SysAdmin: Eu, vulnerável??

Depois de alguns anos atuando com SysAdmin, migrei para a área de Segurança. E veio o choque: quase tudo o que eu achava que sabia estava errado.

Não estou falando de conceitos, tecnologias, etc. Estou falando de método, de foco. A informação é importante, mas a disponibilidade, o desempenho, o “up and running”, acabam por tomar toda a atenção do administrador – e por conseguinte, grandes percentuais do orçamento das organizações. Gastam-se milhares de dólares (ou reais) em hardwares robustos, switches gerenciáveis, fibra ótica, wi-fi, alta disponibilidade, avançados sistemas de redundância, load balance, monitoramento preventivo de tudo isso, e investe-se muito pouco em soluções de segurança. Aplicam-se soluções baratas e até gratuitas que se viu em algum blog ou revista e pronto – estamos seguros. Quando falo no baixo investimento em segurança quero ressaltar o baixo investimento de tempo: pesquisa-se pouco. Ou nada. Não há tempo, pois amanhã o RH vai rodar a folha, e toda a rede vai ficar lenta por causa disso, então os jobs de live backup serão pausados, os técnicos de help-desk correrão como baratas tontas para atender a tantas solicitações de usuário.

“Mas nós temos aquele PCzinho rodando um firewall e um proxy em Linux que foi configurando pelo tutorial daquele blog, e um servidor WSUS distribuindo todos os patches de atualização da Microsoft... estamos seguros”. Ou até mesmo, gastamos alguns milhares de dólares num appliance, e aí, a sensação de segurança é maior ainda – e quanto maior, mais falsa é essa sensação, e maior a vulnerabilidade a que o administrador expõe a empresa. As medidas podem até ser suficientes no caso de evitar ataques por oportunidade, mas um atacante que tenha de fato escolhido atacar aquela empresa – seja em busca de informações, seja em busca de tomar o controle de recursos como servidores, botnets ou banda larga, com certeza não terá grandes dificuldades em realizar uma invasão bem sucedida. Parece que segurança se resolve com um antivírus “poderoso” e com o firewall pessoal.

Já trabalhei em indústrias, instituições financeiras e de saúde, mas jamais percebi em nenhuma delas algum esforço no sentido de implementar criptografia, autenticação por certificados, assinatura digital, etc. Em alguns locais percebi uma política de senhas bastante rígida, em outros uma política de segurança extremamente preocupada com as possibilidades de vazamento de informações por usuários mal intencionados. Bloqueia-se o uso de pendrives, máquinas digitais, funcionários são revistados na portaria... mas esquecem de instruir o cara que busca as mídias de backup que não deve parar para tomar cafezinho enquanto as mídias estiverem em seu poder. Já vi casos de uso de serviços de diretório, com login em sistemas e até bancos de dados integrados, e as credenciais de acesso passeando pela rede em texto claro, sem nenhuma preocupação com conexões seguras. Não precisa ser alguém com avançados conhecimentos em hacking, phishing, etc... qualquer usuário insatisfeito que tenha acesso à Wikipédia pode baixar um sniffer, ou aprender técnicas de engenharia social, e se tornar uma ameaça a um sistema vulnerável.

"Uma política de múltiplas senhas vai fazer com que o 'usuário-padrão' anote todas as senhas numa agenda junto de seu computador, ou num arquivo txt em um drive compartilhado"; porém a solução apresentada - o festejado Single Sign-On - reduz todas as senhas a uma só, concentrando também todos os possíveis pontos de acesso a um só: um atacante teria acesso a tudo o que for integrado àquele serviço de diretório! "Ok, resolvemos isso com uma política de senhas alfanuméricas com no mínimo 10 carateres (inclusive especiais), trocadas mensalmente, e um controle que evite a repetição das senhas por um ano..." ótimo, assim acabamos de transformar o sistema de Single Sign-On em um sistema mutisenhas. E aqui eu lembro do usuário supercriativo que criou o seguinte método: "Senha01", "Senha02"... para janeiro e fevereiro. E assim ele levava a sua vidinha de gerente financeiro acessando o SAP: "Senhor Fulano, acabei de reinstalar, pode acessar para ver que está funcionando?" E ele, com uma das mãos ocupadas ao telefonem digita, ou melhor, dedilha lentamente a senha sob minha desinteressada vista...

E, como pude perceber conversando com os colegas da Tempest sobre SSO, convenhamos: bancos, cartões de crédito, e-mails pessoais, redes sociais, blogs e fotologs, etc... a vida do usuário não é Single Sign-On! Se ele tiver dificuldade em gerenciar múltiplas senhas, não é o SSO que resolverá a vida dele.

Ferramentas como certificados digitais, mecanismos de criptografia, estão disponíveis na Web a custo quase zero, mas apresentam um altíssimo valor agregado; softwares como o TrueCrypt - que é free - além de proteger informações críticas, trazem outros benefícios: possibilita, por exmplo, agilizar tarefas corriqueiras, como exportar a pasta de documentos e e-mails do diretor que comprou um notebook novo. O notebook velho, se foi roubado, não conterá informações críticas acessíveis a quem roubou. Conhecimento dessas tecnologias me fez perceber outras formas de autenticação estão disponíveis, como kard keys, tokens, RFID, biometria... a Tempest me ajudou a perceber nunca (sim, eu disse nunca) estaremos 100% seguros; a boa notícia é que ao reconhecer isso, percebi o quanto estava exposto, e corri atrás de fechar todas as brechas que pudesse fechar; hoje entendo que os sistemas de defesa estão sempre um passo (ou mais) atrás dos atacantes, e percebo que precisamos - como SysAdmins - de uma mudança de visão, de atualização constante, de entender que somos como goleiros defendendo um pênalti - enquanto o atacante tem o poder de decidir o momento de chutar, escolhendo o ângulo e até mesmo dando uma "paradinha". Precisamos ser mais criativos e pensar: "se eu fosse o atacante, como eu tentaria entrar?"

Mas e o nosso suporte?

Infelizmente, o SysAdmin está ocupado, pois nossos sistemas precisam estar “up and running”, e nossa meta de disponibilidade é de 99,9997%. Não, nossos servidores web não contem tantas informações importantes... não precisa gastar tanto tempo tentando torná-los mais seguros – ou menos vulneráveis. Nós já cuidamos disso, estamos seguros.

(Epitácio Neto atuou por mais de 10 anos em suporte e administração de sistemas; trabalha há 2 meses na Tempest, e desconfia que ouviu um monte de "verdades" muito vulneráveis...)

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Vicente C. Fiebig | 2010-08-06 10:33:05 | permalink | topo

Parabéns pelo post! essas observações, diria mais, essa analise do ambiente de um sysadmin voltado à política de segurança deveria ser levada muito a sério. Não foi só você meu caro, quem já viu políticas falhas de segurança e desculpas esfarrapadas para não aplicar uma, ao menos uma, por mais irrisória que pareça.

Obs.: usei acentos normalmente!

Epitácio Gueiros Sales Filho | 2010-08-04 08:53:53 | permalink | topo

Lendo o texto percebe-se o quanto nós, meros usuários, (para não falar em empresas) estamos vulneráveis. Creio que a grande maioria dos usuários não percebe o risco que corre, e sentem-se muito seguros. Recentemente, em uma das instituições em que trabalho, aconteceu o seguinte fato: "alguém" conseguiu "furar" a segurança do sistema, e mandou um e-mail para a direção da empresa dizendo: "vejam vocês... Conseguí alterar 'tal página' de sua home page!" O gestor de sistemas da institução apressou-se em acessar a home page para conferir... e com grande espanto contatou a veracidade da informação. O "cidadão" tinha realmente alterado uma página inteira! Foi um "corre-corre", mudaram senhas, buscaram entender como aquilo teria acontecido e a "brecha" não foi descoberta. Restou um sentimento de insegurança e uma paranóia para execução de backups, implantação de novas senhas com mais de 8 dígitos com caracteres gráficos, símbolos, números e etc. Penso, que mesmo com todas essas mudanças continuamos vulneráveis, pois a "brecha" no sistema não se sabe ao certo se foi definitivamente fechada. E mais, será que não existem outras? Torçamos para que não. Parabéns pelo esclarecedor e excelente texto! Penso que ele deve ser utilizado (ou transformado) em artigo para publicação na seção de informática de jornais e/ou revistas. Certamente será utilíssimo.

Epitácio Gueiros Sales Filho.

Eduardo | 2010-08-03 14:48:47 | permalink | topo

Infelizmente balancear necessidades ainda nao eh o forte da turma de computacao...

O mesmo acontece no desenvolvimento: Quando precisamos dar atencao a disponibilidade ou ao tempo de entrega acabamos por neglicenciar o desempenho, a seguranca e principalmente a usabilidade.

Deviriamos aprender com os profissionais de saude e suas equipes multidisciplinares: Cada profissional examina sua especialidade, porem todos colaboram com o resultado final...

Parabens pelo post

Obs: Esse textbox nao esta permitindo o uso de acentos. :(