A história dos Hackes III

Na terceira, e última parte do especial hacker (leia a primeira parte aqui, e a segunda aqui), iremos conhecer os esforços das grandes empresas para manter suas (e nossas) informações seguras e livres de ataques. O que garante que nossos dados bancários, nossas compras na internet ou mesmo nossas reservas em um hotel estão realmente seguros?

Colocando de maneira simples, essa segurança vem em duas grandes frentes que se interrelacionam: segurança de tecnologia da informação (TI) e segurança da informação. Ou seja: a segurança ligada a equipamentos e ferramentas que fazem com que a informação circule pelas organizações e a segurança da informação em si, evitando que ela seja perdida ou roubada.

Um papel relevante na segurança da informação é desempenhado pelos hackers, que já há algum tempo podem estar dos dois lados da lei. Contratar equipes de hackers para atacar suas defesas e testar sua segurança é prática comum em empresas hoje em dia. Mas isso é assunto para depois.

Em primeiro lugar, vamos entender como a segurança da informação se tornou algo tão fundamental para uma empresa quanto um bom gerente ou contador.

Empresas VS. Invasores

Tente se colocar no lugar de qualquer um dos empresários pioneiros na instalação de computadores em seus escritórios. É possível imaginar que imediatamente após ele se sentir orgulhoso por seu ato visionário, de se sentir um sujeito realmente ligado aos novos tempos, ele tenha se dado conta de que junto com os computadores, ele tinha comprado vários problemas...

Acompanhe o raciocínio.

Desde sempre, o computador é uma ferramenta capaz de armazenar, processar e recuperar informações (vamos ficar só com essas funções básicas, por enquanto).

Quando os computadores chegam aos escritórios, natural que eles fossem usados para essas funções básicas, a princípio. Paralelas a essa revolução no trabalho, algumas outras revoluções iam ocorrendo, justamente para aumentar a eficiência no uso dessa nova ferramenta que ainda fazia muita gente coçar a cabeça para entender o que fazer com ela. Uma delas é a revolução dos softwares.

O primeiro empresário que instalou um computador no escritório percebeu que não dava para fazer muita coisa, caso não existisse um jeito de dizer ao computador exatamente o que ele precisava fazer. Para ficar no básico, eram necessários softwares para criar e editar planilhas e textos– sem esquecer as obviedades como a possibilidade de salvar e gerenciar esses arquivos de maneira rápida e fácil, tarefa dos sistemas operacionais como o Windows.

Em pequena escala (micro empresas, com dois ou três computadores), os softwares prontos como o Word ou o Excel eram (e ainda são) uma solução prática e barata.

A história muda quando grandes empresas passam a ter a necessidade de adequar as ferramentas às suas necessidades, departamento por departamento, computador por computador.

Avance um pouquinho nessa história e imagine uma grande corporação onde existem centenas de estações de trabalho ligadas em rede; com cada funcionário criando, editando e salvando arquivos simultaneamente. E onde cada um desses arquivos é necessário para que o diretor tenha uma visão global do seu negócio.

Ainda não conseguiu ver onde a segurança entra nessa história?

Pense em todos os problemas pelos quais um único e humilde arquivo pode passar até ser salvo em segurança, pronto para ser acessado por outro funcionário, ou pelo diretor da empresa: queda de energia, um problema no software que impeça sua gravação, problemas na rede que impeçam o usuário de acessar a pasta onde o arquivo pode ser salvo, problemas no servidor – incluindo falhas em um ou todos os HDs onde os arquivos são salvos. Isso só para ficar nos problemas mais comuns.

Segurança da informação envolve a capacidade de garantir a integridade das informações que circulam em uma empresa. Mas não só.

Empresas de grande porte têm políticas de acesso à informação que dizem que funcionários em determinado nível não podem acessar informações de níveis superiores, por exemplo. Também existem as políticas de senhas, que definem quem pode acessar o que, em qual momento e até de que computador.

Todas essas políticas, e muitas outras, fazem parte da segurança da informação. E também fazem parte da segurança de TI– duas coisas distintas, mas interrelacionadas, como você deve ter percebido.

No cenário atual, corporações como bancos, empresas de cartões de crédito e até redes de hotelaria trabalham com uma infinidade de ferramentas que lidam com milhares (senão milhões) de transações por minuto.

Para lidar com a integridade e a segurança dessas informações, entraram em cena os departamentos de Segurança de TI. Equipes de profissionais especializados em identificar as brechas por onde os dados podem se corromper, ou até ser roubados por fontes internas ou externas.

Carolina Bozza é Engenheira de Segurança na empresa Imperva (veja um currículo mais completo no fim desta página). Para ela, ataques a corporações guardam semelhanças com outros tipos de crimes: “Assim como bandidos invadem uma residência ou um estabelecimento comercial em busca de algo de valor (como jóias, relógios, dinheiro em espécie e até obras de arte), um criminoso digital vai sim tentar invadir uma empresa, muito provavelmente através de alguma aplicação publicada na Web (por exemplo, um “Internet Banking) para tentar chegar às riquezas e objeto de desejo: Informação.

Essa ameaça vem de fora, na maioria das vezes. Mas também pode vir de dentro da empresa, segundo a especialista.

“Externamente, temos criminosos digitais se utilizando de conhecimento e ferramentas para invadir uma empresa através da rede, da web. Quando a forma silenciosa de ataque não funciona, a abordagem pode ser interna, ou seja, convencer usuários da rede, um funcionário da empresa, que possui acesso legítimo e autorizado, a roubar informações ou até, inocentemente fornecer informações a tais criminosos.”

Fica clara a importância da segurança da informação dentro das organizações. Na luta contra os invasores, a segurança evoluiu de atribuição dos departamentos de TI para departamentos organizados. “Os tradicionais departamentos de informática de uma empresa começaram a segmentar-se em departamento segurança da informação, segurança patrimonial e física, riscos e compliance, auditoria interna, operação de TI, dentre inúmeros outros. O mais interessante é que muitos deles, no organograma, estão diretamente ligados às áreas de negócios, e não mais às áreas operacionais, pelo fato de o impacto do vazamento de dados de uma empresa afetar não só o responsável pelo file server, mas em muitos casos chegar até o departamento jurídico – principalmente quando se tratar de informações e dados de clientes”.

Mas o que faz um profissional de segurança da informação? Carolina responde.

“A função de um profissional de informação é utilizar-se de ferramentas e processos para garantir a melhor segurança do ambiente digital, mantendo a confidencialidade e integridade dos dados, garantir a continuidade dos negócios e não comprometer a experiência e usabilidade do usuário (ou seja, manter a disponibilidade).

Em outras palavras, a função desse profissional é proteger sem impactar. E caso seja necessário impactar (por exemplo, bloquear ferramentas do tipo Instant Messenger), que a ação esteja alinhada com os objetivos do negócio e missão da empresa”.

Claro que isso é uma tarefa árdua. Não há descanso para um especialista que tenha como missão proteger a segurança da informação de uma empresa. Algumas ferramentas são valiosas nessa tarefa.

Carolina Bozza enumera algumas delas:

“Temos hoje disponível diversas ferramentas que podem facilitar a gestão de segurança de uma empresa, bem como aplicar controles e implementar barreiras para elevar o nível de segurança do ambiente corporativo.

Dentre elas, podemos destacas algumas bem conhecidas, como por exemplo:

FIREWALL, que vai realizar filtros baseado em IP:Porta (por exemplo: a rede de usuários pode sair pela porta 80 do firewall – Web – já a rede de servidores de banco de dados, não);

ANTIVÍRUS, geralmente para atuação local nas estações e servidores, reconhece códigos e programas maliciosos que podem causar dano aos sistemas e arquivos (vírus, trojans, spywares, etc), e realiza ações como deletá-los, colocar em quarentena ou ainda, recomendar a remoção de arquivos infectados sem correção disponível;

IPS, ou sistema de prevenção de intrução, trabalha analisando o tráfego de rede em busca de padrões conhecidos (assinaturas) que determinem que aquele tráfego é um ataque, bloqueando então aquele fluxo de informação;

E além de tecnologia, existem procedimentos que podem e devem ser implementados, como educação e recomendações dos usuários, implementação de políticas de segurança, possuir um plano de backup e disaster recovery, manter ambientes sempre com redundancia e garantir a continuidade dos negócios sempre visando a seguraça e integridade das informações".

Ou seja, nós, como usuários, também temos nossa parcela de responsabilidade pela segurança. Abaixo, a especialista enumera alguns cuidados simples para que você possa colaborar.

"Os usuários podem ajudar com hábitos bem simples:

- Mantenha sua mesa limpa, sem documentos e com a sua estação de trabalho travada;

- Utilize senhas que possuam letras maiúsculas, minúsculas, números e caracteres especiais, que sejam complexa o suficiente para não serem descobertas, porém que façam suficiente sentido para o usuário para que ela não seja escrita num post-it e colada no monitor;

 

- Evite abrir e-mails não solicitados e evite clicar em links duvidosos. Bancos e orgãos do governo não vão pedir que se recadastre por email. As chances de uma mensagem como essa ser uma isca para uma infecção são enormes!

 

- Não compartilhe informações com colaboradores sem prévia autorização de seus gestores. Em outras palavras, cuidado com golpes de engenharia social, principalmente num ambiente corporativo onde todos, a princípio, são confiáveis;

** Carolina Bozza Formada em Ciência da Computação e focada na área segurança desde antes de sua graduação, atua desde o início de sua cerreira como profissional de Pré-Vendas na área de Infraestrutura de Segurança da Informação. Atualmente é membro do time de engenharia da Imperva e representante técnica da Empresa no Brasil, onde sua atuação é focada segurança e auditoria de Banco de Dados e Segurança de Aplicações Web. Membro da ONG HCF (Hackers Construindo Futuro) e voluntária em projetos, grupos e eventos de segurança e hacking.

Hackers atuando dos dois lados

Com as informações que você leu até agora é fácil imaginar que hackers são os vilões da história, ocupados em encontrar brechas para se apoderar de informações para uso próprio.

Mas a verdade é mais complexa.

Hackers podem ajudar, e muito, corporações e empresas a incrementar e aperfeiçoar a segurança da preciosa informação.

“O senso comum mudou, e, bastante nos últimos anos. Pelo mundo todo. Empresas contratam hackers para ajudar a fortalecer seus sistemas, como um serviço terceirizado, por empresas ou pessoas independentes. Ou, o que já é bastante comum, oferecem vagas para os mesmos dentro das próprias empresas. Muitas já entenderam que é melhor pagar alguém que vai testar os seus sistemas e ter um relatório com o que for encontrado e poder tomar as precauções necessárias, a ter alguém que vai abusar do seu sistema, dados confidenciais de seus clientes e etc, sem que a empresa saiba ou que vai publicar estes dados confidenciais, causando danos à marca da empresa."

Quem explica é Luiz Eduardo, diretor do SpiderLabs na Trustwave (empresa de segurança da informação) para a América Latina. Com 15 anos de experiência em tecnologia e segurança, ele é um nome importante em conferências Hacker como You Shot The Sheriff e Silver Bullet (é um dos fundadores) e do maior evento hacker do mundo, o DefCon, do qual já falamos aqui (veja um currículo mais completo no fim desta página).

Ele falou conosco sobre o papel dos hackers na segurança de TI.

Para ele, as empresas ainda tendem a buscar ajuda somente quando vêem suas marcas – ou seus dados – em perigo iminente, ou depois do pior ter acontecido: “Na maioria dos casos, [busca-se ajuda] quando [as empresas] sofreram algum tipo de ataque. Infelizmente, todo mundo, não só as empresas, tomam uma atitude quando existe algum tipo de prejuízo. Financeiro ou um dano da marca, ou perda de uma fatia de mercado por um problema de segurança. Segurança ainda é algo imensurável, mas, principalmente depois dos problemas em corporações grandes nos últimos meses, todos sabem que é possível que algo aconteça com o seu negócio. Segurança da informação ainda não é um diferencial competitivo, já que é imensurável.”

E faz um alerta: “O que parecia ser algo de Holywood antes, agora não é mais. É triste viver no "medo", mas, também viver na ilusão que tudo está totalmente seguro não é uma realidade.”

A questão é: como os hackers podem ajudar? Em primeiro lugar, identificando o tipo de fragilidade a que uma empresa está exposta. E o que um invasor poderia estar buscando, assim como as diferentes maneiras e técnicas utilizadas para chegar a esses dados.

“Sempre vai depender do objetivo. Um atacante pode ter intenções diversas ao atacar uma infraestrutura. Um vetor de ataque ainda muito comum é a interface de uma aplicação web de uma empresa. Este é o seu "outdoor". Por aí pessoas podem também comprar seus produtos, como alimentar a base de dados de clientes. O sujeito entra em uma loja virtual, escolhe um produto, entra com seus dados pessoais e confidenciais, e "torce" para que não só o produto comprado seja entregue, mas que seus dados não sejam roubados/ usados indevidamente. Mas, ainda existe a parte de ataques de engenharia social aos empregados das empresas. Que, usam tecnologia no seu dia-a-dia, mas, não entendem necessariamente do alcance das informações e do acesso que eles mesmos têm.

Muitas vezes falamos de "hackers" e ataques cibernéticos como coisas altamente técnicas, quando, na verdade, um operador de um call-center, tem acesso a informações confidenciais de usuários, e, é parte do seu trabalho olhar essas informações, o dia inteiro. Sem nenhum conhecimento técnico avançado”.

Fica claro que parte dos ataques envolve diretamente o usuário de serviços – como no exemplo dos sites de compra citado por Luiz. Assim, o consumido final – você e eu – podemos e devemos atentar para alguns detalhes.

“É simples: não confie no desconhecido. O teclado e monitor do seu computador não definem o limite da estrada das informações. Muitas pessoas se sentem mais confortáveis (e seguras) por estarem em sua casa, quando na verdade, o computador é um portal a um universo de informações; um portal bi-direcional já que você não está apenas consultando informações. Em muitos casos, o seu tráfego está sendo monitorado. Em outros, o seu computador pode estar infectado por algum tipo de malware (programa não desejado/ autorizado), que pode estar enviando suas informações, além de poder estar fazendo parte de uma botnet (rede de robôs) para possivelmente atacar algum site ou dispositivo no mundo cibernético”.

** Luiz Eduardo

Como palestrante (em eventos como Defcon, ShmooCon, ThotCon, Layerone,Hack in the Box na Malásia, h2hc e outros), fez apresentações relativas a tecnologias de redes sem-fio 802.11 e a segurança envolvida nas mesmas, fuzzing de protocolos e redes em ambientes hostis. Em 2010, foi também um dos painelistas do BlueHat, Forum da Microsoft em Buenos Aires, e Hackers to CSO em São Paulo. Além de ter criado as equipes de Incidentes à Respostas de Segurança para dois fabricantes de equipamentos de redes.