Archive

Archive for the ‘Negócios’ Category

Após ataque, Google ameaça sair da China

13 . janeiro . 2010 1 comentário

G1: Sede do Google na China

O Google ameaçou o governo chinês de encerrar suas operações no país devido à censura e ataques de hackers. O governo chinês, acusado de ser responsável, negou os ataques, mas especialistas dizem que os ataques apresentam sinais de sofisticação.

O governo chinês há tempos vem censurando sites na Internet, de acordo com eles, em nome da segurança pública e da moral. Ativistas acreditam que esse incidente com o Google seja um divisor de águas na luta contra a censura, mas não acreditam que o governo chinês vá recuar. Na China, o Google encontra  uma série de restrições e condições sobre sites que podem aparecer em resultados de busca.

Promessas de 100% de segurança (ou Risco Zero)

26 . dezembro . 2009 Deixe um comentário

Nesta véspera de Natal, os sistemas da Redecard ficaram indisponíveis por algumas horas, prejudicando milhares de compradores de última hora que pretendiam adquirir ou trocar presentes, como foi informado pelo G1.

O curioso é que ultimamente a Redecard tem alardeado possuir um “sistema que não cai”, que traz “segurança para o lojista e para o seu cliente”.

Dessa vez a Redecard trouxe prejuízo “para o lojista e para o seu cliente”.

Essas promessas de 100% de segurança nunca dão certo. Primeiro, porque não existe 100% de segurança ou Risco Zero. Segundo, porque sempre que uma empresa anuncia que seus produtos são 100% seguros (ainda que elas saibam que isso é historinha), esse tipo de anuncio cola um alvo bem grande nas costas da empresa e chama a atenção de milhares de hackers em todo o mundo prontos para provar o contrário.

Foi exatamente o que aconteceu nesta década com a Oracle. Depois de Larry Elisson, CEO da empresa, afirmar em 2001 que o servidor de banco de dados Oracle 9i era “inquebrável” (unbreakable, no original em inglês), os especialistas em segurança se esforçaram pra provar o contrário. Em 2002 o pesquisador britânico David Litchfield apresentou, durante uma conferência Black Hat, uma séria falha de segurança que permitia que hackers controlassem remotamente o servidor de banco de dados. De acordo com a CNET, em 2005 novas apresentações mostraram que o Oracle não era “inquebrável”, apesar das tentativas posteriores da Oracle de se descolar desse termo infeliz.

Há um detalhe em toda essa história: ainda hoje, com grande avanço no uso da Internet para compras e operações financeiras, sabemos que muitas pessoas ainda não usam a Internet para estes fins por não considerá-la segura. São pessoas que, apesar de lerem que um site é 100% seguro, preferem não enviar os dados de seu cartão de crédito pela Internet ou usar o Internet banking para pagamento de contas. É claro que além da segurança do site em questão, o computador do usuário também precisa ser seguro. Imagine agora se os sites de compra e operações financeiras na Internet começassem a se entitular “99% seguros”… Por outro lado, acredito que uma afirmação de “100% de segurança” ou “100% de disponibilidade” seguida de um incidente desse tipo seja passível de ação na justiça.

O fantasma do apagão elétrico

18 . dezembro . 2009 Deixe um comentário

O G1 noticiou nesta quinta-feira um registro de incidente no site do ONS, indicando que novamente ocorreu uma falha nas linhas de transmissão da região de Itaberá (SP), que originou o apagão de novembro.

De acordo com o Boletim Diário da Operação do Operador Nacional do Sistema Elétrico (ONS), a falha que ocorreu na quarta-feira (16), não afetou a transmissão de energia porque das três linhas de transmissão que foram desligadas, uma foi religada automaticamente.

Ainda segundo o ONS, “havia forte incidência de descargas atmosféricas” e se passaram 11 minutos entre o desligamento das linhas e a solução do problema. O ONS informou ainda que o incidente será investigado pelo próprio órgão e por Furnas.

Comentário meu: é importante descobrir a causa do incidente para evitar que volte a acontecer. Já falamos disso no post Gestão de incidentes, integração e o ‘Risco Apagão’. Falhas podem acontecer em qualquer sistema e é importante corrigir as falhas em tempo de evitar novos incidentes. Melhor ainda seria um trabalho prévio para evitar que acontecesse da primeira vez. Enquanto o motivo não for identificado contaremos com a sorte. Afinal, se não se sabe o que está acontecendo não é possível afirmar com certeza que o mecanismo de segurança do sistema funcionou corretamente. É normal passarmos por um período de insegurança agora e somente o esclarecimento do incidente trará tranquilidade novamente.

Cisco 2009 Annual Security Report

11 . dezembro . 2009 1 comentário

A Cisco lançou neste mês de dezembro o seu relatório anual sobre segurança da informação, relatando as ameaças de 2009 e tendências globais e recomendações de segurança para 2010.

Os principais assuntos do relatório são: spams, redes sociais, trojans, phishing scams, uma matriz BCG sobre o retorno financeiro dos ataques, conformidade e boas práticas de segurança da informação.

Na página 31, o Brasil assume o lugar do país que mais envia spam. Lamentável.

Para conferir o relatório (em inglês), clique aqui.

Quadrilha constrói túnel para furtar transportadora em SP

10 . dezembro . 2009 Deixe um comentário

O vídeo abaixo traz uma repostagem do SPTV, sobre o furto, em 06.12.09, de R$ 11 Mi (ou R$ 20 Mi) de uma transportadora de valores em Vila Jaguara, SP, através de um túnel, a partir de uma casa alugada do outro lado de uma praça.

Foi um projeto bem trabalhado, desde o aluguel da casa com documentos falsos com meses de antecedência até o cuidado para não alertar os vizinhos com o barulho, usando música para encobrir o quebra-quebra. As paredes do túnel de 150 metros foram reforçadas com concreto para não desabarem. Usando um casal com um bebê, chegaram a enfeitar a casa para o Natal. No final, tentaram cobrir os rastros pintando as paredes para destruir impressões digitais. Conseguiram ainda violar os controles de segurança física da transportadora, como alarme, câmeras (que uma reportagem do JN informou que estavam desligadas – será que ele sabiam disso?), piso de 40 cm de concreto no cofre, e aproveitaram os jogos da última rodada do campeonato brasileiro para distrair o guarda. Coisa de profissional. Imagino se eles já sabiam onde ficava o cofre e se sabiam a localização de canos de água e esgoto.

Algumas dessas vantagens que a quadrilha usou soam como um trabalho interno, além de muito bem preparado.

Se eu fosse o responsável pela segurança de uma sala-cofre estaria preocupado. Nos últimos anos a mídia noticiou incidentes similares. O melhor a fazer é executar uma análise de riscos bem ampla para encontrar pontos vulneráveis e corrigi-los antes que sejam explorados. Lembrando que, corrigir vulnerabilidades em uma sala-cofre geralmente custa caro.

Em ordem cronológica, alguns incidentes similares:

08.2005 – Quadrilha furta R$ 165 Mi do BC de Fortaleza

09.2006 – Túnel aberto por quadrilha em Porto Alegre custou R$ 10 Mi

02.2009 – Quadrilha cava túnel e assalta banco em Quixadá, CE

12.2009 – Quadrilha cava túnel e furta mais de R$ 10 Mi de transportadora de valores em SP

Além desses, temos ainda um túnel escavado em 10.2007: Ceará descobre oitavo túnel para fuga de presos deste ano. “No IPPS (Instituto Penal Paulo Sarasate), estão presos alguns participantes do furto milionário ao Banco Central em Fortaleza –quando foram levados da caixa-forte do banco R$ 164,7 milhões por um túnel de 80 metros”. O oitavo túnel foi descoberto justamente no IPPS.

Escavação de túneis para furto a bancos não é uma invenção brasileira. No ano passado foi lançado o filme The Bank Job, sobre um assalto que aconteceu em Londres em 1971, onde uma quadrilha cavou um túnel até o cofre de um banco e furtou milhões de libras em dinheiro e jóias. Ninguém foi preso e nunca se recuperou o que foi furtado.

Isso mostra que, mesmo para os bancos, que investem milhões em segurança, sempre existe risco. Nunca haverá 100% de segurança. Nunca haverá risco zero.

DDoS no Speedy

Não estou perseguindo a Telefônica. Uso esses incidentes conhecidos para mostrar como os incidentes de Segurança da Informação podem afetar as pessoas e as organizações. Segurança da informação não é assunto apenas para analistas e consultores de segurança, hackers ou grandes organizações. Todos nós temos informações que precisamos proteger e serviços que precisamos utilizar. Seja por lazer ou por questões de negócios.

Neste ano, após o apagão da Telefônica no ano passado, o Speedy sofreu um ataque de DDoS (Distributed Denial of Service – Negação de Serviço Distribuída). O ataque de DoS (sem o primeiro D) consiste em utilizar um computador para enviar mais tráfego do que um servidor pode processar, fazendo então com que ele fique ‘ocupado’ e não consiga responder aos clientes legítimos que tentam usar o serviço. O DDoS consiste em infectar um grande número de computadores e fazer com que todos ataquem o mesmo servidor (ou conjunto de servidores).

Discordo um pouco do consultor no fim da matéria. Se defender de um ataque de DDoS não é trivial. Se o ataque tiver como alvo o servidor web de uma organização, o que ela pode fazer é bloquear os endereços IP que estão estabelecendo muitas conexões em um curto período de tempo ou conexões de um determinado tipo (SYN Flood). O problema é que, para usuários de banda larga e acesso discado, sempre que uma nova conexão é efetuada, o endereço IP muda e o bloqueio do IP antigo não apenas se torna inútil mas tem que ser removido para não bloquear o usuário que recebeu aquele IP e não está com o computador infectado. Bloquear nos firewalls da organização ou do provedor de acesso o tráfego web (http) faria com que ninguém conseguisse acessar o serviço afetado.

É claro que existem sistemas e ferramentas que analisam tráfego e tentam determinar, de maneira automática, se este é legítimo ou não. Entre esses sistemas temos o IDS (Sistema de Detecção de Intrusos) e o IPS (Sistemas de Prevenção de Intrusão), que analisam os dados trafegados, a frequência e o tipo de conexão. Firewalls, roteadores e switches, além de um ótimo link com a Internet, também ajudam a conter o ataque. Se o tráfego não for legítimo, é feito um bloqueio automático naquele endereço para que o tráfego não chegue ao destino. O que torna a resolução do problema não trivial é um número enorme de computadores infectados. Imagine cerca de 1.000.000 de computadores executando o ataque simultaneamente. Esse foi o caso da worm MyDoom, de janeiro de 2004. Se a resolução do incidente fosse trivial, a Microsoft e a SCO não teriam oferecido US$ 250.000 de recompensa por informações que levassem ao criador da worm e a SCO não teria ficado fora do ar.

Dependendo do tipo de ataque, aumentar a banda com Internet pode não ajudar, porque o atacante pode aumentar o número de computadores infectados, aumentando o ataque. Além disso, nem todos os ataques consomem banda. Alguns são feitos para consumir tempo de processamento do servidor no destino, por exemplo. Outros tem como alvo uma determinada vulnerabilidade, que ao ser explorada, faz com que o servidor trave ou reinicie. Ainda que aumentar a banda ajude, o custo do aumento de banda pode ser astronômico a partir de um certo ponto, fazendo com que a organização tenha que avaliar o custo do link com a Internet versus o custo da operação parada.

O efeito do ataque é similar ao que acontece com o site de uma empresa que faz uma promoção relâmpago no estilo das companhias aéreas brasileiras. Quando muitos usuários estão acessando o serviço ao mesmo tempo, o processamento fica lento e no final ninguém consegue usar o serviço.

Gestão de incidentes, integração e o ‘Risco Apagão’

30 . novembro . 2009 2 comentários

Introdução

Após muita especulação sobre o apagão, a única certeza que temos é que existe risco de novo apagão no futuro.

Gerenciar incidentes significa, contornar a situação (reduzindo ou eliminando o impacto), notificar as partes interessadas e determinar a sua causa. Em parte, é como realizar uma autópsia. Um dos objetivos é descobrir a causa do incidente para evitar que ele aconteça novamente. E assim como uma autópsia, dependendo do incidente, uma perícia, ou investigação, pode ser necessária para identificar o responsável pelo evento. Seja como for, o ideal é saber a causa e, se for o caso, gerar uma recomendação para que não se repita.

Há uma reportagem bem interessante, no site da Folha Online, que explica o sistema elétrico brasileiro e o impacto da falta de energia elétrica no país. Há também uma matéria, do G1, que tenta entender o que o investidor estrangeiro pode estar achando desse incidente. Há uma preocupação com os investimentos, assim como questionei no meu post sobre a matéria da revista inglesa The Economist.

Vamos ao que interessa

Em entrevista recente ao G1, Raphael Mandarino Jr., diretor-geral do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República, nos presenteou com as seguintes frases:

“Nosso atraso tecnológico ajuda. Nossos sistemas de estrutura não estão interligados. Ficam fora da internet”, diz Mandarino. “Um hacker habilidoso pode entrar no local e fazer alguma coisa, mas pela internet acho muito improvável.” Ele disse ainda: “Não temos nenhuma notícia de um ataque mais sério além da pichação (alteração de página por criminosos) no site do ONS (Operador Nacional do Sistema Elétrico), que remete a uma fragilidade da rede a que o gestor não estava atento”. Quanto à pichação do site do ONS, Mandarino disse ainda: “A maioria dessas pichações são vulnerabilidades cujas correções são conhecidas, mas não foram aplicadas. É desagradável para a imagem do órgão invadido. Mostra uma fragilidade do gestor daquela rede”.

Concordo que a rede operacional deve estar completamente isolada da Internet. A RSFN (Rede do Sistema Financeiro Nacional) possui um domínio público mas conta com uma série de controles que restringem quem pode se conectar. Apesar do isolamento deve haver canais de comunicação internos, privados e seguros, para permitir o gerenciamento e monitoração dos sistemas. Afinal, se ataques às redes operacionais das instituições não fossem possíveis ou se elas fossem todas completamente isoladas, guerras cibernéticas ainda seriam ficção.

Depois de ler essa entrevista e sabendo que 1.195 sites do governo foram invadidos neste ano, fiquei com a seguinte sensação (torço para estar errado):

Conclusão

Estamos entre a cruz e a espada. Se os sistemas de tecnologia da informação não estão interligados, o gerenciamento e a monitoração se tornam mais difíceis. Se os sistemas estão interligados, corremos o risco de invasão por falta de gestão adequada de Segurança da Informação. O mesmo ocorre com o sistema elétrico: o sistema, que atualmente está interligado, falhou e derrubou o fornecimento de energia em 10 estados brasileiros.

Podemos dizer que a mesma integração que acelera processos e reduz custos também pode trazer prejuízos e acelerar os ataques e vazamentos de informação, por exemplo. É justamente aí que entra a (in)Segurança da Informação. Fazendo uma analogia, seria o mesmo que uma organização utilizar um único login e senha para um usuário acessar seu e-mail, a rede corporativa, a intranet, faça acesso remoto, etc. Parece ótimo. No entanto, se este usuário utilizar uma senha fraca ou de fácil dedução, um hacker ou usuário mal intencionado poderá ter acesso a todas essas informações após descobrir uma única senha. Em outro exemplo, é muito mais fácil roubar terabytes de informação de uma biblioteca virtual do que tentar sair pela porta da frente com toneladas de livros.

Para finalizar: a minha maior preocupação é estarmos no meio da reta acima. O meio me parece uma área de interseção, onde há uma integração meia boca junto com uma segurança inadequada. Esse é o pior dos dois mundos.

%d blogueiros gostam disto: