sexta-feira, 19 de novembro de 2010

Pontos de Comprometimento nas Redes Corporativas

A NetworkWorld americana listou os 10 pontos de comprometimento mais comuns nas redes e que são usados para invadir e/ou roubar dados das empresas. O mais assustador é que praticamente nenhum deles exige conhecimento técnico avançado. Vale a pena ler a matéria e identificar quais deles podem ser um potencial problema na rede da sua empresa:

1. Flash drives (Pendrives): São, disparados, a maneira mais comum de contaminar um ambiente de rede cercado por firewalls. Baratos, portáteis e capazes de carregar muitos dados, ainda são passíveis de passear por diversas máquinas diferentes. Essas características motivaram o desenvolvimento de vírus especialmente para essa mídia. É o caso do worm Conficker, que se espalha assim que o drive é conectado na máquina. Para piorar, a maioria dos sistemas operacionais monta esses dispositivos assim que são ligados .
O que fazer? Modifique as políticas de aceso automático às novas mídias do seus sistemas operacionais.
2. Laptops, notebooks, netbook e tablets: Discretos, portáteis, munidos de sistemas operacionais completos e capazes de operar usando baterias, os gadgets têm, ainda, conexão Ethernet sem fio (alguns têm portas físicas tradicionais também), e podem se comunicar com o ambiente de rede, de subrede etc. Se estiver contaminado, pode, assim que se conectar à rede, procurar por outros participantes que possam ser infectados.
Mas os dispositivos móveis têm outra fragilidade. Mobilidade. Permitir que essas máquinas passeiem livremente para cima e para baixo enquanto carregam dados de cunho confidencial é para lá de perigoso. Sugere-se que os arquivos estejam criptografados e que sejam munidos de recursos que permitam a deleção do sistema de arquivos à distância no caso de um deles “se perder”.
Logo: limite o tipo de informação armazenada nos dispositivos móveis. Dados de login em redes VPN, DV e Wi-Fi não devem ser salvos nos sistemas. Criptografar os arquivos existentes? Sim. Já.
3. Pontos de acesso sem fio de rede: essas interfaces providenciam acesso à rede sem fio para qualquer um que queira se conectar e esteja no raio de alcance da antena. Ataques executados por wardrivers - pessoas que passam o dia em vans circulando por cidades na busca por redes abertas - têm sido cada dia mais comuns. Um rede de lojas teve seu sistema invadido dessa maneira. Os dados de transações de clientes, como números de cartões de crédito, endereços, tipo de operação etc. foram parar na mão dos criminosos. Como resultado, os danos chegaram a meio milhão de dólares.
Criptografadas ou abertas, as redes Wi-Fi são, por natureza, frágeis. Existe uma série de modalidades de ataque, que podem comprometer a rede. Mesmo conexões protegidas (WPA ou WPA2) são pouco eficazes quando uma senha robusta não lhes é atribuída.
O que fazer? Separe as redes abertas das corporativas, não dê acesso aos participantes de um ambiente ao outro. Além disso, é interessante usar recursos de autenticação complementares nas redes Wi-Fi. Permissão para determinadas MACs (identificação física do adaptador de rede e único para cada placa) é uma maneira de fazer isso.
4. Mais USB: Se pensa que os flash drives (pendrives) são os únicos dispositivos USB que podem contaminar sua rede, está redondamente enganado. Máquinas digitais, MP3 players, impressoras e até porta-retratos digitais são todos capazes de armazenar arquivos potencialmente danosos à rede. Quem nunca usou uma máquina fotográfica para transportar um arquivo do Word? Em 2008, a BestBuy, rede de lojistas, informou que fora encontrado um vírus dentro de uma desses porta-retratos digitais, recém-chegado do fabricante.
A solução: Restringir o acesso e a entrada desses dispositivos em seu ambiente de trabalho corporativo. Deixe evidente, o tempo todo, que essas mídias não devem ser conectadas nas máquinas. Há quase três anos, o Departamento de Defesa dos EUA proíbe terminantemente a entrada de qualquer dispositivo USB em suas dependências.
5. Acesso interno: não raramente, os funcionários de empresas têm acesso a ambientes de rede delicados, cheios de arquivos importantes. Se esse for o caso, todas as opções anteriores de infecção se tornam potencialmente aplicáveis. Já viu um colaborador “emprestar” o terminal de trabalho de outro colega enquanto este saiu para almoçar? E quando um empregado pede que outro libere o acesso à rede? Essas coisas são mais comuns que se pensa.
O antídoto: Troque regularmente as senhas. Funcionários só devem ter acesso às áreas de rede que sejam essenciais para seu trabalho. Qualquer pedido de acesso complementar deve ser feito para uma equipe de TI e não a um único encarregado.
6. O trojan humano: Parecidos com a versão digital inspirada no cavalo de Tróia, esses dispositivos bípedes podem vir até as empresas disfarçados de técnicos de manutenção, de limpeza ou similar. Já foram registrados casos em que esses malfeitores conseguiram acesso às salas superprotegidas de servidores. Talvez seja uma questão cultural, mas poucos de nós impedem a entrada de alguém devidamente identificado, mesmo que seja estranho ao ambiente de trabalho.  Depois de ter a entrada garantida, a infecção do ambiente de rede pode acontecer em questão de um minuto.
Como se prevenir? Expor claramente as condições de acesso de prestadores de serviço no ambiente de trabalho e verificar as informações dadas. Jamais confie no feeling.
7. Mídias óticas:  Junho de 2010. Um analista de segurança do Exército dos EUA foi preso depois de roubar e publicar informações confidenciais em círculos públicos. Fontes informam que o sujeito entrou no ambiente trazendo consigo CDs de cantores populares; tudo farsa. Uma vez sentado nas máquinas, o criminoso acessou os dados que interessavam e os gravou no “CD de música” que ouvia enquanto trabalhava. Dizem, ainda, que o rapaz assoviava os sucessos que curtia enquanto roubava os dados. Essa forma de crime é absolutamente comum. Mídias portáteis são uma maneira de transportar informações de um lugar para outro e, às vezes, isso dá problemas. Além de os drives de CD serem usados para vazar dados, é importante lembrar que também são portas de entrada de vírus, trojans etc.
Como sair dessa? Da mesma forma que lida com os dispositivos USB: restringindo seu acesso e esclarecendo as políticas aos funcionários – constantemente.
8. A mente humana: Se muitas das opções descritas até agora têm por objetivo mitigar as ameaças que pairam sobre as redes corporativas, é absolutamente necessário lembrar que a criatividade e a capacidade da mente humana em guardar informações é quase ilimitada. Será que tem alguém de olho no que você digita quando vai realizar o login em uma rede? Onde você costuma armazenar os dados importantes? É de seu costume ler documentos confidenciais quando está esperando em aeroportos ou em um café?
Como se prevenir? A melhor saída é a prevenção. Levante a cabeça enquanto visualiza conteúdo classificado como confidencial e seja cauteloso ao entrar em redes públicas.
9. Smartphones e outros gadgets: Os celulares já não são mais como eram antigamente. Hoje em dia, carregam câmeras de alta resolução e portas de conectividade de todas as espécies e tamanhos. Os sistemas operacionais também podem dar conta de vários processos ao mesmo tempo e suportam uma vasta gama de aplicativos. Além disso, esses dispositivos têm entrada permitida em vários ambientes corporativos em que são tratados assuntos delicados, muitas vezes estratégicos. As ameaças representadas por esses gadgets são as mesmas que se observa em laptops e notebooks. O que impede um usuário de smartphone capturar uma imagem que revele informações importantes e transmiti-la via rede 3G?
A solução para os smartphones é mesma que serve para os dispositivos USB e às mídias óticas. Esclareça aos funcionários em que condições esses dispositivos podem entrar no ambiente corporativo.
10. E-mail: Originalmente ele serve para otimizar o fluxo de trabalho e realizar a comunicação entre pares envolvidas em um processo. Mas isso é teoria. O e-mail é muito usado para enviar e receber dados. Dados estes que podem ser anexados em uma mensagem sem que se tenha certeza da idoneidade de quem os recebe. As caixas de entrada são, ainda , poderosas portas de entrada para viroses binárias. Se conseguirem entrar na conta de e-mail, podem roubar dados de acesso e levar a um segundo ataque, de proporções hercúleas.
Tem jeito de evitar? O nome da solução é “identificação de origem”. Atribuir uma identidade a quem enviou a mensagem, usando soluções como PGP, ou uma simples rotina de perguntas antes de enviar informações confidenciais deve dar conta da questão.
Também vale restringir o banco de dados de e-mails que podem receber mensagens a partir do serviço interno. Como sempre, educação é palavra-chave: deixe claro na organização que o uso de email deve ser feito com olhos voltados à segurança.