Eu já escrevi sobre esse assunto antes, logo no início do meu curso de Pós Graduação em Gestão de TI. Agora, depois de quase três meses a disciplina de segurança da informação está chegando ao fim (e vem prova pela frente) e eu resolvi estudar escrevendo mais um texto sobre o assunto. Esse texto serve apenas de introdução ao assunto, a idéia aqui não é fazer uma abordagem profunda e completa, é mais uma revisão para a minha prova que eu resolvi compartilhar com o mundo.

A Segurança da Informação deve estar impregnada em cada um, o tempo todo e em qualquer lugar, assim como eu já disse antes esse termo não pode ser encarado apenas como segurança da informação digital, ele deve ser expandido para todas as áreas em qualquer situação.

Se você ainda não acredita nisso eu vou dar um exemplo, aliás, acho que já falei isso antes, talvez em alguma apresentação na pós, mas você já parou para medir o tanto de informação que se consegue em uma simples fila de banco? As pessoas precisam se expressar, precisam contar suas mágoas, precisam contar suas vitórias e nada melhor que uma fila de banco para isso. Faça o teste, há dois meios, o primeiro é simplesmente prestar atenção às pessoas na fila, a segunda é escolher um alvo e começar com um “boa tarde, fila grande né?”, daí para frente é só continuar a conversa, você pode ficar sabendo de praticamente tudo da vida da pessoa. Ok, nem todos são tão abertos assim, mas todos tem seus pontos fracos e assuntos de interesse, se você realmente quer saber sobre a vida alguém basta tentar os interesses dela e levar a conversas para esses lados.

Bem, agora vamos para o lado corporativo da coisa. Toda empresa precisa ter politicas de segurança bem definidas, não importa se ela tem 1 ou 1 milhão de funcionários, todos precisam ter consciência do valor das informações que são tratadas diariamente. Tenha uma boa cultura de segurança, certifique-se de dificultar a saída de dados da empresa, mantenha sistemas seguros e atualizados (segurança de TI), enfim, não deixe brechas ou as reduza o máximo possível.

Certo, todo mundo precisa se autenticar, passar por proxy, ter logs de mensagens, usar senha até para pegar cafezinho, mas o chefe não precisa de nada disso, afinal ele é chefe. ERRADO! Se é para ter uma política de segurança eficaz todos devem segui-la, todos, sem exceções.

Deixar o chefinho de fora das regras é deixar uma bela e grande porta aberta na frente da empresa durante a noite (quando a empresa está vazia).

Mantenha as regras da empresa dentro da empresa. No caso das micro e pequenas empresas é mais barato ter um profissional free-lancer para esse tipo de serviço, mas é, com certeza, menos seguro, afinal ele é alguém fora da empresa que pode, facilmente, deixar essas informações vazarem. Imagine o seu arquivo de configuração de firewall ou senhas de usuários ou o mapa da sua rede interna navegando pela internet… Gostou da idéia? Eu também não! Por isso invista em segurança! Se não puder contratar um profissional para isso faça bons contratos com prestadores de serviço certificando-se de colocar cláusulas que tratem do assunto ‘vazamento de informação’.

Quem pode acessar o que? Essa questão é fundamental para se ter uma boa política de segurança. A informação deve ser acessada apenas por que está autorizado a acessá-la. Não deixe a folha de pagamentos aberta para qualquer um da empresa acessar, imagine os conflitos por causa disso. Esse exemplo foi pequeno, mas serve para mostrar a importância de classificar bem a informação e definir os níveis de acesso dentro e fora da empresa.

A classificação da informação é outro fator fundamental para uma boa política de segurança. A informação precisa ter um dono e precisa ‘rótulos’ dizendo quem pode fazer o que com ela. Esses rótulos devem partir do ‘acesso total’ e chegar até o ‘negação total’.

Identifique os fatores de risco e verifique se existem vulnerabilidades (softwares antigos, antivírus sem atualização, programas piratas). Identifique as possíveis ameaças à segurança e integridade dos dados. Com esses três itens é possível elaborar bons planos emergenciais para situações críticas. Veja esses exemplos:

O servidor deu problema! Existe um substituto?

Os dados foram corrompidos! Existe um sistema de backup?

É importante identificar os fatores críticos da segurança da empresa e trabalhar para que se tenha sempre um plano B.

Uma outra coisa que eu já tida dito no texto anterior é que nunca se deve pensar que não existem riscos, que ninguém tem interesse nas suas informações, alguém tem esse interesse sim, imagina se o seu concorrente tem acesso ao seu banco de clientes? Creio que isso não seria muito bom (para você, pois para o seu concorrente seria ótimo). Lembre-se qualquer informação tem seu valor, nunca pense que isso não é verdade.

Lendo esse texto você pode pensar “nossa, mas eu tenho que ter muito para investir em segurança”, o que não necessariamente é verdade. É necessário qualificar o que realmente precisa ser protegido, e quanto vale essa proteção. Um exemplo que o professor usou algumas vezes durantes as aulas foi o de uma padaria que tem o melhor pão da cidade. Nesse caso o que é melhor fazer? Montar um datacenter para proteger a receita do pão? Ou simplesmente pedir para o padeiro decorar a receita e destruí-la depois? Pois é, existem casos e mais casos e somente uma boa avaliação pode dizer quais são os melhores caminhos para se ter seus dados protegidos.

Segurança da informação é isso, boas práticas, politicas adequadas e sistemas de contingência. Claro que cada um desses assuntos se estende muito, e ainda tem a temida engenharia social, mas vou deixá-la para um próximo texto.

InFog

Como muitos já sabem o Debian passou por uma atualização crítica, os pacotes de criação de chaves SSL (Utilizadas pelo SSH) estavam com um bug muito sério, e acabavam gerando chaves menos seguras do que deveriam.
Para quem tem servidores SSH instalados é obrigatório fazer a atualização do sistema e também das chaves.
Eu utilizo, nos servidores, o Debian Etch, então fiz esses procedimentos para atualizar os pacotes necessários e gerar as chaves novamente:

# aptitude update
# atitude dist-upgrade

Ele pediu para atualizar os seguintes pacotes:
openssh-client openssh-server

E pediu também para instalar o novo pacote:
openssh-blacklist

Esse pacote é novo no Debian e tem uma lista de chaves OpenSSH ruins e conhecidas, que são usadas pelo sistema para reconhecer chaves SSH suspeitas.
Durante a instalação dos pacotes o instalador vai lhe sugerir a renovação das chaves, ele NÃO fará isso automaticamente! Então temos que fazer “na unha” mesmo, primeiro é possível ver as chaves atuais:

# ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
# ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key

Claro que você não precisa vê-las. Então removemos as chaves atuais:

# rm /etc/ssh/ssh_host_rsa_key
# rm -l -f /etc/ssh/ssh_host_dsa_key

Agora simplificamos a renovação das chaves assim:

# dpkg-reconfigura openssh-server

Pronto, chaves renovadas e sistema seguro novamente. Mas espere um pouco, se eu troquei a identificação OpenSSH da máquina, os clientes que logavam nela não mais a reconhecerão? É isso mesmo! Veja só, eu fui logar no meu servidor e ele deu esse erro:

# ssh infog@192.168.1.1
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00.
Please contact your system administrator.

Ou seja, ele está me dizendo que existe a possibilidade de estar acontecendo um ataque, ou que simplesmente a chave RSA (do SHH) foi alterada. Isso acontece porque o cliente SSH guarda as chaves dos hosts que ele conhece (onde já logou), e quando ele tenta conferir a chave ele vê que ela foi alterada. Isso é muito importante pois previne que você digite seu usuário e senha em um servidor que está tentando se passar pelo que você se loga sempre.
Ok, como corrijo isso? Usando o comando ssh-keygen você pode retirar o host da sua lista de hosts conhecidos, no meu caso o comando foi esse:

$ ssh-keygen -R 192.168.1.1

Com isso ele remove a chave da lista (que fica no arquivo ~/.ssh/known_hosts) e você pode fazer a conexão normalmente. É claro que na primeira conexão ele irá perguntar se você quer adicionar a nova chave à lista de hosts conhecidos, basta aceitar.
É importante lembrar que você não pode remover o hosts da sua lista de hosts conhecidos sempre que a identificação dele mudar, lembre-se sempre se contatar o administrador do servidor para perguntar se realmente a chave mudou, ou se tem algum engraçadinho pelo caminho.
Os filhotes do Debian, como o Ubuntu, também precisam de atualização. Este texto recebeu algumas modificações depois de alguns teste realizados com o sr. Kretcheu.
O SSH também permite o login sem senha com a utilização de chaves públicas e privadas, para saber mais sobre isso leia esse texto.

Gostou do Blog? Assine nosso Feed RSS

O conceito de segurança da informação não está ligado somente à computadores e seus sistemas, este é um termo muito mais amplo utilizado para dar a idéia de segurança de dados pessoais ou corporativos.

O termo sempre é associado à segurança de informações digitais, mas devemos nos lembrar que a informação pode estar em qualquer mídia, um cd-rom, um pendrive, uma folha de papel, um bloco de notas, uma agenda…

Imagine que você tem uma agenda, dessas de papel (lembra que isso existe?), e nesta agenda você tem todos os seus dados pessoais, compromissos, telefones de amigos e familiares, contatos profissionais, informações bancárias e etc. Agora imagine que você perde essa agenda… O que fazer? Toda a sua vida está nela, será muito fácil alguém se passar por você de posse te todas essas informações.

Da mesma forma funcionam seus dados digitais, praticamente todos que usam computadores mantém algum tipo de dado pessoal armazenado nele. E a segurança disso? A diferença da a boa e velha agenda de papel é que os computadores podem ser acessados à distância, sem você saber.

Porque é mais fácil conseguir informações no meio digital? Ora, encontrar uma agenda na rua não é algo tão comum, mas encontrar sistemas de informação sem proteção ou com proteção fraca é.

Vamos pegar como exemplo uma rede corporativa com, por exemplo, um sistema acessado por meio de autenticação com senha. Esse sistema foi projetado e concebido com a idéia de ser seguro, ele usa conexão criptografada e ainda pede para a pessoa digitar algo aleatório exibido em uma imagem (Captcha) para evitar ataques de força bruta. Certo, até aqui temos um bom sistema, um sistema seguro e com uma bela muralha na frente. Qual seria o principal ponto fraco desse sistema supondo que não há bugs ou falhas exploráveis na autenticação dos usuários? Quer uma dica? Começa com ‘Usu’ e termina com ‘ários’. É isso mesmo, de que adianta o alto investimento em um sistema seguro se o usuário anota a senha em um bloco de notas e o deixa em cima da mesa à vista de qualquer um? O que acontece quando o usuário usa como senha o próprio nome? Ou palavras simples? Ou mesmo seqüências de teclas no teclado como ‘qwerty’ e ‘asdfg’? Ou mesmo o famoso ‘123′?

Pronto a segurança foi para o espaço, pouco adiantou investir alto no desenvolvimento de algo seguro.

Todas as empresas, usando computadores ou não, deveriam ter um mínimo de preocupação com a segurança de informações. Estabelecer regras de comportamento para os funcionários, treiná-los para seguir essas regras, monitorar constantemente se estão seguindo tudo de conforme definido.

A falta de regras e treinamento pode levar os usuários a ter um ‘comportamento de risco’.

Políticas de boa utilização de dados e de segurança devem fazer parte da vida de todos, não apenas de grandes corporações, as micro e pequenas empresas estão sujeitas a ataques também, aliás os usuários domésticos correm riscos igualmente!

É claro que o pensamento ‘quem vai querer me invadir?’ existe. Afinal de contas quem vai querer invadir o meu pc? Eu não tenho informações de grande valor mesmo. É, mas com várias pequenas informações e muitos ‘bots’ se pode fazer muita coisa ilegal. Imagine a Polícia Federal chegando em sua casa com a acusação de que centenas de e-mails SPAM partem da sua conexão diariamente. Isso sim é uma situação desagradável, como provar que não é você o responsável se o programa que envia as mensagens está instalado no seu computador e disparando o tempo todo? Pois é meu amigo, ou você acha que para esse tipo de coisa os cybercriminosos invadem apenas os servidores da Nasa?

Como você pode proteger suas informações e seu computador de possíveis ataques?

- Mantenha um bom firewall ativo

Ele bloqueia conexões indesejadas.

- Não clique em links recebidos por e-mail

Mesmo que você tenha, supostamente, ganhado $ 1mi.

- Não divulgue seu e-mail de forma irresponsável

Bots de rede varem sites em busca de e-mails

- Tente não seguir as malditas correntes de e-mail

Você sabia que seu IP vai no e-mail enviado?

- Nunca responda e-mails de desconhecidos

- Não aceite programas que lhe enviam por e-mail ou softwares de mensagens instantâneas

Para isso vá ao site do desenvolvedor e baixe o software ou compre

- Não utilize software pirata

Eles vem com cracks que, além de quebrar a segurança do programa, contém vírus, spyware e malware em geral.

- Não utilize senhas simples!

Entrar no e-mail de alguém que deixa a senha ‘qwerty’ não pode nem ser considerado crime, já que essa senha e senha e nenhuma senha são praticamente equivalentes.

- Mantenha um bom anti-vírus

Sim, esse é um dos fatores principais (Ainda mais se você usa o sistema número um em quantidade de vírus). Preciso dizer que anti-vírus ‘crackeado’ é inútil?

- Proteja seu computador com senha

O atacante pode ser uma visita que liga o pc e pega as informações.

- Não acesse o site do banco em lan-houses!

Nestes lugares podem estar ativos os chamados Keyloggers que guardam todas as teclas digitadas.

Ou seja, a grande sacada é agir com bom senso e evitar armadilhas.

Nunca dê seus dados à pessoas que ligam oferecendo serviços e produtos ou mesmo dizendo ser do banco, da Receita Federal, etc… Sempre que precisa ou desconfiar de algo vá ao banco ou ligue, vá ao posto de atendimento da Receita, mas não acredite em ligações!

A segurança da informação é algo que é praticamente impossível de ser 100% efetiva, sempre existem falhas humanas, falhas nos softwares, falhas nos cadeados, agendas se perdem…

Mas agindo com bom senso, guardando bem os dados pessoais, protegendo as informações nos computadores e identificando possíveis golpes é possível tornar seu dia-a-dia bem melhor.

Não pense que ninguém quer suas informações porque elas não valem nada, elas valem sim, mas eu tenho certeza que para você e sua empresa elas não têm preço.

InFog

Assine nosso Feed para acompanhar as atualizações.