Gerenciamento da Segurança - Abril de 2005
Mitos sobre Segurança
Publicado em: 6 de abril de 2005
Por Jesper M. Johansson e Steve Riley
Este é o segundo artigo baseado no novo livro de Jesper e Steve "Protect Your Windows Network." (Proteja sua Rede do Windows). O livro será lançado no final de maio, pela Addison-Wesley. Você também pode fazer pedir o livro em diversas livrarias online.
Mito N° 5: Todos os Ambientes Deveriam Fazer o seguinte: <Insira Guia Favorito Aqui>
Uma solução não serve para todos os problemas. Cada ambiente possui seus próprios requisitos e ameaças. Se realmente existisse um guia que protegesse todos os sistemas do mundo, as configurações seriam padrão. As pessoas se esquecem de levar em conta a complexidade da segurança e dos sistemas administrativos. Conforme mencionamos no primeiro artigo, os administradores geralmente não são chamados quando as coisas não funcionam. A segurança quebra coisas; é por isso que algumas configurações relacionadas à segurança são desligadas por padrão. Para poder proteger um ambiente, é preciso compreendê-lo, quem o está utilizando e porquê, e quais ameaças precisam ser mitigadas. Segurança envolve gerenciamento de risco, e gerenciamento de risco envolve compreensão dos riscos, e não uma porção de mudanças feitas apenas para justificar o trabalho de alguém e seu pagamento.
Em último caso, um administrador de sistemas avançados deveria avaliar o guia ou as políticas de segurança que serão usadas e garantir que sejam apropriadas para aquele ambiente. Um certo ajuste ao ambiente é quase sempre necessário. No entanto, este não é o tipo de coisa que um administrador inexperiente possa fazer. É preciso muito cuidado ao criar ou adaptar políticas de segurança.
Mito N° 6: "Alta Segurança" é o Principal Objetivo de Todos os Ambientes
Alta segurança, no sentido de o mais restrita possível, não é para todos. Como já comentamos muitas vezes, a segurança quebrará coisas. Em alguns ambientes, você está disposto a quebrar coisas em nome da proteção que você não está disposto a quebrar em outras. Se alguém tivesse dito a você, dia 10 de setembro de 2001, que você precisaria chegar no aeroporto três horas antes do horário do vôo para ser revistado e que você teria suas agulhas de tricô confiscadas, você diria que eles são loucos. Alta segurança (como a de aeroportos, e não apenas um teatro de segurança) não é para todos, e no mundo em que vivíamos até mais ou menos às 8 horas da manhã de 11 de Setembro de 2001, este tipo de segurança não era para nós. Assim que os aviões voltaram a voar, poucas pessoas questionaram a necessidade de tornar a segurança dos aeroportos mais severa.
O mesmo ocorre com a segurança de informações. Alguns sistemas estão sujeitos a sérias ameaças. Se estes sistemas forem comprometidos, pessoas morrerão, países e grandes empresas irão à falência, e a sociedade que conhecemos entrará em colapso. Outros sistemas contêm informações menos sensíveis e por isso não estão sujeitos ao mesmo nível de segurança. As medidas de proteção que são usadas no primeiro caso são completamente inapropriadas para o segundo; no entanto continuamos a ouvir que "alta segurança" é uma espécie de objetivo final que todos os ambientes deveriam buscar. Este tipo de declaração é uma simplificação que apenas contribui para o descrédito e para a confusão na área de segurança de informações hoje.
Mito N° 7: Comece a Proteger Seu Ambiente Aplicando um Guia de Segurança
Você não pode começar a proteger coisa alguma ao fazendo mudanças nelas. Uma vez que você comece a mudar as coisas, o ambiente é alterado e as suposições feitas no começo do processo não são mais válidas. Para reiterar o que já dissemos diversas vezes: segurança se trata de gerenciamento de risco; trata-se de entender os riscos e as ameaças concretas ao seu ambiente e mitigá-los. Se os passos para a mitigação envolvem a adoção e a aplicação de um guia de segurança, então que seja, mas você não sabe disso até que analise dos riscos e as ameaças.
Mito N° 8: Ajustes na Segurança Podem Consertar Problemas Físicos de Segurança.
Existe um conceito fundamental em segurança de informações que diz que se os bandidos têm acesso físico ao seu computador, ele já não é mais seu! O acesso físico ao computador sempre terá vantagem sobre a segurança do software - no final. Precisamos, no entanto, qualificar esta declaração, porque existem etapas de segurança de software válidas que prolongarão o tempo que leva até que o acesso físico rompa toda a segurança. A encriptação de dados, por exemplo, entra nesta categoria. No entanto, muitos outros ajustes em segurança de software não fazem sentido algum. Nosso favorito no momento é o debate sobre os drives de browse (thumb) USB. Após o filme "The Recruit," todos acordaram para o fato de que alguém pode facilmente roubar dados de um drive de browse USB. Curiosamente, isso parece se aplicar apenas aos drives de browse. Entramos numa área militar que confiscou nossos drives de browse mas nos deixou com discos rígidos i1394 de 80-GB. Aparentemente, estes não são tão ruins assim.
Certa noite, o chefe de um autor o telefonou e histericamente o questionou sobre o que fazer neste caso. A resposta: corra para uma loja material para construção, compre um tubo de durepox e encha as portas do USB com o produto. Já que está fazendo isso, aproveite para colocar durepox no i1394 (FireWire), serial, paralelo, SD card, MMC, Memory Stick, burner do CD/DVD, disquete e a tomada do Ethernet também. Certifique-se também de que ninguém levará embora o seu monitor e fará cópias da tela. É possível roubar dados de todas aquelas interfaces.
O ponto principal da questão é que enquanto houver estes tipos de interfaces no sistema e os bandidos tiverem acesso a elas, cancele todas as apostas. Nada que envolva o USB fará qualquer diferença. É claro, o fabricante do OS poderia colocar uma chave que prevenisse que alguém escrevesse para um drive de browse USB. Isto não impede, no entanto, que o bandido carregue a memória de um drive de browse USB, carregue um driver NTFS, e então roube os dados.
Em resumo, a solução em segurança de software que se propõe a ser uma defesa significante contra brechas físicas deve persistir mesmo que os bandidos tenham acesso total ao sistema e possam carregar a memória para um sistema operacional arbitrário. Ajustes de registro e sistemas de arquivos ACLs não não fornecem este tipo de proteção, mas a encriptação sim. Combinadas com a segurança física adequada, todas estas medidas são úteis. Como substitutas para a segurança física, nem tanto.
Mito N° 9: Ajustes de Segurança Bloquearão Worms e Vírus
Worms e vírus (chamados de "malware") são criados para causar o máximo de destruição possível e por isso tentam atingir o maior número de sistemas vulneráveis que encontrarem. Portanto eles tendem a se espalharem através de dois mecanismos: usuários sem experiência e vulnerabilidades não corrigidas ou mitigadas. Apesar de existirem alguns ajustes de segurança que bloquearão o malware (o Code Red, por exemplo, poderia ter sido impedido ao remover as os mapeamentos de extensões de serviços no índice do IIS), a grande maioria não pode ser bloqueada desta forma porque ela se espalha através do primeiro tipo de vetor. Podendo escolher entre porquinhos dançando e segurança, os usuários escolhem porquinhos dançando, sempre. Podendo escolher entre fotos de pessoas peladas brincando na praia e segurança, quase a metade da população escolherá pessoas peladas brincando na praia. Combine a isso o fato de que os usuários não compreendem nossos diálogos de segurança e temos um desastre. Se uma caixa de diálogo pedindo que o usuário tome uma decisão sobre segurança é a única coisa impedindo-o de ver pessoas peladas brincando na praia, então a segurança não tem a menor chance.
Mito N° 10: Um Especialista Recomendou Este Ajuste como Defesa Total
Este mito possui duas partes. Vamos lidar com a segunda parte primeiro. Defesa total é uma estratégia de segurança equilibrada que aplica medidas de proteção em diversos locais para prevenir ataques inaceitáveis. Infelizmente, um número demasiado de pessoas atualmente usa o termo "defesa total" ("defense in depth") para justificar medidas de segurança que não possuem nenhuma outra justificação realista. Geralmente, isto ocorre por causa da crença generalizada no mito N° 3 (quanto mais mexer melhor). Nós fazemos mais mudanças para mostrar aos auditores que estamos fazendo nosso trabalho e para cumprir tabela, como se tivéssemos feito isso com a devida dedicação.
Isto mostra uma imaturidade incrível na área, muito parecida com a Medicina na Idade Média. Os médicos aplicavam estrume de vaca, cinzas, mel, cerveja, e uma série de coisas nas feridas, geralmente numa sucessão rápida, para mostrar que estavam tentando de tudo. Hoje, os médicos (geralmente, as enfermeiras) limpam a ferida, aplicam um curativo, e provavelmente algum tipo de antibiótico, e deixam ela curar. Menos muitas vezes significa mais, e o uso da defesa total como uma forma de justificar ações desnecessárias e potencialmente prejudiciais, é inapropriado.
A primeira parte da afirmação é uma das nossas favoritas. Como sociedade, adoramos ceder os julgamentos aos especialistas, porque, afinal de contas, eles são especialistas e sabem mais do que nós. O problema é que o processo de qualificação para se tornar um especialista é de certa forma inexistente. Costumamos lembrar que a definição de um especialista em segurança é de "alguém que citado pela imprensa". Baseando-nos nas pessoas que geralmente vemos serem citadas, e também na interação com tais pessoas, tal crença parece ser justificada. Não são mais as ações que justificam um especialista, mas sim sua reputação, e reputação é algo que pode ser determinado. Nosso amigo Mark Minasi é autor de uma grande frase que roubamos para usar em nossas apresentações. Para ser um consultor de segurança é preciso conhecer apenas quatro palavras: "A casa está caindo." Tendo sido consultores de segurança e visto o que aconteceu com o nível geral de competência na área, esta afirmação com certeza nos remete a algo verdadeiro. Existem de fato muitos consultores de segurança competentes, mas também existem muitos que não sabem precisa ser feito, não conseguem reconhecer isto, e cobram caríssimo para transmitir sua falta de conhecimento e habilidade para clientes desavisados.
Para Saber Mais
Este artigo lida com as coisas que devemos evitar ao gerenciar a segurança. No "Protect Your Windows Network," Jesper e Steve falam sobre o que deve ser feito, e você pode se surpreender com algumas das conclusões.
Como sempre, esta coluna foi feita para você. Queremos saber sobre os tópicos de seu interesse, ou se podemos ajudá-lo a proteger seus sistemas de uma forma melhor. Para entrar em contato, clique no link abaixo.