecham as câmeras dos notebooks e celulares corporativos. Assim, mesmo que o cracker consiga o acesso remoto e acione a câmera, não terá êxito em acioná-la. Por fim, salienta-se que a política da organização e a legislação são fundamentais e, se tudo der errado, deve-se recorrer a um bom plano de recuperação. 8 PROCESSOS DE SEGURANÇA DA INFORMAÇÃO A informaçãoé dos bens mais valiosos de uma empresa. Para protegê-la, utilizam-se vários métodos e padrões que visam garantir sua confidencialidade, integridade e disponibilidade. Uma das ferramentas para proteção das informações é a política de segurança, que irá determinar de forma clara e simples como a empresa pretende proteger suas informações. A política irá orientar de forma consciente a conduta das pessoas e servirá de base para a criação de normas, padrões e procedimentos de segurança que irão auxiliar o usuário a atender à política de segurança. Antigamente, as informações das empresas estavam centralizadas, poucas pessoas (funcionários) tinha acesso à informação de um computador. Eram raras as pessoas que tinham acesso ao famoso CPD (Centro de Processamento de Dados). Com o avanço das novas tecnologias de informação, as empresas começaram a disponibilizar computadores para todos os funcionários para que as atividades fossem realizadas com mais rapidez e precisão. Hoje é possível fazer isso de qualquer lugar. Quando as informações estavam centralizadas, o controle era fácil, pois eram poucos os envolvidos, mas com a descentralização o controle ficou muito mais difícil. Para determinar como todos deveriam agir, as empresas passaram a adotar regulamentações internas, chamadas de política de segurança. Um aspecto importante a ser considerado é a grande miscigenação no mundo, no Brasil principalmente. Tal aspecto é interessante, pois é possível compartilhar culturas e percepções de mundo. Todavia, dentro das empresas, se cada funcionário tratar uma informação conforme sua percepção, as informações ficarão vulneráveis, daí a importância da política de segurança, que deverá orientar a conduta de todos. As pessoas dentro das empresas interagem constantemente, ouvem, visualizam, verbalizam e manipulam informações o tempo todo, e isso precisa ser regulamentado pela organização, assim ela poderá proteger informações de ativos, garantindo sua confidencialidade, integridade e disponibilidade. A política de segurança deve ser elaborada com base nas melhores práticas de mercado, por exemplo, ISO/IEC 27001 e ISO/IEC 27002, seguindo a legislação local e considerando a realidade do ambiente da empresa. É importante que essa política seja publicada e esteja disponível em canais para todos os funcionários, conscientizando todo o grupo quanto à segurança da informação. Pode-se publicar esse 156 Unidade IV conteúdo de forma impressa ou digital e, se necessário, até mesmo em Braille (sistema de leitura com o tato para portadores de deficiência visual). Além dos aspectos acentuados, é preciso observar a legislação nacional e internacional, que estão acima da política corporativa de segurança da informação. Caso tudo der errado, deve-se ter um plano de continuidade do negócio para não parar as operações até mesmo em situações extremas. 8.1 Política, normas e procedimentos de segurança da informação A política de segurança tem como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros. A partir de sua concepção, será possível fixar os procedimentos operacionais, as instruções de trabalho e os padrões de segurança. A política de segurança é o conjunto de diretrizes da empresa que visa proteger as informações da empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade), nas melhores práticas de mercado, bem como nos padrões nacionais e internacionais. Toda política de segurança possui duas filosofias explícitas: • filosofia proibitiva: tudo que não é expressamente permitido é proibido; • filosofia permissiva: tudo que não é proibido é permitido. Uma política de segurança não deve conter detalhes técnicos de mecanismos ou procedimentos que deverão ser usados, e sim regras gerais que se apliquem a toda a empresa. Esses detalhes serão especificados nas normas de segurança. Podemos dizer que: • Política: o que fazer (em nível estratégico); • Normas: o que fazer (em nível tático); • Procedimentos: como fazer (em nível operacional). Política Normas Procedimentos Figura 41 – Hierarquia 157 SEGURANÇA EM REDES DE COMPUTADORES A hierarquia de política e das normas deve ser clara para todos os funcionários e colaboradores da empresa. Para Campos (2007), a política pode ser um documento único, com todas as diretrizes, normas e procedimentos, portanto, todos deverão ser documentados, com um controle de versão e revisão para garantir a relevância desses registros. É importante destacar que, na política, os procedimentos são desdobramentos das normas, que, por sua vez, são desdobramentos das diretrizes. Se houver relação desses três elementos na política, então ela estará alinhada. A política de segurança deve ser baseada nas recomendações da norma ABNT NBR ISO/IEC 27002 (ABNT, 2005), reconhecida mundialmente como um código de melhores práticas para a segurança da informação, bem como estar de acordo com as leis vigentes em nosso país. Para o desenvolvimento de uma política de segurança, é necessário realizar uma análise de riscos da empresa, que deve considerar os seguintes aspectos: • O que deve ser proteger? • Quais são as possíveis ameaças aos ativos de informação? • Valor/importância de cada ativo de informação. • Grau de proteção desejado pela empresa. • Possíveis impactos no caso de perda de informações. • Qual o custo? Quanto a empresa está disposta a investir? • Auditoria (medição de quão efetiva está sendo a política). Requisitos do negócio Controles Requisitos legais Análise dos riscos Política de segurança Figura 42 – Agentes que influenciam a criação da política 158 Unidade IV A política de segurança deve ser implementada de forma realista com o ambiente da empresa e cultura do quadro de funcionários. Assim, deverá prever: • As sanções, caso não seja observada; • Atualizações periódicas com base no negócio da empresa e no avanço tecnológico. • Responsabilidades de todo os envolvidos (setor executivo e funcionários). Na criação da política de segurança, recomenda-se que seja realizada com a participação de algumas áreas específicas das empresas, como: • Segurança da Informação. • Tecnologia. • Recursos Humanos. • Jurídico. • Comitê Executivo de Segurança da Informação. Conforme o caso, outras áreas da empresa poderão ser envolvidas. A política de segurança resume os princípios de segurança da informação que a empresa entende como vital para o desenvolvimento de suas atividades e destaca a preocupação da empresa com a segurança de suas informações e de seus clientes. As normas de segurança da informação estão em um nível abaixo da política de segurança, que serve de base para sua criação. As normas irão tratar de assuntos específicos dentro da empresa e serão elaboradas com base nas recomendações da norma ISO/IEC 27002 (ABNT, 2005) e de acordo com as leis vigentes em nosso país. A seguir, serão acentuados alguns exemplos de normas que podem ser elaboradas para a proteção das informações: • Classificação da informação: regras para o tratamento e a rotulação das informações conforme seu nível de criticidade para a empresa. • Usuários de rede: princípios que orientam o comportamento do usuário na rede da empresa, desde criação, inclusão, alteração, manuseio, armazenamento e descarte de informações na rede, bem como a conexão de equipamentos lá, o uso de senhas e o bloqueio de estações de trabalho na ausência do funcionário. 159 SEGURANÇA EM REDES DE COMPUTADORES • Administradores de redes: medidas que orientam os administradores de rede em suas atividades com base nas regras fixadas aos usuários. • Uso de internet: códigos que designam o que usuário poderá ou não fazer com o uso da internet concedida pela empresa para fins exclusivamente do trabalho. • Uso de e-mail: regras que definem o que o usuário poderá ou não fazer no uso do e-mail corporativoconcedido pela empresa para fins exclusivamente do trabalho. • Uso de equipamentos portáteis: diretrizes que fixam o que o usuário deverá fazer ou não quando do uso de equipamentos portáteis (notebooks, smartphones, tablets) concedidos pela empresa para o desenvolvimento das atividades laborais. • Redes sem fio (wireless): normas que indicam o uso correto de redes sem fio disponibilizadas pela empresa aos seus funcionários para atividade exclusiva de trabalho. • Acesso remoto: códigos que definem o que fazer quando for usado o acesso remoto (externo e interno) à rede da empresa nas situações em que o usuário não estiver em seu local de trabalho e precisar acessar a rede da empresa. • Segurança lógica: regra que dispõe orientações para evitar que usuários não autorizados se conectem ou obtenham acesso lógico a sistemas e aplicações da empresa. Recomenda-se também a monitoração periódica dos acessos e privilégios concedidos. • Segurança física: definição de padrões de segurança física para as instalações da empresa. Descrevem-se os controles necessários para acesso e circulação dos usuários e de terceiros dentro da empresa. • Dispositivos de armazenamento: regras que orientam os usuários quando estes necessitarem utilizar um dispositivo de armazenamento (DVD, CD, pendrive, entre outros) dentro do ambiente da empresa. • Mesa limpa: diretrizes que orientam os usuários na organização de sua mesa trabalho, evitando que documentos confidenciais fiquem expostos na mesa dele quando estiver ausente. • Desenvolvimento de sistemas: norma que determina as regras para a criação de qualquer novo sistema ou aplicação no ambiente da empresa. Essas regras devem ser aplicadas nas fases de produção, teste e validação do sistema. • Controle de acessos: define responsabilidades e critérios para concessão, manutenção, revisão e revogação de acessos a sistemas de informação em produção, processados, armazenados e/ou acessados em ambientes de alta ou de baixa plataforma, próprios ou de terceiros, de forma a garantir que apenas usuários autorizados tenham acesso à informação. 160 Unidade IV • Certificação digital: fixa a gestão de certificado digital dentro da empresa, descrevendo as responsabilidades de usuários e gestores envolvidos no processo. • Manuseio e troca de dados: determina o manuseio e a troca de dados no âmbito da empresa, sendo o dado ou a informação dentro da própria rede da empresa ou aquelas inseridas ou retiradas na rede por outra parte externa. • Remanejamento e descarte de equipamentos: documento que orienta o usuário para quando ele precisar descartar ou remanejar um equipamento que não irá mais utilizar ou que será substituído por outro. • Computação em nuvem: regras claras e que atendam aos requisitos legais e anseios da organização. • Plano de continuidade de negócio: diretrizes que definem e orientam sobre a necessidade de existência de plano de continuidade de negócio da empresa em caso de interrupção inesperada do serviço, especificando tanto os responsáveis pelo plano como as medidas necessárias. Convém notar que as normas de segurança e a política sejam acompanhadas dos termos e definições específicos que foram adotados na composição da referida norma. Em alguns casos, a empresa pode disponibilizar um documento específico sobre termos e definições, mas é obrigatório que isso seja citado no referido documento. Lembrete A política e as normas corporativas de segurança da informação, mesmo amparadas nos aspectos legais e de melhores práticas, devem sempre refletir a cultura da organização. Agora vamos destacar os procedimentos de segurança da informação, que são documentos da empresa que detalham como determinadas diretrizes da política ou das normas podem ser atendidas pelos usuários. São também chamados de documentos operacionais. Em alguns casos, as empresas adotam documentos específicos para subsidiar o usuário a cumprir corretamente a política e as normas, podendo ser uma cartilha, um manual ou até mesmo um termo de uso. Este último pode ter duas finalidades: atribuir ao usuário a responsabilidade por algum ativo de informação e indicar a forma correta do uso desse ativo. Independentemente da forma, os procedimentos têm função vital no programa de segurança da informação, pois irão orientar o usuário em relação ao “como fazer” cumprir o fixado na norma de segurança. Os procedimentos também seguem os padrões descritos nas recomendações da norma ISO/IEC 27002 (ABNT, 2005) e, de acordo com as leis vigentes em nosso país, não se limitam a apenas esses dispositivos, pois em alguns casos o procedimento pode considerar o manual técnico de uso do ativo de informação ao qual a norma venha fazer referência. Os procedimentos irão descrever, por perfil 161 SEGURANÇA EM REDES DE COMPUTADORES operacional, cada ação e atividade associada a cada situação distinta de uso das informações ou do próprio ativo da empresa. Observe o exemplo: a norma de segurança determina que o usuário bloqueie a sua estação de trabalho ao se ausentar desta, bem como que as estações de trabalho sejam bloqueadas após cinco minutos sem atividade. Por sua vez, os procedimentos irão orientar, no caso, o administrador da rede em como fazer com que isso ocorra tecnicamente (bloqueio automático), nesse caso, o procedimento será um manual. É importante lembrar o seguinte: na análise de risco realizada para elaboração da política ou das normas de segurança, os procedimentos devem ser considerados para que não haja o risco de se criar uma diretriz que não possa ser cumprida em virtude de impossibilidade técnica do ativo de informação ou do processo que o envolve. Prosseguindo nosso estudo, destacamos os padrões de segurança da informação. A política, as normas e os procedimentos de segurança da informação são elaborados seguindo padrões internacionais de melhores práticas em segurança da informação e as leis vigentes no país. Em relação às normas internacionais, acentuam-se a ISO/IEC 27001 e a ISO/IEC 27002, mas outros padrões também podem ser utilizados. As melhores práticas de mercado são documentos criados por organizações internacionais e que servem como recomendações para a maioria das empresas. Elas não são obrigatórias, mas, devido ao uso em grande escala e a sua credibilidade, elas se tornaram um requisito fundamental para as empresas demonstrarem sua preocupação com a segurança das informações, tornando-se um selo que acaba agregando valor ao negócio. Alguns padrões internacionais são utilizados para servirem de criação, atualização e monitoramento da eficácia das políticas, normas e procedimentos de segurança da informação. Vamos destacar resumidamente alguns deles a seguir: ISO/IEC 27001 e ISO/IEC 27002 As ISOs publicadas são acompanhadas e validadas também pelo IEC (International Electrotechnical Commision), por isso a sigla ISO/IEC. No Brasil, a entidade oficial que representa, disponibiliza e traduz essas normas é a ABNT (Associação Brasileira de Normas Técnicas), por isso as normas da ISO usadas no Brasil recebem a sigla ABNT NBR ISO/IEC. A ISO/IEC 27001 (ABNT, 2006) foi baseada e substitui o BS 7799 parte 2, o qual não é mais válido. Essa mudança ocorreu em 2005. BS 7799 É uma norma padrão de segurança que foi desenvolvida em 1995 na Inglaterra pela British Standard, sendo dividida em duas partes. A primeira homologada pela ISO/IEC em 2000 e a segunda em 2002. A BS 7779 (atual 27001) e a ISO 17799 (atual 27002). O quadro a seguir destaca a família 27000. 162 Unidade IV Quadro 31 Normas Descrição ISO 27000 Vocabulário de gestão da segurança da informação ISO 27001 Define os requisitos para implementação de um sistema de gestão ISO 27002 Código de boas práticas para gestão de segurança da informação ISO 27003 Guia para implementação do sistema de gestão de segurança da informação ISO 27004 Define métricas e meios de medição para avaliação e eficácia de um sistema de gestão de segurança da informaçãoISO 27005 Define linhas de orientação para gestão do risco da segurança da informação ISO 27006 Requisitos e orientações para os organismos que prestam serviços de auditoria e certificação de um sistema de gestão da segurança da informação ISO 27007 Define critérios específicos para auditoria dos processos do sistema de gestão da segurança da informação Cabe ressaltar que as normas 27000 e 27006 ainda não foram publicadas, e não há previsão para isso. ISO 31000 Fornece princípios e diretrizes para a gestão de riscos. Podemos observar que atualmente as empresas possuem equipes que agem isoladamente, avaliando os seus riscos por meio de diversas ferramentas. Nesse contexto, essa norma tem o propósito de orientar as empresas para que desenvolvam, programem e melhorem continuamente a integração dessas áreas para, consequentemente, integrarem seus processos de gestão de riscos, o que pode trazer vários benefícios para toda empresa. ISO Guia 73 Dispõe as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e à utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos. COBIT (Control Objectives for Information and related Technology) É um guia de boas práticas apresentado como framework e dirigido para a gestão de tecnologia de informação. Possui alguns recursos que podem servir como um modelo de referência para gestão da TI. Muitos especialistas em gestão de TI e institutos independentes recomendam o uso do COBIT como ferramenta para otimizar investimentos de TI e como um indicador para ter uma melhor gestão. Cabe salientar que muitos institutos realizam suas auditorias com o COBIT. 163 SEGURANÇA EM REDES DE COMPUTADORES Sarbanes-Oxley É uma lei americana que tem seus reflexos no mundo inteiro. Sua criação foi motivada por escândalos financeiros coorporativos e sua redação tem o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. A lei orienta quanto à criação de mecanismos de auditoria por meio de comitês que podem supervisionar as operações da empresa, diminuindo os riscos para o negócio e mitigando fraudes. A transparência na gestão da empresa é indicada pela lei como ferramenta de credibilidade. Muitas empresas do mundo que se relacionam com o mercado americano (EUA) se comprometem a observar os princípios dessa lei. Destaca-se que os padrões elencados nesse item não se limitam apenas a eles e alguns, apesar do título não relacionado à segurança da informação, fazem referência a ela em seu conteúdo. Legislações e padrões nacionais As empresas também seguem vários padrões nacionais para manter sua atuação no mercado e garantir a segurança das informações corporativas e também de seus clientes. Podemos elencar alguns dispositivos e órgãos normativos nacionais: • Constituição Federal; Código Civil; Código Penal; Banco Central; CVM (Comissão de Valores Mobiliários); ABNT. • Lei n. 105/2001 (Lei do Sigilo Bancário – voltada principalmente às instituições financeiras). • Decreto n. 3.505/2000 (Política Nacional de Segurança da Informação – voltado às informações governamentais) • Decreto n. 5.495/2005 (Política Nacional de Segurança da Informação – dá nova redação ao Decreto n. 3.505/2000). • Decreto-lei n. 4.553/2002 (Classificação da Informação – voltado às informações governamentais). • Lei Federal n. 8159/1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados). • Lei n. 9609/1996 (Dispõe sobre Programa de Computador – Lei do Software). • Lei n. 9610/1998 (Dispõe sobre o Direito Autoral). • Lei n. 9279/1996 (Dispõe sobre Propriedade Intelectual). • Lei n. 12.965/14 (é o Marco Civil da Internet e regula seu uso). 164 Unidade IV Observação Dependendo da localização geográfica da empresa que vai implementar a política e as normas de segurança, também deverão ser observados os tratados internacionais, as leis territoriais ou até mesmo leis estaduais ou municipais. Em alguns casos, até mesmo os aspectos étnicos e culturais da empresa e seu quadro de funcionários deverão ser considerados. 8.2 A legislação e o direito digital O direito digital é a evolução do próprio Direito e abrange os institutos e princípios fundamentais de áreas do Direito. As novas tecnologias da informação, em especial a internet, facilitam a geração, o compartilhamento e o armazenamento das informações, e isso precisa ser regulamentado, pois nesse processo existem pessoas se relacionando entre si ou com empresas por meio de produtos e serviços. Hoje o Brasil não possui uma legislação específica para regular as relações no mundo virtual, porém 95% dos casos levados ao Ministério Público são solucionados com base na legislação vigente. Ainda existem algumas situações que a norma não atende, mas isso já é objeto de apreciação em projetos de leis em andamento no Congresso Nacional. Boa parte dos magistrados entende que a internet é apenas uma nova ferramenta que pode contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que podemos chamar de evidência ou até mesmo de prova e, consequentemente, gera um efeito jurídico, por exemplo: • O fechamento de um contrato por meio de um simples “ok” em uma mensagem de e-mail gera compromissos para as partes. • Uma ofensa deferida a uma pessoa ou empresa por meio de uma mensagem de e-mail ou post numa rede social pode gerar uma obrigação de reparação ao autor da ofensa. Em ambos os casos citados, o Direito é que vai buscar a satisfação das partes, conforme seus direitos ou deveres pleiteados, de modo similar ao que ocorre no “mundo real”. Cabe salientar que as novas tecnologias potencializaram a ocorrência de determinadas situações ou ações, tanto no número de vezes que ela pode ocorrer quanto no resultado de qualquer ato praticado. Muitas pessoas dizem que a internet é uma “terra sem lei”, mas isso não é uma verdade. A internet hoje é regulamentada da seguinte forma: 165 SEGURANÇA EM REDES DE COMPUTADORES • No mundo: — ONU (Organização das Nações Unidas) — ICANN (Internet Corporation for Assigned Names and Numbers – Corporação da Internet para Atribuição de Nomes e Números) – Instituição sem fins lucrativos formada para assumir responsabilidades e estabelecer normas acerca de aspectos técnicos da internet, tais como endereços de IP. — UNCITRAL (United Nations Commission on International Trade Law – Comissão das Nações Unidas para o Direito Comercial Internacional). • No Brasil: — CGI (Comitê Gestor da Internet), criado por meio do Decreto n. 4.829/2003. Além de cumprir os acordos internacionais, o Brasil, mesmo sem ter uma lei específica sobre a internet, aplica para regulamentação de conflitos e delitos no mundo digital suas próprias leis internas, tais como: Constituição Federal; Código Penal; Código Civil; Lei de Direitos Autorais e Propriedade Intelectual. O Marco Civil da Internet, oficialmente chamado de Lei n. 12.965/14 (BRASIL, 2014), regula o uso da internet no Brasil. Foi sancionado pela então presidente Dilma Rousseff para sanar a lacuna da ausência de uma lei especifica, mas esse foi apenas o início de um processo longo para regulamentar a matéria no Brasil. A internet proporciona a praticidade de disseminar ou colher um grande número de informações, que estão disponíveis para usuários domésticos, pessoas comuns ou empresas. Quando o fator humano está envolvido, é necessário observar que no ambiente físico ou digital as pessoas são diferentes umas das outras, não apenas no aspecto físico, mas também no aspecto cultural. Assim, o que é importante para uma pessoa pode não ser para outra. Pessoas influenciadas pelas mais variadas razões podem se aproveitar desse “mundo de informações” e utilizar isso paracometer atos que vão contra a moral e os bons costumes e, muitas vezes, contra a legislação, ferindo direitos alheios. Cabe ressaltar que as diferenças culturais são importantes para o crescimento da sociedade, mas, quando são exploradas por pessoas mal-intencionadas, podem acarretar grandes perdas ou prejuízos, seja para indivíduos, seja para empresas. Muitos usuários pensam que na internet estão no anonimato e que qualquer coisa falsa no mundo digital não será descoberta por ninguém, o que não é verdade. Fazer um simples download de um conteúdo (vídeo, imagem, texto, áudio) sem a devida autorização, enviar mensagem com vírus de computador ou ofendendo alguém, inserir mensagens estimulando atitudes ruins em uma rede social, entre outras ações, podem constituir um crime. 166 Unidade IV De fato, a rede pode ser usada para facilitar atos ilícitos. Nesse consenso, o usuário da internet deve ter um mínimo de ética, e tentar, sempre que possível, colaborar para o desenvolvimento da internet, por exemplo, publicando informações úteis ou melhorando os registros já existentes. A maioria dos crimes eletrônicos cometidos por meio da internet ocorrem por falha humana. Mesmo com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um computador. O usuário pode ser enganado ao receber uma mensagem de e-mail com vírus: mesmo desconhecendo o assunto e o remetente, acaba clicando com o intuito de visualizar o conteúdo e, muitas vezes, suas informações são expostas, como senhas bancárias, números de cartão de crédito, CPF ou RG, e esses registros são enviados para outra máquina localizada em outra parte do mundo. De posse dessas informações, o golpista irá realizar fraudes na internet se fazendo passar pela vítima. A figura a seguir demonstra um modelo do fluxo de um golpe internacional pela internet. Cabe salientar que o fluxo dos golpes pode ter outras variações. Figura 43 – Fluxo de golpe internacional pela internet Nesse novo cenário cada vez mais virtual, é necessária a cooperação entre os países para que sejam definidas regras para colher as evidências e levar os responsáveis à justiça. No Brasil, a Lei n. 12.695 (BRASIL, 2014) tornou esse relacionamento mais simples. O país possui acordos exclusivos firmados com EUA, Alemanha, Reino Unido, Japão entre outros. Caso ocorra um incidente que não seja entre os países que assinaram o acordo da internet ou que, por algum motivo, não possua acordos bilaterais, vai valer o bom relacionamento prévio entre eles, bem como os interesses comerciais entre ambas as partes. 8.3 Tempo de respostas a incidentes de segurança da informação Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a resposta a incidentes tem papel crucial na eficácia do processo de gestão dos ativos de informação. 167 SEGURANÇA EM REDES DE COMPUTADORES Manter os recursos computacionais seguros hoje em ambientes interconectados por meio de redes é um desafio cuja dificuldade aumenta com a inclusão de cada novo sistema. A grande maioria das instituições e das empresas não usa uma única solução de segurança genérica que cobre todas as vulnerabilidades, e a estratégia mais utilizada é estabelecer camadas complementares de segurança, abrangendo: tecnologia, processos e pessoas. Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a criação de um CIRT. As principais motivações para sua criação residem no crescente número de incidentes reportados e no crescente número e perfil de empresas sendo atacadas. Para melhorar o entendimento das empresas sobre a necessidade de possuir políticas de segurança e procedimentos para aperfeiçoar o gerenciamento de riscos, são fixadas novas regulamentações e leis que exigem controles de segurança sobre os sistemas de informação. É notório que os administradores de rede e sistemas não são capazes de proteger os recursos computacionais isoladamente. Para estruturar um CIRT, é necessário entender claramente o seu objetivo. Para tal, é preciso conceituar o que são eventos e incidentes de segurança da informação. Evento é uma ocorrência observável a respeito de um sistema de informação, a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). Por sua vez, incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica comprometimento ou tentativa de comprometimento da segurança. Em resumo: tentativa ou quebra de segurança de um sistema da informação (confidencialidade, integridade ou disponibilidade); violação da política de segurança; tentativa ou acesso não autorizado; modificação, criação ou remoção de informações sem o conhecimento do gestor. A seguir, serão acentuados exemplos do que estudamos: • Em ataque de software malicioso (vírus etc.) — Evento: usuário informa que pode ter sido contaminado por vírus. — Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus. • Em ataque DoS — Evento: usuário informa que não consegue acessar um serviço. — Incidente potencial: muitos usuários informam o mesmo problema. • Para invasões — Evento: administrador imagina que seu sistema foi invadido. 168 Unidade IV — Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas. • Uso não autorizado — Evento: proxy indica que um usuário tentou acessar um site pornográfico. — Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos. O CIRT é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados e com muita experiência na área. A missão do grupo é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente definidos. Quando uma organização tem a intenção de criar um CIRT, normalmente procura verificar como esse processo ocorreu em outras empresas, daí estabelece requerimentos que devem ser atendidos por esse time. Apesar de a atuação do CIRT variar bastante em razão de disponibilidade de pessoal, capacitação da equipe, orçamento etc., existem algumas recomendações de melhores práticas que se aplicam para a maioria dos casos: obter o apoio da administração da empresa; elaborar um plano estratégico do CIRT; levantar informações relevantes; criar a missão do CIRT; divulgar a missão do CIRT e o plano operacional; iniciar sua implementação; divulgar a entrada em operação do CIRT; avaliar continuamente a qualidade dos serviços prestados. Deve ser obtido o apoio da administração da organização, inclusive para dar respaldo às ações e requisições do CIRT em outras áreas, pois sem isso a criação do CIRT será muito difícil. Esse apoio poderá ser sob a forma de: fornecimento de recursos (computadores, softwares, etc.); financiamento; disponibilização de pessoal; tempo do líder de segurança para criar o CIRT; espaço nos comitês de segurança para a discussão do assunto. O pleno envolvimento de participantes do CIRT e seus respectivos superiores é um pré-requisito para a discussão posterior de orçamento para definir e manutenção do time A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do CIRT. É preciso ser realista, existem cronogramas que precisam ser cumpridos, existe um grupo de projeto já formado. Tudo deve estar devidamente definido: como a organização toma conhecimento sobre as ações de desenvolvimento do CIRT; se há um membro para representar esse grupo em uma instância maior; se o processo está devidamente formalizado (e-mail, relatórios etc.); se todos os membros estão tendo acesso às informações produzidas. É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados pelo CIRT. Inicialmente, será preciso destacar as áreas e os sistemas mais críticos da empresa, bem como os eventos e incidentes reportadosno passado para dimensionar o grau de conhecimento da empresa sobre esses fatos. Tais informações permitirão avaliar a competência dos profissionais existentes em 169 SEGURANÇA EM REDES DE COMPUTADORES assuntos relacionados à segurança da informação. Assim, será possível dimensionar os serviços que serão prestados pelo CIRT e a possibilidade de usar funcionários já existentes na empresa ou se será preciso fazer novas contratações. Observe alguns exemplos de ações relevantes: • Verificar detalhes sobre o último ações com vírus na empresa. • Verificar tentativa de invasão. • Verificar se a empresa já teve incidente de fraude envolvendo funcionários internos. • Verificar se algumas funções do CIRT já são cobertas por áreas existentes. • Destacar os procedimentos já existentes na empresa que ajudarão nas funções do CIRT. • Agendar visitas com instituições semelhantes e que já possuam o CIRT. Com base nas informações levantadas, deverá ser elaborada a missão do CIRT, que deve ser alinhada com a missão da administração. Antes de divulgá-la, é preciso estar aberto para receber críticas e sugestões. Após alinhar as expectativas com os envolvidos, traçar o plano estratégico e definir a missão do CIRT, será o momento de colocá-lo em ação por meio dos seguintes procedimentos: • Contratar e treinar o grupo principal do CIRT. • Elaborar e divulgar entre todos a metodologia de trabalho. • Comprar e instalar os equipamentos e softwares de suporte ao CIRT. • Definir as especificações de recuperação de evidências de incidentes para cada sistema crítico. • Desenvolver modelos de relatórios e mecanismos de informação de incidentes. Quando o CIRT estiver operacional, deverá ser elaborada uma campanha de divulgação, que deverá, entre outras coisas, informar aos colaboradores sobre suas funções, as formas de entrar em contato para reportar incidentes, os funcionários envolvidos e a divulgação; tudo deverá ser repetido periodicamente. A avaliação da atuação do CIRT deverá ser periódica pelos seguintes motivos: estatísticas de incidentes reportados; incidentes resolvidos; falsos positivos; e tempo de indisponibilidade de sistemas. Também será necessária a comparação com outras empresas e fazer a correta manutenção. Ainda, o crescimento da base de conhecimento deverá ser documentado, pois isso ajudará no aprimoramento dos membros do CIRT. 170 Unidade IV O CIRT é formado por um grupo multidisciplinar de profissionais. Essa característica procura atender a necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes paralelamente, identificando as causas e coletando evidências do ataque. Esse grupo de funcionários não possui dedicação exclusiva ao CIRT, porém quando acionados pelo líder do CIRT deverão responder imediatamente. Pode-se fazer uma analogia, comparando o CIRT à brigada de incêndio das empresas. O líder do CIRT deverá ser um funcionário da corporação com ampla experiência em segurança da informação. Além de gerenciar projetos de tecnologia, recomenda-se que ele possua um cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nos diversos setores da corporação. Esse líder poderá ser um gerente ou um diretor de segurança da informação (security office). Vamos destacar a seguir o que caberá a cada integrante. A atuação responsável pela área de segurança da informação (security office) consiste em instruir os funcionários das outras áreas na identificação, na coleta e/ou na preservação de rastros do incidente. O profissional também deverá avaliar as consequências ocasionadas pelo ataque e providenciar, em caso de necessidade, a execução do plano de continuidade de negócios. Ao fim do acompanhamento de um incidente, ele deverá coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s). De fato, a atuação da área de redes está em prover o acesso aos equipamentos de comunicação e segurança sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo líder do CIRT, a fim de auxiliar no levantamento e na análise dos logs e, quando necessário, entrar em contato com provedores de acesso, empresas de telecomunicações etc. A área de manutenção de servidores deverá atentar para a verificação detalhada da configuração dos servidores em virtude de possíveis acessos não autorizados. Será necessário coletar os rastros de transações e verificar o código de aplicações. O líder do CIRT poderá requisitar que um determinado servidor ou um conjunto deles seja mantido em quarentena para verificações mais precisas, nesse caso, a equipe designada deverá providenciar a instalação e a configuração de servidores sobressalentes para assumir o ambiente de produção. Já a área de auditoria deverá identificar quais controles de segurança ou procedimentos falharam e permitiram a ocorrência do incidente, sua missão será a de auxiliar o líder do CIRT na elaboração do relatório do incidente e validação/auditoria da implementação do respectivo plano de ação preparado para solucioná-lo. A auditoria também contribuirá com o CIRT na estimativa dos prejuízos financeiros e de imagem causados pelo incidente. A área de inspetoria identificará as causas e as motivações do incidente; também será de sua responsabilidade a manutenção do histórico de todos os incidentes identificados ou reportados na corporação, subsidiando o líder do CIRT com informações sobre padrões de comportamento, objetivos, frequência e medidas adotadas em casos semelhantes. 171 SEGURANÇA EM REDES DE COMPUTADORES Por sua vez, a área de recursos humanos poderá ser acionada pelo líder do CIRT caso o incidente envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado que estejam sob a sua gestão). O líder do CIRT poderá requisitar informações sobre o(s) funcionário(s) envolvido(s), como seu cargo, suas responsabilidades e sua formação. A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e na preservação de evidências, bem como no tratamento com empresas parceiras, funcionários ou clientes envolvidos; toda comunicação, inclusive com funcionários internos, deverá acompanhada pela área jurídica da organização. Já a área de relações públicas será acionada caso o incidente expuser a empresa perante seus clientes e parceiros de negócios. Assim, seu objetivo será orientar a melhor maneira de promover a comunicação com eles ou mesmo com a imprensa, caso seja necessário. Líder do CRT Telecom/ redes Mainframe Auditoria Engenharia Recursos humanos Jurídico Relações públicasDesenvolvimento Tecnologia da informação Tecnologia da informação Área de seg. info Figura 44 – Organograma do CIRT O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica: • Sempre que um incidente for informado ou detectado, ele deverá ser encaminhado ao responsável pela área de segurança da informação. • Caberá a essa área decidir se o CIRT deverá ser acionado ou não, dependendo da gravidade do incidente. • Sendo acionado, o CIRT deverá abrir um chamado de incidente. • Esse chamado é composto de um relatório, o qual deverá ser completado durante todo o acompanhamento do incidente. Ao fim do trabalho, ou mesmo durante sua execução, o líder do CIRT apresentará ao comitê de segurança um resumo desse relatório, que deverá conter os seguintes pontos: • descrição sucinta do incidente; • causa do incidente; 172 Unidade IV • forma de identificação do incidente; • classificação: se pode ou não haver consequências financeiras e de imagem; • contramedidas tomadas; • plano de ação para a contenção de incidentes semelhantes. O acionamento do CIRT deverá ser realizado através dos canais de fácil acesso, que podem ser um ramal telefônico exclusivo, um endereço de e-mail genérico (cirt@empresa.com.br), páginas de webmail na intranet (para não identificar o emissor).
Compartilhar