agosto 13, 2012

[Segurança] As melhores práticas... que não funcionam!

A Computerworld publicou hoje um artigo que é uma boa crítica para os profissionais que gostam de seguir as receitas de bolo e repetir jargões da área.

O artigo "9 popular IT security practices that just don't work" ("As 9 práticas de segurança de TI que simplesmente não funcionam") polemiza ao escolher nove práticas, paradigmas e jargões que são normalmente utilizados na área de segurança e discute o porque elas simplesmente não funcionam mais hoje em dia:

  1. O antivírus não vai descobrir os vírus mais perigosos: De fato, as principais soluções de antivírus são, principalmente, reativas. Os fabricantes dependem do vírus ser conhecido para eles poderem estudá-lo, descobrir como identificá-lo e como remover o vírus de um sistema infectado. Ou seja, o antivírus não vai te proteger contra um vírus novo enquanto esse vírus não for encaminhado para o fabricante, e enquanto o fabricante não receber amostras o suficiente para ele entender que o vírus está espalhado por uma grande quantidade de sistemas. Ou seja, com milhares de novos vírus surgindo a cada dia, os fabricantes são obrigados a priorizar quais vírus eles vão analisar e criar vacina. E muitos usuários não utilizam as soluções "heurísticas", que adivinham se um arquivo desconhecido tem comportamento malicioso, com o receio de terem arquivos válidos bloqueados por causa de um alarme falso.
  2. Os Firewalls fornecem pouca proteção:Um dos pilares da segurança, arroz-com-feijão de todo profissional de segurança, os Firewalls tem se mostrado incapazes de bloquear ataques mais sofisticados. O artigo lembra que, hoje em dia, os principais ataques exploram as formas de acesso tradicionais, normalmente utilizadas pelos usuários para realizar acesso válido. A infecção pode acontecer quando usuários acessam sites aparentemente legítimos, ou quando os usuários são enganados e convencidos a rodar programas maliciosos em seus desktops (algo fora do controle dos Firewalls). E o roubo de informação acontece explorando formas de acesso que parecem legítimas, como acessando sites externos (utilizando meios autorizados como HTTP ou HTTPS), enviando e-mails, etc.
  3. Patching não faz milagres: Mais um acerto em cheio. Primeiro, manter um ambiente de TI de uma empresa totalmente atualizado é praticamente impossível. Cada nova atualização deve ser testada previamente e, dependendo da quantidade de equipamentos, o processo de atualizar um software ou sistema operacional pode levar dias, semanas ou até mesmo alguns meses, pois o novo patch deve ser testado, aprovado e agendado previamente. Fora isto, dependendo do sistema a ser atualizado, você tem que esperar a homologação do fabricante da aplicação (ex: ninguém instala um novo sistema operacional em um servidor de Banco de Dados se a empresa que fornece o banco de dados não homologar o sistema operacional novo). Se a sua empresa seguir as boas práticas de gestão de TI, cada mudança no ambiente (incluindo instalar um patch) precisa seguir um processo de "gestão de mudanças", que também consome alguns dias. Além do mais, hoje em dia os ataques mais sofisticados e complexos utilizam os famosos "zero days", ou seja, vulnerabilidades que os fabricantes desconhecem e, portanto, não tem como serem corrigidas. Por fim, ainda existem os ataques de engenharia social - e outro jargão da área é que "não há patch contra a estupidez humana".
  4. Educação aos usuários finais foi reprovada: Mais um chute no estômago do profissional que recita receitas prontas. Apesar das tentativas de educar os usuários finais, a verdade é que eles continuam caindo nos golpes de engenharia social, ignorando mensagens de erro, acessando sites estranhos, instalando programas suspeitos, etc. Cada vez que eu vejo o computador de algum parente meu, eu me espanto com a quantidade de programas e barras de aplicativos instalados que eu nunca havia visto antes. Eu conheço cada programa que aparece no menu do meu computador, mas duvido que a minha tia sabe para que servem aqueles botões que estão lá no browser dela ou aqueles links de programas no desktop. Há um tempo atrás eu assisti uma palestra de um colega que trabalha em uma empresa de cartões de crédito que ele citava a quantidade absurda de pessoas que ligavam na central de atendimento avisando que haviam clicado em um link que chegou por um e-mail e achavam que estavam infectados - e, de fato, estavam. Pior do que isso, eram os vários casos de usuários que, mesmo achando o e-mail suspeito, clicavam assim mesmo. E, como o artigo lembra, os novos golpes surgem mais rápidos do que nós temos capacidade de ensinar os usuários como evitá-los. E, para piorar, vários softwares continuam poluindo a mente dos usuários com mensagens de alerta incompreensíveis, que convidam os usuários a clicar na opção default sem sequer saber o porque. O artigo dá uma dica de ouro: "Você sabe o que funciona melhor do que a educação do usuário final? Softwares mais seguros e prompts com melhores opções default."
  5. Senhas fortes não resolvem: Há dezenas de dicas de como criar senhas fortes e milhares de exemplos de problemas que acontecem quando utilizamos senhas fracas. Mas mesmo a senha mais complexa do mundo não resolve nada se você tem um trojan em sua máquina que captura tudo o que você digita no teclado. Ou se o usuário final digitar la em uma página web falsa. Ou mesmo se o atacante roubar o arquivo de senhas de seu sistema. Afinal de contas, os programas que quebram senhas tentam várias combinações possíveis, e eventualmente, você pode dar o azar do hash da sua senha mega-complexa ser igual ao hash de uma senha estúpida.
  6. Sistemas de detecção de intrusão não podem determinar a intenção: Se o Firewall é o arroz, o IDS é o feijão de todo profissional de segurança. Mas os IDSs tem os mesmos problemas dos anti-vírus: dependem de assinaturas de ataques, que são reativas e, no caso dos IDSs, quanto maior a quantidade de assinaturas, maior o impacto na performance e maior a quantidade de alertas que ele gera - até chegar em um ponto em que ninguém mais lê estes alertas. E, como já foi dito antes, os ataques mais sofisticados reproduzem as formas de acesso tradicionais para realizar suas atividades maliciosas.
  7. A PKI falhou: O uso de PKI e certificados digitais garantem a criptografia e privacidade de milhões de transações todos os dias. Mas eles já pisaram na bola também. Já vimos alguns casos de autoridades certificadoras serem hackeadas ou enganadas, para criarem certificados digitais falsos. Pior do que isto, vários sites válidos usam certificados digitais com problema, e os usuários já se acostumaram a ignorar estas mensagens de erro.
  8. Seus appliances são o sonho dos atacantes: Os appliances de segurança também tem problemas. O que era para ser uma solução, hoje virou um alvo adicional para os atacantes, pois vários appliances são construídos em cima de sistemas operacionais e softwares que são atualizados raramente pelos clientes. Isto, inclusive, foi discutido na última BSides em Las Vegas.
  9. Os Sandboxes também fornecem acesso aos sistemas: O artigo critica também o uso de Sandboxes, que deveriam permitir que as soluções de segurança identificassem e impedissem os ataques antes deles atingirem o sistema. Mas periodicamente são descobertas novas técnicas ou bugs que permitem ao atacante evitar ou sair das Sandboxes. Um problema similar acontece com as máquinas virtuais (VMs): eventualmente surgem novas vulnerabilidades que permitem aos atacantes infectar o sistema operacional hospedeiro ou outras máquinas virtuais através de uma das VMs.

Ou seja, o artigo da Computerworld joga uma pá de cal nos principais ensinamentos de qualquer cartilha básica de segurança. Mas a verdade é esta mesmo: nenhuma solução consegue nos proteger integralmente, pois a quantidade de ataques é enorme e a complexidade também - e tendem a crescer a cada dia.

Assim, os profissionais da área devem adotar várias soluções e práticas ao mesmo tempo, e em vez de seguir "receitas de bolo", devem adaptar as medidas de segurança para a realidade da empresa em que trabalham. Nunca haverá uma solução definitiva, e devemos minimizar os riscos o tanto quanto for possível - mas conscientes de nossas limitações e de que raramente conseguiremos zerar todas as potenciais ameaças.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.