Segurança da Informação

Hoje em dia, as empresas estão voltando seus olhos para as questões de segurança da informação. Muito se fala em segurança da informação, mas, em primeiro lugar, é preciso definir o que é Informação.

Informação é um dado que, quando tratado, serve para um determinado fim. Por exemplo, o nosso CPF. Vendo de longe, não passa de um monte de números sem um significado especial. Mas, esses números, quando processados ou consultados na Receita Federal, passam a serem vistos como um dado importante que serve para identificar um cidadão.

Sendo assim, a informação, para uma empresa, é um ativo, isto é, um bem como qualquer outro que a empresa possui, e por essencial para os negócios da empresa, deve ser adequadamente protegido.

E por falar em proteção, de acordo com a Norma NBR ISO/IEC 17799:2005, a Segurança da Informação é a proteção da informação de vários tipos de ameaça para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio.

Falando em termos mais simples… a segurança da informação, é um conjunto de normas e diretrizes definidas pela empresa para proteger seus dados, funcionários, o negócio da empresa como um todo, e a garantia da continuação do mesmo.

Quando falamos em segurança da informação, podemos pensar que se trata de um produto ou serviço que podemos adquirir de terceiros. Os produtos e serviços comerciais são importantes e podem fazer parte de uma solução para a empresa, mas não devem ser vistos como um todo.

De acordo com Bruce Schneier , um conceituado escritor de livros e artigos sobre segurança da informação, “segurança é um processo e não um produto”.

Alcançar um nível de segurança aceitável, requer muitas doses de paciência, vigilância e persistência e conscientização, não só por parte do administrador, mas também de toda comunidade de usuários.

Sim, os usuários entram nessa questão… afinal de contas, quando se trata de informação, um dos elos mais frágeis é o ‘ser humano’. Então, como administradores, nossa responsabilidade é garantir que os sistemas além de estarem em um nível aceitável de segurança (não existe um sistema 100% seguro), temos que treinar e conscientizar os usuários.

Para implementação de medidas de segurança da informação, é utilizado um documento chamdo BS7799, elaborado pela British Standards Instituition; aqui no Brasil, a versão para esse documento é a NBR ISO/IEC 17799. Aqui, cabe uma informação: em 2007, a edição ISO/IEC teve seu esquema de numeração alterado para ISO/IEC 27002.

Falando sobre esse documento, ele possui itens que são utilizados para implementar e garantir a segurança da informação em uma organização. Além de explicar como estabelecer requisitos de segurança, também dá uma base para o administrador desenvolver diretrizes específicas para a organização.

Manter os usuários treinados e conscientizados para seguir boas práticas de segurança da informação na escolha e uso de senhas; afinal de contas, a cooperação de todos é essencial para uma segurança efetiva.

Isso quer dizer que os usuários devem ser orientados a escolher senhas que não sejam fáceis de se advinhar, manter a senha em segredo, alterar periodicamente ou assim que suspeitar que alguém teve acesso a mesma. Não adianta também escolher uma senha absurda e deixar ela grudada no monitor, embaixo do teclado ou então no issue da máquina…

Ahn, para quem não sabe o que é o issue, é um arquivo localizado no /etc; ele é o que dá boas-vindas em modo texto, isto é, mostra uma mensagem antes do login, tanto para quem acessa local, quanto quem acessa remotamente.

O documento também trata sobre mesa e tela limpa… não deixar terminais logados (ainda mais como root!); não deixar documentos espalhados pois podem conter informações essenciais sobre o negócio da empresa, ou até mesmo uma configuração de servidor; se alguém não autorizado tiver acesso, pode passar adiante a informação, ou, se o terminal estiver logado, pode executar comandos que destruam o sistema.

Mídias de armazenamento (CD, DVD, pendrive, ou até mesmo o antiquado disquete) devem ser guardadas em local seguro e não disponíveis para qualquer um acessar.

Também no documento, diz que as normas de segurança da informação devem estar em conformidade com os seguintes itens:

Confidencialidade –  a informação deve ser acessada somente por quem está autorizado a acessá-la.

Vou usar aqui o exemplo dos Correios. Imaginem que estou enviando uma carta para o Motivo. A confidencialidade vai garantir que a carta que estou enviando para o Motivo, vai para ele mesmo… e nenhuma outra pessoa terá acesso ao conteúdo da mesma!

Integridade – a informação deve estar íntegra, isto é, completa, sem nenhuma modificação do seu conteúdo original.

Ainda falando da carta que está sendo endereçada ao Motivo… a integridade garante que o conteúdo da carta que enviei para ele não foi alterado! O que eu escrevi vai chegar para ele sem nenhuma vírgula fora do lugar 😉 !

Disponibilidade – a informação deve estar disponível sempre que necessário.

Retornando ao assunto da carta para o Motivo, a disponbilidade vai garantir que a mesma será entregue a ele! Isso implica em manter os Correios funcionando, ter o carteiro para entregar a carta para o Motivo 🙂 .

Autenticidade – garante a identidade das pessoas envolvidas no envio/recebimento da informação!

Pensando na cartinha que estou mandando para o Motivo, a autenticidade, vai permitir que ele saiba que é a Nix mesmo que está enviando a carta… e não outra pessoa! E aí… ele pode ler a carta sem medo de ser feliz 🙂 !

Legalidade – trata do aspecto jurídico da informação juntamente com a parte de tecnologia da empresa. Provavelmente, vocês já devem ter recebido um e-mail que no final, contém uma mensagem mais ou menos assim:

“Essa mensagem (incluindo qualquer anexo) e confidencial e pode ser privilegiada.
Se você recebeu por engano, deve apagar essa mensagem do seu sistema e avisar o remetente. Qualquer uso não autorizado assim como disseminações dessa mensagem ou partes dela é estritamente proibido.”

A mensagem acima, trata do aspecto jurídico da informação. Voltando no exemplo da carta que estou enviando para o Motivo, imaginem que ela se extraviou e foi parar na casa de outra pessoa.

Se eu trato a cartinha dentro dos princípios da segurança da informação, então, a pessoa que recebeu por engano, deve devolver a carta aos Correios, e este, me avisar que a carta não chegou para o Motivo… E isso vai proteger o que escrevi para o Motivo, garantindo que essas informações sejam utilizadas apenas para determinados objetivos.

Acima, é só um exemplo para tentar ilustrar o que representa cada item dos princípios de segurança da informação… mas é importante lembrar, que outras medidas devem ser tomadas para garantir a segurança!

Numa empresa, muitas pessoas tem necessitam ter acesso ao sistema, mas nem todas precisam ver todas informações que estão lá. Para que não haja acessos indevidos, a empresa deve adotar protocolos e mecanismos para controlar o acesso aos recursos e compartilhamentos.

Esses protocolos e mecanismos, são conhecidos como políticas de segurança, um conjunto de princípios e valores nos quais se baseiam a realização e a administração de uma empresa ou atividade. Dentro dessa política, basicamente devem ser abordados os procedimentos e controles de segurança, além de um plano de contingência.

Falando dessa forma, a impressão que temos é que tudo é muito burocrático… mas se for implantado corretamente de acordo com a realidade da empresa, para proteger a informação e o negócio, começamos a enxergar um certo sentido!

Procedimentos e Controles de Segurança – Instruções que devem ser rigorosamente seguidas e executadas, porque a integridade e precisão das informações dependem dessas instruções. Os procedimentos de segurança devem incluir:

Atividades rotineiras: verificação de vulnerabilidades, correções (patches), atualizações, logs, etc.

Atividades eventuais: revisão do conjunto de filtros de navegação na web, regras de firewall, políticas de acessos, etc.

Atividades de controle: utiliza ferramentas para controlar se os procedimentos, políticas e ações de segurança realmente estão sendo executados.

Plano de Contingência – Toda instituição pública ou privada deve estar constantemente preparada para enfrentar interrupções de processamento ou comunicação de dados, perda de informações ou interrupções de acesso. Um plano de contingência tem por objetivo, garantir o restabelecimento das atividades o mais depressa possível.

O que coloquei acima, é só um apanhado geral do que li na NBR ISO/IEC 17799:2005 e das minhas anotações de aula. Não terminei ainda a leitura da norma, mas pelo que já li, vi que o documento também trata sobre análise/avaliação dos riscos, isto é, análise e avaliação de possíveis ou reais ameaças à segurança da informação e ao negócio; controles de acessos, monitoração de ambiente, registros de acessos, falhas, como agir em caso de um incidente de segurança (procedimentos e controles de segurança), continuidade do negócio (plano de contingência) e etc.

Esse documento é uma leitura bem importante para quem está implementando os requisitos de segurança da informação em uma organização. Claro que não deve levar todo documento ao pé da letra; ele deve ser utilizado como guia, pois pode haver momentos em que um requisito do documento conflita com os princípios da organização ou com a legislação vigente; cabe ao administrador e a gestão da empresa utilizarem o bom senso ao implementarem as normas 😉 !

Referências:
BS 7799
ABNT NBR ISO/IEC 17799:2005

Anúncios

Tunelamento http de uma história de amor

Astolfo e Gertrudes eram apaixonados, ele por ela e ela por ele, de forma que não era possível que passasse hora sem que trocassem mensagens através do email.

O belo casal era muito ligado, um não fazia sentido sem o outro, eram o queijo e a goiabada, o mágico e a cartola, o pop e o smtp.

Mas então, um belo dia, uma tragédia aconteceu: Gertrudes foi trabalhar em uma empresa cuja política de segurança era muito restritiva, eles não permitiam que a pobre coitada, nem nenhum outro funcionário, acessasse a internet para nada além de páginas web. E ainda assim com um proxy transparente!

– Ó meu querido Astolfo, como vamos manter nosso relacionamento assim, tão distantes um do outro? – indagou Gertrudes.

Astolfo, com um ar pensativo, disse:

– Não se preocupe, minha amada. Darei uma solução!

E então, com as mangas arregaçadas, pôs-se a procurar no Google algo que lhes dessem um fim a angústia de uma rede bloqueada.

Em poucos cliques, procurando por “http tunneling”, encontrou a ferramenta certa:

http://www.nocrew.org/software/httptunnel.html

O httptunnel era basicamente o que ele precisava. Neste site ele encontrou a versão para Windows, plataforma usada pela Gertrudes, e um port para o FreeBSD, plataforma do servidor usado por Astolfo.

Fazendo uma verificação rápida no manual do programa, chegou a algumas conclusões.

Ele precisaria rodar a versão server (o hts) na porta 80 para que Gertrudes pudesse acessar.

Mas ele já tinha um Apache rodando no servidor que tinha disponível para este “serviço”. E agora?

– Bom – Astolfo ponderou – se eu não posso rodar na 80, rodo em outra porta qualquer, por exemplo, 8000 e dou um jeito da Gertrudes chegar lá.

Executou o comando:

~# hts -F 10.0.0.10:110 8000

Isto significava que o servidor passaria a receber uma conexão na porta 8000 e redirecionaria este acesso para o servidor POP (10.0.0.10) onde estariam as mensagens da sua alma gêmea.

Em seguida ligou para Gertrudes:

– Meu amor, por favor, me acesse o site http://www.whatismyip.com e me diga que número IP ele irá te mostrar, sim?

– Claro, querido, ele mostrou o número 10.50.10.50.

Agora Astolfo sabia com que endereço Gertrudes acessaria seu servidor, e configurou as seguintes regras no seu firewall local:

~# ipfw add 100 fwd 127.0.0.1,8000 tcp from 10.50.10.50 to me 80

Ou seja, os acessos vindo da rede onde estava a Gertrudes seriam redirecionados da porta 80 para a porta 8000 internamente.

Mas porque não fazer esse redirecionamento direto para o servidor de email?

Por que o servidor de email iria responder diretamente para Gertrudes, que devolveria um simpático RST dizendo “Não lhe perguntei nada!”.

Então era preciso que o próprio servidor do Astolfo fizesse a conexão com o servidor de email, o que seria feito através do aplicativo hts.

Com uma das pontas funcionando, era a hora de configurar o acesso no computador da Gertrudes. Astolfo novamente lhe pediu:

– Minha amada, baixe o segunite arquivo:

http://userpages.umbc.edu/~tmoses1/hypertunnelNT.zip

Em seguida, deu as instruções:

– Descompacte este zip e execute o comando:

c:\temp\htc -F 110 10.99.0.1:80

Com este comando, a porta 110 na máquina local de Gertrudes será aberta e fará conexão com o servidor de Astolfo, no endereço 10.99.0.1. Agora bastaria configurar o servidor POP 127.0.0.1 no Outlook para acessar seus emails.

Gertrudes já consegue baixar suas mensagens! Ela abre o Outlook. Ele tenta se conectar no servidor POP 127.0.0.1 na porta 110. O programa htc repassa esse pedido pela porta 80 para o servidor de Astolfo, no IP 10.99.0.1, que se conecta no servidor POP real da Gertrudes, no IP 10.0.0.10, pota 110.

Ótimo, mas ela também quer enviar mensagens. Astolfo precisa subir um outro hts para se conectar no SMTP de Gertrudes. Mas em que porta ele vai ouvir se Gertrudes só pode se conectar na porta 80?

Talvez a rede dela não seja assim tão restritiva. Se eles permitem navegação web, é possível que permitam que seus usuários naveguem em sites seguros, como sites de bancos. Neste caso, eles precisam se conectar via HTTPS que usa, tcharam!, a porta 443.

Muito astuto, Astolfo sobe mais uma instância do seu servidor httptunnel:

~# hts -F 10.0.0.10:25 8001

Agora, mais uma linha no firewall, direcionando a porta 443:

~# ipfw add 100 fwd 127.0.0.1,8001 tcp from 10.50.10.50 to me 443

Hora de fazer mais uma configuração no computador de Gertrudes. Ela executa o seguinte comando:

c:\temp\htc -F 25 10.99.0.1:443

Em seguida, ela configura o Outlook para mandar mensagens no servidor 127.0.0.1 porta 25. Com isso, ele vai se conectar no htc local , na porta 25, que vai sair da rede interna pela porta 443 e se conectar no servidor de Astolfo, que vai se conectar ao servidor SMTP da Gertrudes na porta 25, repassando toda a comunicação entre os dois computadores.

Agora Gertrudes pode enviar e receber emails do mundo exterior sem precisar acessar webmails lentos e chatos. Ou seja, tecnicamente, ainda era possível trocar mensagens com seu querido amor.

E viveram felizes para sempre…

Errr… Bem, um belo dia Gertrudes baixou um vírus que explorou uma falha do seu Outlook, se instalou na rede interna da empresa, destruiu centenas de documentos e enviou milhões de mensagens pelo servidor de Astolfo.

O servidor de Astolfo foi bloqueado em várias redes, o grupo de segurança do seu backbone entrou em contato com seus chefes e ele foi despedido.

Gertrudes levou um pé na bunda da empresa onde trabalhava e, estando seu amado na rua da amargura, o trocou por um garotão, surfista, estudante de educação física que nunca quis saber desse negócio de computador.

Link Original: http://www.istf.com.br/vb/showthread.php?t=5662