Esta entrevista foi concedida ao Valor Econômico, jornal para o qual escrevo regularmente, mas não pude aproveitá-la inteiramente. As perguntas são simples, mas as respostas riquíssimas e incisivas, e vale a pena reproduzí-las aqui.
Eu havia pedido à Ten. Raquel Piani, assessora de Comunicação do ITA, em São José dos Campos, uma fonte sobre segurança de redes para a reportagem e o indicado pela instituição foi Edgar Toshiro Yano, Professor Associado da Divisão de Ciência da Computação. Yano é doutor em Ciências pelo ITA na área de Informática, mestre pelo INPE em Análise de Sistemas e Aplicações, engenheiro mecânico-aeronáutico pelo ITA e responsável pela disciplinas de Segurança Lógica de Software e Dependabilidade de Software.
– Existe 100% de segurança? Sendo sim ou não, por que?
Não existe 100% de segurança. Ninguém pode dar este nível de garantia de segurança.
A segurança é fruto de uma estratégia de redução de risco. Executam-se medidas que levarão a um nível de risco aceitável para o negócio. Um problema é a dificuldade em medir com precisão qual é exatamente este nível de risco. Avaliações qualitativas (do tipo baixo, alto ou médio risco) não são suficientes. Risco é dinâmico e deveria ser medido de forma contínua. O risco nunca é zero. Sempre existe um risco residual. O que importa é se esse risco residual é aceitável para o negócio. Um grande problema na segurança em TI é que dada a complexidade e dinamismo dos sistemas não se tem uma medida precisa de qual é o valor real do risco residual.
Um outro extremo é a segurança pela segurança. A segurança não deve inviabilizar o negócio. A segurança deve ser vista como um facilitador para os negócios. Apesar das muitas vulnerabilidades que são reportadas quase que diariamente, ainda é seguro, se tomadas as precauções devidas, fazer compras pela Internet e realizar operações de home-banking.
– Onde costumam estar os principais riscos – autenticação, acesso, utilização, comunicação?
Apesar das vulnerabilidades dos diferentes sistemas e aplicações, a maior fonte de riscos é o inimigo interno.
O caso do Snowden mostra isso. Um único indivíduo, supostamente, comprometeu um projeto caro de um serviço secreto e jogou lama na imagem do governo americano. Mas voltando aos diferentes mecanismos de segurança, todos os mecanismos possuem vulnerabilidades o que varia é a capacidade do atacante em explorar estas vulnerabilidades.
- Os mecanismos de autenticação baseados exclusivamente em senhas são muito vulneráveis e devem ser usados apenas para acesso a informações que se divulgadas não comprometem a organização. Para um maior nível de segurança deve ser requerido um fator extra de autenticação tal como o uso de tokens, mensagens sms, tabelas de códigos, biometria, etc.
- As permissões de acesso representam uma grande vulnerabilidade. As permissões são dadas aos diferentes usuários mas muito pouco se faz em verificar se essas permissões estão sendo adequadamente utilizadas. Um indivíduo, como o Snowden, após vários anos de bons serviços, pode “chutar o pau da barraca” e fugir para a Rússia. Qualquer organização pode ter um Snowden em potencial. É necessário um acompanhamento do uso das permissões de acesso. Individuos com muitas permissões de acesso devem ser protegidos e vigiados com mais rigor.
- O foco principal dos atacantes hoje não é mais os servidores e grandes sistemas. Os ataques estão voltados para as aplicações comuns do usuário (PDF, doc, ppt, flash, etc.), para as aplicações web e para os dispositivos móveis. Nunca abrir arquivos de origem não conhecida. Evitar o uso de scripts em arquivos. As aplicações web ainda são desenvolvidas com muitas vulnerabilidades e podem ser utilizadas para distribuir código malicioso. As redes com ativos críticos não podem aceitar conexões irrestritas de dispositivos móveis.
Em relação ao episódio Snowden o que pode causar grande impacto para a segurança são as seguintes revelações:
- Existem suspeitas de que grandes serviços públicos de nuvem possam ter canais man-in-the middle. Nesse canal a informação, antes de ser criptografada, é copiada e enviada para algum serviço de Big-Data de um serviço secreto do país do provedor de serviços.
- Existem suspeitas de que a criptografia que nós usamos nos acessos a Internet pode ter um backdoor plantado por um serviço de inteligência do governo americano. Existem componentes desenvolvidos exclusivamente por membros desse serviço. Mas esta suposta vulnerabilidade, até o momento, ninguém mostrou como explorar. A comunidade internacional deverá se organizar e revisar os protocolos correntes do NIST (Organização de Padrões do Governo Americano).
– Quais são eles: intrusão? Violação ou corrupção de dados? Interrupção dos serviços?
O impacto depende do negócio. Para um grande provedor de telecomunicações ou sistema de controle de tráfego aéreo a interrupção de serviços é muito crítica. Para a maioria dos negócios, a interrupção temporária de serviços traz pouco impacto financeiro. A intrusão para roubo de informação (propriedade intelectual, dados sobre negócios e finanças, etc) é crítica e pode acabar com uma empresa (pela destruição da reputação ou perda de negócios importantes). O pior atacante não é mais aquele que tira um servidor do ar, mas é o atacante que consegue implantar um backdoor na organização e atua de forma contínua e persistente (por meses ou anos) acessando as informações críticas da organização.
– Qual a extensão desse risco: todas as nuvens estão sob risco? Apenas as públicas?
As nuvens privadas atuam com contratos de nível de serviço. Cabe cada organização desenvolver um modelo de contrato mais apropriado ao seu negócio. Nesse modelo pode ser estabelecido onde ficarão os dados, como eles serão protegidos e qual a legislação pertinente a ser aplicada. Mas nenhuma organização garante que um serviço ligado a um governo não tenha implantado sensores que coletam dados das diferentes operações.
A nuvem pública deve ser usada com restrições para transações comerciais críticas. A principal fonte de informações para os ataques às organizações são os serviços de nuvem públicos. Um atacante pode levantar o perfil de todos os membros do alto escalão da organização e seus membros próximos. Conhecido o perfil ele desenvolverá um ataque direcionado de acordo com os interesses do alvo em potencial.
– Quais as formas recomendadas de proteção (teóricas ou práticas): criptografia? Servidores mais seguros?
Um conceito que está crescendo agora é o do “Zero-Trust”. Todas as operações e elementos não são confiáveis. É necessário sempre um processo de autenticação e monitoramento para cada serviço solicitado e realizado. Os mecanismos de segurança devem ser aplicados de acordo com uma estratégia de defesa em profundidade com vários mecanismos distintos aplicados simultaneamente. Todas as anomalias devem ser registradas e analisadas. A análise manual completa não é possível, é necessário o desenvolvimento de ferramentas automatizadas de analise de segurança que correlacione rapidamente os diferentes eventos que ocorrem dentro de uma rede.
Os sistemas militares de C2 (Comando e Controle) tem como principal objetivo prover a Consciência Situacional (CS) para os Comandantes. A CS envolve a coleta de dados, a compreensão do significado desses dados em relação a missão e a projeção das tendências e impactos no futuro próximo. A proteção dos sistemas de TI requer a adoção de um modelo de CS onde de forma dinâmica e contínua os eventos que estão acontecendo são interpretados, possíveis impactos são identificados e ações para tratar ou absorver os impactos são executadas antes que o risco se realize. A segurança baseada em conformidade a padrões, gestão de riscos estática (baseada em documentos) e tratamento de incidentes depois do fato não é mais suficiente. É necessário um sistema de gestão de riscos dinâmico e contínuo.
É inevitável a combinação de virtualização e “Zero-Trust”. Usuários trabalharão em máquinas virtuais e redes virtuais de acordo com seus interesses, papéis funcionais e projetos. Nesse ambiente todas as ações poderão ser autenticadas e monitoradas. A arquitetura da Internet deverá ser repensada com múltiplos segmentos. Desejável segmentos livres onde máquinas e usuários poderão atuar de forma anônima e segmentos para negócios onde obrigatóriamente usuários, conexões e serviços serão autenticados e monitorados. No sistema atual há um excesso de poder para usuários e sistemas anônimos. A Internet cresceu e progrediu devido a boa vontade e colaboração dos primeiros participantes. O anonimato fornece alguma privacidade. Mas na situação corrente, os vândalos, espiões, bandidos e extremistas estão com muito poder.
– É possível localizar backdoors em servidores? é simples?
- Um backdoor realmente dificil de ser localizado é o backdoor que foi implantado durante o desenvolvimento (muitas vezes sem o conhecimento do próprio desenvolvedor). É necessário um processo intenso de análise de código, de ferramentas de desenvolvimento, testes, etc.
- O backdoor implantado durante as operações pode ser detectado através de um processo de controle de configuração apropriado que seja capaz de identificar qualquer mudança nos arquivos ou nas imagens dos programas a serem protegidos. Mas este nível de controle não é presente em todos os sistemas.
- O backdoor pode ser identificado também durante as suas ações. Ele precisa de um canal de acesso remoto para controle e transferência de informações. O problema é que os atacantes podem usar canais com comportamento parecido com o conhecido e em uso dentro da empresa. É necessário um controle muito detalhado das operações sendo executadas na rede para perceber uma anomalia de um backdoor sofisticado.
Os ataques estão sendo executados por profissionais. Temos profissionais especializados em implantação de backdoor e especialistas em como usar o backdoor para trazer a informação de interesse para fora da empresa sem detecção. Os ataques são persistentes, ou seja, o atacante, após selecionado o alvo, irá tentar várias estratégias até obter o resultado desejado. Ele não desistirá para procurar um alvo mais fácil. O backdoor uma vez instalado, será usado por um longo período em diferentes campanhas de ataques.