Segurança em Redes – Falhas “Humanas” (4º Parte)

Para concluir este capítulo, o das Falhas “Humanas”, tentarei categorizar em grupos as ocorrências indevidas comuns com origem em actividades humanas sobre os sistemas.

Acesso a Informação

Neste conjunto inclui todos os tipos de actos de acesso a informação, reservada ou confidencial, em trânsito e/ou guardada nos nossos sistemas.

Devemos classificar neste tipo, reservada ou confidencial, toda a informação que a organização não publicou intencionalmente em suportes públicos, ou seja, mesmo que armazenada ou circule em canais abertos como a Internet.

Alteração da Informação

Nestes ilícitos estão concluídas todas as acções não autorizadas que alterem ou eliminem informação reside nos sistemas de informação.

Utilização exagerada ou abusiva dos sistemas

Obviamente, a utilização por entidades externas, não autorizadas para o efeito, de meios computacionais e/ou de comunicações dos sistemas é uma actividade criminosa e exige um “combate” rigoroso.

Todos sabemos que este é um dos objectivos prioritários dos “ataques” actuais e pode implicar a nossa organização em sérias situações de ilegalidade.

Mas neste grupo também se inclui muitos dos comportamentos dos colaboradores que prejudicam o funcionamento dos sistemas. Por exemplo:

- má gestão dos seus arquivos digitais obrigando os sistemas a armazenar e a proteger GBytes de informações inúteis;

- a utilização intensiva do e-mail como “camião de carga” de ficheiros conjugado com “workflows” manuais de distribuição de informação pouco rigorosos (com PARA e CC para todos e mais alguns) implica elevadas cargas de processamento, armazenamento e ocupação dos canais de comunicação de dados;

- a utilização com carácter privado do E-mail e da Internet pode ser uma fonte considerável de problemas e produzir perdas substancias de disponibilidade e de eficácia dos sistemas. Este assunto, realço muito sensível, exige um enquadramento, preferencialmente sobre a forma de Regulamento Interno, muito explícito para todos, colaboradores e a equipa de TIC.

A utilização exagerada ou abusiva, por entidades internas e/ou externas, dos sistemas pode conduzir as situações de graves de “Denial of Service, DOS”.

Quando aquele e-mail urgente, que foi escrito há 30 minutos atrás, não chegou ao destino estamos numa situação de “Denial of Service”! Não será esta uma situação comum nos nossos sistemas?

Vandalismo

Todos os actos que atentem contra a integridade material e/ou lógica dos sistemas pode conduzir a danos e/ou interrupções de serviços com efeitos consideráveis na organização.

Microsoft oferece livro de programação VB 2005

Os programadores que trabalham com Visual Basic podem descarregar gratuitamente o livro Introducing Microsoft Visual Basic 2005 for Developers a partir do site da Microsoft.

Patch Up!

A Microsoft emitiu ontem 5 boletins de segurança sendo 3 destes classificados como críticos, conjuntamente com a emissão dos boletins de segurança foram também disponibilizadas as correcções (patches) para resolver os problemas mencionados.

Nestas actualizações está incluída a correcção da vulnerabilidade “createTextRange” sobre o Internet Explorer.

É altamente recomendável a visita ao site de Updates da Microsoft para instalar ou, caso tenha os updates automáticos activos, verificar a instalação destas actualizações.

Lista dos boletins de Segurança:

• MS06-013 aplica-se ao Microsoft Windows e esta classificado como critico
• MS06-014 aplica-se ao Microsoft Windows e esta classificado como critico
• MS06-015 aplica-se ao Microsoft Windows e esta classificado como critico
• MS06-016 aplica-se ao Microsoft Windows e esta classificado como importante
• MS06-017 aplica-se ao Microsoft Windows e ao Microsoft Office e esta classificado como moderado

Segurança em Redes – Falhas “Humanas” (3º Parte)

O artigo anterior pode transmitir a ideia de que os colaboradores das organizações deverão ser considerados, pelos responsáveis pela protecção dos sistemas, um “bando de malfeitores”!

Não, não é esse o prisma correcto e nem sequer é este um posicionamento aceitável.

Mas todos nós já passamos pela experiência daquele vírus que entrou, através de um e-mail divertido e/ou de uma página WWW (“xxx”), provocando um “Denial of Service” no nosso “Router”.

De repente, uma “chuva” de telefonemas internos (outro “Denial of Service”) cai no departamento de TIC pois as comunicações estão paradas e o caos gerado instantaneamente! A organização está parada e nós na “crista da onda da confusão”.

Iremos abordar, assim espero, com mais detalhe algumas estratégias de protecção contra este grupo de risco mas considero que há três pontos estruturais a considerar de imediato:

- a sensibilização, a formação e a informação dos colaboradores para os riscos inerentes à utilização dos sistemas;

- um rigoroso modelo de configuração dos postos, a sua uniformização em termos de sistemas operativos e aplicações (e de versões), o acompanhamento das suas vulnerabilidades por parte da equipa de TIC e a instalação atempada das correcções, a activação de mecanismos de “Logs de Segurança” e a sua monitorização;

- a implementação de um Regulamento Interno de Segurança credível e que “obrigue” todos os colaboradores.

Este último tópico é aquele que, habitualmente, gera mais polémica e conflitos de interesses.

Pessoalmente, eu não creio ser possível manter os Sistemas de Informação suficientemente protegidos sem a participação de todos e sem existirem regras próprias associadas à sua utilização que sejam, efectivamente, cumpridas por todos.

Sei que muitos discordaram desta perspectiva pois há, na verdade, outra forma:

- restringir a um nível tal as funcionalidades dos postos que é “praticamente impossível” serem fontes de problemas.

Recordo, há uns anos atrás, ter visitado uma fábrica na qual o Administrador da Rede tinha imposto, através da AD (Active Directory), um conjunto tal de restrições aos postos que, na minha opinião e dos utilizadores, era “quase” impraticável a sua utilização.

Para agravar este cenário, era obrigado, dadas as “deficiências” dos SO Microsoft nesta área, a configurar inumeráveis excepções para que determinadas aplicações críticas da organização funcionassem. Observei, que o dia a dia dele era dedicado a responder a estas necessidades enquanto os processos produtivos estavam parados.

Teria ele uma rede realmente segura? Esta era eficiente para a organização? Na minha opinião, não!

Glossário e Conceitos - Malware

Diminuitivo de MALicious softWARE

Malware é o termo normalmente utilizado para referir software malicioso que pretende de alguma forma atacar, degradar, impedir a utilização correcta de um equipamento ou obter informações de forma encoberta. Dentro deste tipo de software são normalmente incluídos vírus, worms, trojan horses e os rootkits. Recentemente, com a generalização do uso da Internet, surgiu o spyware e o adware.

Os virus distinguem-se dos worms pelo método de propagação. Os virus normalmente infectam ficheiros e requerem que esse ficheiros sejam executados, pelo utilizador ou pelo próprio sistema operativo, para se tornarem activos. Os worms propagam-se pelas redes explorando vulnerabilidades do software.

Recentemente tem-se vindo a notar uma motivação cada vez mais comercial (ou mercenária se preferirem) para os ataques. Há um mercado negro onde computadores infectados (zombies) são "vendidos" a terceiros que os usam para disseminar spam, lançar ataques de denial of service, ou para armazenar dados ilegais como pornografia infantil.

Outra utilização comercial deste tipo de software é o spyware onde a privacidade e dados pessoais, confidenciais ou não, dos utilizadores são recolhidos pelo software instalado e transmitidos aos autores deste. Este tipo de violação de privacidade pode ir desde dados relativos a websites visitados até aos dados trocados com os sites, dados bancários, passwords, etc., etc..

Glossário e Conceitos - LAN

LAN, acrónimo de Local Area Network, é a designação comummente atribuída às Redes Locais que cobrem uma pequena área como a sua casa, um escritório ou um campus universitário. Estas possibilitam a interligação entre o diverso equipamento, servidores, postos de trabalho, impressoras, etc., etc..

As características que definem uma LAN são:

• altas taxas de transferência de dados, actualmente entre 10 e 1000 Mbit/s
• pequena área geográfica, no máximo alguns quilómetros
• não envolvem ligações via VPN através da Internet ou linhas alugadas.

Nas redes ethernet, praticamente as únicas usadas, são normalmente utilizados switchs, hubs e wireless Access Points para encaminhar o tráfego (pacotes de dados) entre os equipamentos emissores e os receptores.

Referências

wikipédia[pt]: LAN

wikipépia[en]: Local Area Network

Segurança em Redes – Falhas “Humanas” (2º Parte)

Considero que há três factores principais que induzem a ocorrência deste tipo de falhas nos sistemas:

- a falta de formação dos colaboradores das organizações, que os impede de utilizarem os sistemas de forma eficaz, eficiente e segura e, em oposição, faz com que exponham os sistemas a todos os tipos de riscos possíveis e inimagináveis;

- a espantosa complexidade dos sistemas e a velocidade da sua evolução são uma garantia de que contêm fragilidades e erros de processamento suficientes para serem “naturalmente” perigosos;

- o mundo (fantástico) das comunicações globais e móveis transformou as paredes das nossas organizações em estruturas «pré-tecnológicas» de protecção e os sussurros dos gabinetes em “broadcasts” TCP/IP.

Os Técnicos das Tecnologias de Informação e Comunicações (TIC) e os Gestores das Organizações têm de, conjuntamente, investir os seus esforços na definição e implementação de estratégias de mitigação destes riscos para as suas organizações.

Este tipo de ameaças, contra os sistemas, pode ter origem em dois grupos populacionais distintos:

- os colaboradores das organizações, através de actos deliberados ou não;

- todo o universo de pessoas externas à organização, que pelas mais variadas motivações, têm acções contra esta.

Relativamente ao primeiro grupo, devemos ter uma ideia clara que o facto de:

- terem algum conhecimento da infra-estrutura,

- terem acesso as redes e privilégios naturais nelas,

- serem “colegas” e do departamento de TIC não ser uma “polícia”,

torna-os um grupo de risco elevadíssimo.

Na sua grande maioria, as técnicas de defesa de sistemas são baseadas em métodos de defesa de perímetros e, “logicamente“, eles estão no seu interior.

Colaborei num projecto no qual duas empresas distintas partilhavam serviços/servidores. Neste enquadramento, consideramos as suas redes de postos e a rede de sistemas como entidades não credíveis entre si. Na prática, interligamos três “redes públicas” na sua relação de confiança.

Este é o modelo que considero adequado para organizações com alguma dimensão, pois exige investimentos adicionais, para garantir padrões de segurança aceitáveis, pois permite implementar soluções de monitorização do tráfego interno e regras de protecção.

Alerto para o facto deste tipo de implementação ser complexa e exigir um planeamento muito cuidado e detalhado para que se garanta que as aplicações existentes funcionam sobre este modelo e que os ajustes, caso sejam necessários, nas permissões não resultem em falhas que anulem o nosso objectivo.

Glossário e Conceitos - ARP

ARP, acrónimo de Address Resolution Protocol, é o protocolo usado para encontrar numa LAN o endereço MAC (também conhecido por endereço físico) de um equipamento a partir do seu endereço IP.

Para que um computador comunique com outro numa LAN necessita de saber o seu endereço MAC. Para tal emite, em broadcast, um pacote ARP contendo o endereço IP do computador que deseja contactar e aguarda por uma resposta que conterá o endereço MAC necessário. De forma a acelerar o processo e a reduzir a carga na rede os equipamentos mantêm em cache os endereços ARP.

A utilização dos endereços MAC e do protocolo ARP permite que os endereços IP sejam independentes do equipamento a que estão atribuídos e possam ser portados.

Segurança em Redes – Falhas “Humanas” (1º Parte)

Este é, sem qualquer dúvida, o grupo de ocorrências negativas que mais “tinta/bits” faz correr neste universo tecnológico.

Antes de introduzir o tema, sinto a “necessidade” de deixar registrada uma “máxima”:

- “um sistema desligado é um sistema seguro”.

Ou seja, temos todos que fazer um esforço efectivo para não concentrar todos os nossos esforços e os investimentos das organizações em proteger, quase exclusivamente, os nossos sistemas deste tipo de falhas.

Elas são reais, graves e dinâmicas, mas um sistema suportado por uma infra-estrutura frágil é, só por si, um sistema perigoso para qualquer organização.

Por isso, reforço os três vectores de risco que merecem igual atenção da nossa parte:

- As Catástrofes Físicas;
- As Falhas Previsíveis;
- As Falhas “Humanas”.

Optei por utilizar a classificação de “Humanas” para abarcar, neste conjunto, toda e qualquer falha induzida por uma acção humana, intencional ou não.

Como aprendi com alguém que lida diariamente com estes tipos de falhas direi, tal como ele, que “infinita apenas há a estupidez” (desconfiamos que o Universo talvez seja!). Isto significa que estamos perante uma “batalha” impossível de vencer pelo que o nosso posicionamento tem de ser o da redução de riscos e de efeitos.

Independentemente da sua complexidade, podemos compreender qualquer sistema como constituído por três elementos básicos:

- dados de entrada (input),
- uma caixa preta que os processa (function),
- dados de saída (output).

A “corrupção” de qualquer um destes elementos gera erros.

Devemos, conjuntamente com todos os colaboradores das organizações, implementar as metodologias que reduzam a um nível “aceitável” a probabilidade de ocorrer essa acção – a corrupção.

Segurança em Redes – Falhas Previsíveis

Neste artigo iremos abordar, muitíssimo sumariamente, algumas ocorrências com carácter “previsível”, ou seja, aquelas que sucedem com “algum grau de normalidade”, durante a “vida” dos sistemas de informação em produção.

Ao serem “quase intrínsecas” há existência dos Sistemas de Informação, exige-se que os técnicos de TIC tenham prática nos métodos de resposta.

Com esta atitude serão capazes de repor as funcionalidades, num intervalo de tempo útil, e transmitir, aos seus utilizadores, níveis de confiança elevados.

Alguns dos exemplos comuns deste tipo de falhas são:

- Cortes temporários na Alimentação Eléctrica;

- Avarias em peças que constituem os Sistemas (Servidores, Centrais, etc.);

- Bloqueios dos Sistemas Operativos e de Aplicações Centrais;

- Avarias em dispositivos da Infra-estrutura da Rede de Comunicações;

- Quebras de disponibilidade nas Comunicações Exteriores (Voz e Dados).

Em função da especificidade de cada falha há, em geral, procedimentos adequados de resposta. Muito deles estão descritos nos “sites” dos fornecedores, nos manuais dos produtos e em grupos de discussão especializados.

Assim sendo, resta-me sugerir algumas pistas globais:

- a escolha de equipamentos/aplicações deve ter em consideração a disponibilidade e a facilidade de acesso a informação relevante sobre o produto;

- a escolha das empresas fornecedoras deve incluir sempre garantias, por parte destas, de elevados padrões de capacidade de resposta e de conhecimento específico dos produtos como critério de selecção;

- a equipa de TIC deve ter uma visão global e integrada dos sistemas que mantêm e elaborar estratégias (preventivas e correctivas) de resposta para este tipo de falhas;

- a monitorização dos sistemas é um elemento chave para antecipar a ocorrência de um grande número de falhas. A equipa de TIC deve implementar rotinas sistemáticas e documentadas deste tipo de intervenção.

Em conclusão, a equipa de suporte deve ser previdente e, para isso, deve investir o seu tempo na sua preparação técnica para este tipo de situações e se rodear das ferramentas (desde peças redundantes aos números de telefone de contacto urgente das empresas) que julgue necessárias.

Notícia: «250 mil PCs "zumbis" surgem por dia, diz especialista»

«Dados da empresa de segurança na internet Ciphertrust indicam que o número de computadores "zumbis" --invadidos por piratas virtuais e usados na distribuição de spam e outros ataques-- está aumentando rapidamente.

"Todos os dias detectamos mais de 250 mil computadores que se conectam à internet e enviam emails", disse Paul Judge, diretor de tecnologia da empresa. "Essas são máquinas novas, que nunca fizeram isso antes", explicou. "Trata-se de uma plataforma de distribuição que está se popularizando entre os piratas."

Segundo Judge, o total de novos bots (termo usado para esses computadores "seqüestrados") chegou a 250 mil por dia em novembro do ano passado e tem se mantido neste nível.»

MARK WARD – daBBCBrasil (22/02/2006)

Folha Online

Segurança em Redes – Catástrofes Físicas (2º Parte)

No artigo anterior tivemos a possibilidade de relembrar um conjunto de situações que poderão interromper e/ou danificar gravemente os nossos Sistemas de Informação.

Julgo que as mensagens fundamentais a reter são:

- o ambiente que envolve a nossa infra-estrutura deve ser sempre considerado uma variável importante nas nossas opções e controlado na medida do possível;

- a aplicação de cada solução disponível de protecção preventiva deve ser ponderado em função das necessidades da organização e envolver os seus gestores de topo nas decisões. A análise de custos/benefícios tem de ser rigorosa e, para tal, colectiva.

A lista de situações a avaliar é extensa, pelo que irei-me limitar a enumerar algumas a título de exemplo:

- escolher a localização do “Datacenter” com o objectivo de reduzir os riscos de inundações, aluimentos e garantir que este só é acessível por pessoal autorizado;

- verificar, previamente e periodicamente durante a operação, se a instalação eléctrica tem as condições de capacidade/potência e de segurança que permitam alimentar todos os sistemas electrónicos. As fontes de alimentação comutadas, por exemplo, produzem efeitos nocivos significativos nas redes eléctricas pelo que a sua inspecção, por um técnico habilitado, é fundamental. As instalação de dispositivos de corte/protecção contra sobrealimentações e/ou picos de corrente são fundamentais;

- a inclusão de UPS activas (e, eventualmente, de geradores autónomos), devidamente dimensionadas, permite manter a continuidade da alimentação dos sistemas, protege todos os dispositivos electrónicos aumentado a sua esperança de vida e reduz a probabilidade de ocorrência de erros de corrupção lógica das aplicações (por exemplo, do Sistemas Operativos dos Servidores e das Bases de Dados);

- a implementação de sistemas Electrónicos de Vigilância das instalações e/ou de Equipas Especializadas reduzem riscos como o de furto e de vandalismos;

- efectuar e manter cópias actualizadas da informação em diferentes locais:

a) armazenar as cópias de “backup”, se possível e com segurança, em sítios distintos (edifícios/ cidades/ países),
b) transferir/replicar, através de canais seguros – VPNs, a informação para outros centros de informação nos quais confiemos;

- monitorizar as condições de funcionamento e efectuar as manutenções dos equipamentos;

- manter acordos de garantia e, quando necessário, extensões com o objectivo de manter padrões aceitáveis de resposta à necessidade de substituição de peças;

- considerar a instalação de dispositivos e sistemas redundantes e/ou manter um stock de peças/serviços de reserva;

- manter níveis de formação da equipa de TIC adaptados às necessidades e/ou contratar serviços externos credíveis;

- elaborar um Plano de Segurança e envolver toda a organização na sua implementação.