Notícias Segurança
Notebook de funcionário da VeriSign é roubado
Um notebook com informações pessoais dos atuais e antigos empregados da VeriSign foi roubado do carro de um dos funcionários da empresa no mês passado. A companhia confirmou o roubo hoje.
Em um comunicado por e-mail, a VeriSign, companhia de infra-estrutura digital que gerencia domínios de internet, afirmou que está lidando com o roubo de uma forma muito séria e que a companhia iniciou uma investigação tão logo descobriu o episódio.
Não temos razão para acreditar que o ladrão tenha agido com a intenção de extrair ou usar essas informações, diz o comunicado da VeriSign. A política local afirmou que o roubo está ligado a uma série de crimes na vizinhança, mas já desativamos qualquer acesso do laptop roubado à rede da VeriSign, afirmou a companhia.
O comunicado também afirma que o empregado envolvido no episódio deixou recentemente a empresa. Na nota, a VeriSign informa que está comprometida em garantir que os atuais e antigos empregados, cujas informações pessoais estavam no disco rígido do computador roubado, tenham todo o suporte que precisarem para monitorar seu crédito ou identificarem qualquer problema.
A companhia tem uma política sobre manuseio de laptops que contenham informações estratégicas sobre a empresa - que neste caso não foi seguida, diz o e-mail da VeriSign. Essa política inclui não deixar os equipamentos dentro dos veículos, assim como manter um mínimo de informações sigilosas no disco rígido do notebook.
De qualquer forma, a empresa prometeu rever os porcedimentos de segurança para prevenir futuros erros humanos desse tipo.
Segundo a carta encaminhada aos funcionários, o laptop pode conter dados pessoais comko nomes, número de ISS, datas de nascimento, informações salariais, números de telefone e endereços. Ele não contém, no entanto, números de cartão de crédito, contas bancárias ou senhas, assim como não tem informações sobre clientes da VeriSign.
A empresa, entretanto, informou que as informações não estavam codificadas, mas que o computador estava desligado e era preciso login e senha para abri-lo. Até onde sabemos, os ladrões não têm a senha, disse a carta.
A companhia também ofereceu aos empregados afetados assinatura de um ano de um serviço de monitoramento de crédito. A empresa recomendou que os empregados coloquem um alerta de fraude em seus arquivos de crédito.
Leia mais...
Em um comunicado por e-mail, a VeriSign, companhia de infra-estrutura digital que gerencia domínios de internet, afirmou que está lidando com o roubo de uma forma muito séria e que a companhia iniciou uma investigação tão logo descobriu o episódio.
Não temos razão para acreditar que o ladrão tenha agido com a intenção de extrair ou usar essas informações, diz o comunicado da VeriSign. A política local afirmou que o roubo está ligado a uma série de crimes na vizinhança, mas já desativamos qualquer acesso do laptop roubado à rede da VeriSign, afirmou a companhia.
O comunicado também afirma que o empregado envolvido no episódio deixou recentemente a empresa. Na nota, a VeriSign informa que está comprometida em garantir que os atuais e antigos empregados, cujas informações pessoais estavam no disco rígido do computador roubado, tenham todo o suporte que precisarem para monitorar seu crédito ou identificarem qualquer problema.
A companhia tem uma política sobre manuseio de laptops que contenham informações estratégicas sobre a empresa - que neste caso não foi seguida, diz o e-mail da VeriSign. Essa política inclui não deixar os equipamentos dentro dos veículos, assim como manter um mínimo de informações sigilosas no disco rígido do notebook.
De qualquer forma, a empresa prometeu rever os porcedimentos de segurança para prevenir futuros erros humanos desse tipo.
Segundo a carta encaminhada aos funcionários, o laptop pode conter dados pessoais comko nomes, número de ISS, datas de nascimento, informações salariais, números de telefone e endereços. Ele não contém, no entanto, números de cartão de crédito, contas bancárias ou senhas, assim como não tem informações sobre clientes da VeriSign.
A empresa, entretanto, informou que as informações não estavam codificadas, mas que o computador estava desligado e era preciso login e senha para abri-lo. Até onde sabemos, os ladrões não têm a senha, disse a carta.
A companhia também ofereceu aos empregados afetados assinatura de um ano de um serviço de monitoramento de crédito. A empresa recomendou que os empregados coloquem um alerta de fraude em seus arquivos de crédito.
Pesquisadores afirmam que batalha contra o spam acontece no terreno errado
Pesquisa realizada por professores da Universidade da Califórnia, EUA, afirma que a batalha contra o spam teria maiores resultados se o alvo fosse os portais que utilizam as mensagens não solicitadas para vender seus produtos, e não apenas a tentativa de bloquear a chegada dos e-mails nas caixas postais.
“Se o processo de derrubar esse tipo de site foi mais rápido, o dano à indústria do spam seria bem maior”, defende Chris Fleizach, pesquisador da universidade. “Muitos que usam spam para divulgar seus produtos não têm uma boa estrutura, então atacar esses alvos poderia dar mais resultados”.
Um estudo detalhado de pesquisadores da universidade analisou a infra-estrutura de rede utilizada pelos spammers. A conclusão apontou que eles utilizam vários servidores diferentes para mandar e-mail, mas a política é diferente para a hospedagem dos sites que se beneficiam com as mensagens não solicitadas.
Na verdade, 94% do tempo, toda a estratégia criminosa pode ser resumida em apenas um servidor Web. “Vários esquemas estão hospedados em um mesmo endereço IP, o que possibilita um bloqueio simples, colocando o IP em uma lista negra ou filtrando o endereço”, diz o relatório.
Os pesquisadores monitoraram mais de 1 milhão de spams em um período de uma semana, analisando mais de 36 mil endereços web. Usando técnicas de analise de dados, eles conseguiram identificar 2.334 campanhas de spam hospedadas em 7.029 computadores. Ao todo, 40% dos portais de spammers estavam sendo usados para várias ‘campanhas’, o que indica que as máquinas foram alugadas para mais de um spammer.
Leia mais...
“Se o processo de derrubar esse tipo de site foi mais rápido, o dano à indústria do spam seria bem maior”, defende Chris Fleizach, pesquisador da universidade. “Muitos que usam spam para divulgar seus produtos não têm uma boa estrutura, então atacar esses alvos poderia dar mais resultados”.
Um estudo detalhado de pesquisadores da universidade analisou a infra-estrutura de rede utilizada pelos spammers. A conclusão apontou que eles utilizam vários servidores diferentes para mandar e-mail, mas a política é diferente para a hospedagem dos sites que se beneficiam com as mensagens não solicitadas.
Na verdade, 94% do tempo, toda a estratégia criminosa pode ser resumida em apenas um servidor Web. “Vários esquemas estão hospedados em um mesmo endereço IP, o que possibilita um bloqueio simples, colocando o IP em uma lista negra ou filtrando o endereço”, diz o relatório.
Os pesquisadores monitoraram mais de 1 milhão de spams em um período de uma semana, analisando mais de 36 mil endereços web. Usando técnicas de analise de dados, eles conseguiram identificar 2.334 campanhas de spam hospedadas em 7.029 computadores. Ao todo, 40% dos portais de spammers estavam sendo usados para várias ‘campanhas’, o que indica que as máquinas foram alugadas para mais de um spammer.
O perigo que ronda os sistemas
A vulnerabilidade das redes corporativas cresce em ritmo mais acelerado do que a resposta das empresas em termos de atualizações e correções.
Leia mais...
Mozilla libera ferramentas para hackers e crackers
Denominados fuzzers, estes programas até então eram de uso interno da companhia.
Leia mais...
Mesmo com aumento, rootkits não são única ameaça, alerta pesquisador
Durante Black Hat, pesquisador Nick Harbour alerta que ameaças mais simples e representam perigo mais eminente às empresas
Os rootkits vêm ganhando grande parte da atenção dos analistas de segurança, mas não devem ser considerados como a única grande ameaça para esconder códigos maliciosos atualmente, alertou o consultor de segurança Nick Harbour durante sua palestra na conferência Black Hat, nos Estados Unidos.
Em sua apresentação, o pesquisador demonstrou vários métodos com o mesmo própósito. Nenhum deles é especialmente novo, mas até o momento eles haviam sido muito mal documentados.
Uma das técnicas utilizada pelos hackers para esconder códigos maliciosos é conhecida como injeção de processo. A técnica consiste na adição de código malicioso a um outro código legítimo, rodando processos no sistema de um usuário final.
Similarmente, um processo maliciosamente nomeado pode ser suficiente para ignorar o firewall e evitar detecção imediata, afirmou Harbor.
A tática pode ser utilizada para driblar o firewall e outras ferramentas de segurança do sistema, pois o código seria avaliado como normal. “Os processos Svchost.exe e spoolsv.exe são bons alvos, pois vários deles rodam na memória. Algum acaba passando despercebido”, afirma Harbour.
Outra abordagem que crackers podem usar é executar códigos maliciosos diretamente na memória do sistema compromissado. Fazer isto aumenta em muito a chance de roubo de dados já que isto significa que o código não precisará ir ao disco rígido, onde será detectado, afirmou Harbour.
Segundo Harnour essas técnicas são mais simples e comuns que os rootkits, apresentando uma ameaça mais eminente às empresas.
Leia mais...
Os rootkits vêm ganhando grande parte da atenção dos analistas de segurança, mas não devem ser considerados como a única grande ameaça para esconder códigos maliciosos atualmente, alertou o consultor de segurança Nick Harbour durante sua palestra na conferência Black Hat, nos Estados Unidos.
Em sua apresentação, o pesquisador demonstrou vários métodos com o mesmo própósito. Nenhum deles é especialmente novo, mas até o momento eles haviam sido muito mal documentados.
Uma das técnicas utilizada pelos hackers para esconder códigos maliciosos é conhecida como injeção de processo. A técnica consiste na adição de código malicioso a um outro código legítimo, rodando processos no sistema de um usuário final.
Similarmente, um processo maliciosamente nomeado pode ser suficiente para ignorar o firewall e evitar detecção imediata, afirmou Harbor.
A tática pode ser utilizada para driblar o firewall e outras ferramentas de segurança do sistema, pois o código seria avaliado como normal. “Os processos Svchost.exe e spoolsv.exe são bons alvos, pois vários deles rodam na memória. Algum acaba passando despercebido”, afirma Harbour.
Outra abordagem que crackers podem usar é executar códigos maliciosos diretamente na memória do sistema compromissado. Fazer isto aumenta em muito a chance de roubo de dados já que isto significa que o código não precisará ir ao disco rígido, onde será detectado, afirmou Harbour.
Segundo Harnour essas técnicas são mais simples e comuns que os rootkits, apresentando uma ameaça mais eminente às empresas.
Criptografia: faça hoje ou você vai pagar por não ter feito amanhã
Superficialmente, a criptografia sempre pareceu uma escolha óbvia. Para quê expor informação confidencial a olhos bisbilhoteiros se você pode protegê-la embaralhando-a? Porém, apesar de amplamente disponíveis há mais de 10 anos, as tecnologias de criptografia demoravam a decolar.
Agora, finalmente, este cenário está mudando. Uma sucessão de infortúnios expressivos, como laptops roubados, fitas perdidas e litígios associados a vulnerabilidades de dados, atraiu a atenção da gerência, e não apenas da gerência de TI. Enquanto isso, fornecedores de hardware e software reduziram gradualmente as barreiras tradicionais à criptografia, incluindo prejuízo à performance e dificuldade de gerenciar chaves.
As empresas com grande volume de dados sigilosos estão começando a migrar de produtos pontuais táticos para “plataformas” de criptografia de alto nível que fornecem serviços para aplicativos, bancos de dados e redes em nível corporativo.
“Estamos implementando uma arquitetura que nos dará a capacidade de gerenciar a criptografia com alta integração em múltiplos sistemas operacionais e múltiplos sistemas back-end, e criptografar tudo que considerarmos sigiloso”, diz Harvey Ewing, diretor sênior de segurança de TI da Accor North America. Os dados criptografados podem ser informação de identificação pessoal, como nome, endereço, RG e número de telefone, ou dados médicos ou financeiros sujeitos a regulamentações governamentais.
A Accor, que administra cadeias de hotéis econômicos, entre eles a Red Roof Inn, utiliza o Key Manager da RSA Security para gerenciar centralmente as chaves de criptografia de suas 1,3 mil propriedades. O produto permite que aplicativos diferentes compartilhem dados criptografados sem que cada um precise ter suas próprias chaves. “O servidor de gerenciamento de chaves é o centro de todos os nossos processos de criptografia e tira de cena o gerenciamento de chaves individuais”, explica Ewing.
Um dos maiores problemas da criptografia foi resolvido na Accor. O gerenciamento de chaves, além de complexo e arriscado, representava um obstáculo significativo à ampla adoção da criptografia.
A dificuldade surge porque a criptografia entra nas empresas “organicamente, não estrategicamente”, diz Jon Oltsik, analista do Enterprise Strategy Group.
“Muita gente ainda terá dificuldade para lidar com isso nos próximos dois a três anos.”
Oltsik prevê que unidades de disco rígido e de fita, novas versões de software de banco de dados e coisas do gênero vão acabar incorporando funções de criptografia, e as empresas vão adotá-las uma de cada vez. “De repente, você se vê com cinco sistemas de gerenciamento de chaves e todos os tipos de complexidades”, observa Oltsik.
“O risco maior, agora, é disaster recovery. Ou você precisará recuperar cinco diferentes sistemas de gerenciamento de chaves para erguer um processo de negócio ou fará um backup de quatro deles, mas vai perder as chaves no quinto e afundar o processo inteiro”, ressalta.
O gerente de segurança de TI Marc Massar conta que sua empresa – que ele preferiu não identificar – processa mais da metade de todas as transações de cartões ao redor do mundo.
Durante muitos anos, a empresa protegeu as transações com produtos de escopo limitado que executam tarefas específicas como criptografar uma senha em um caixa eletrônico. Estes produtos são desenvolvidos para proteger “dados em movimento”, segundo Massar.
Existem várias maneiras de criptografar dados em movimento: Secure Sockets Layer (SSL) para a internet e o padrão IPsec para “tunelamento”, ou seja, criação de um túnel seguro em uma rede não segura. “Estes tipos de produtos estão bem estabelecidos e prepararam o caminho para o comércio eletrônico muitos anos atrás, principalmente SSL”, diz Massar. “Ninguém questiona mais a necessidade de criptografar um número de cartão de crédito na internet”, explica.
Hoje, é muito menos comum as empresas criptografarem “dados em repouso” – em servidores, desktops, laptops e fitas de backup. Mas, recentemente, proteger arquivos e bancos de dados tornou-se o foco dos projetos de criptografia em muitas empresas.
Massar, por exemplo, implementou o DataSecure Platform, um appliance de criptografia dedicado da Ingrian Networks que fica entre aplicativos e bancos de dados. O hardware e o software são ajustados especialmente para processos criptográficos que dependem de computação intensa.
Massar usa os dispositivos da Ingrian para aplicar um dos princípios básicos da criptografia de dados em repouso. “Pense em uma informação como tendo um ciclo de vida”, diz. “Quero protegê-la o mais próximo possível de seu ponto de origem de forma que já possa criptografá-la ao entrar no meu primeiro sistema.”
Se Massar quiser afunilar a informação para um sistema back-office, ela permanecerá criptografada. E, se precisar fazer um backup em fita, ela também continuará criptografada.
“Estamos implantando primeiro para nossos sistemas baseados na internet porque é onde há maior risco”, acrescenta Massar. Mas a meta é ter um serviço de criptografia para que os desenvolvedores de aplicativos não sejam obrigados a criar uma nova rotina de criptografia toda vez que uma informação sigilosa é obtida.
Massar admite, no entanto, que esta criptografia abrangente e altamente integrada é mais fácil de imaginar do que fazer. Ele tem mais de mil sistemas sujeitos às diretrizes de criptografia do Payment Card Industry Data Security Standard, o que “exige muitas decisões arquiteturais”.
As organizações que estão aderindo à criptografia da informação em repouso naturalmente se concentram primeiro nos dados mais vulneráveis, que podem sair da empresa em laptops, dispositivos handheld e assim por diante.
Há pouco tempo, uma empresa de serviços de informática estabeleceu a política de criptografar as unidades de disco rígido em todos os laptops com o Whole Disk Encryption da PGP, conta Lawrence Hale, chief information security officer (CISO), solicitando que seu empregador não fosse mencionado.
Com freqüência, as empresas resistem a criptografar grandes volumes de dados porque os algoritmos matemáticos utilizados para criptografar e descriptografar demandam computação intensiva. De acordo com Hale, pode levar de seis a oito horas para criptografar um disco rígido de 60GB a 80GB desde o começo.
Mas é um trabalho realizado uma vez para cada disco. Depois de pronto, a criptografia e descriptografia cotidianas incrementais ocorrem em background, imperceptíveis para os usuários. “Os arquivos que você cria abrem muito rápido”, ressalta Hale.
Riscos para a performance
Embora a Lei de Moore tenha fechado grande parte da ferida da criptografia, um servidor que processa muitas transações envolvendo um banco de dados pode se tornar inaceitavelmente lento se não houver atenção, alerta Hale. A solução não é a criptografia do disco inteiro, mas a criptografia seletiva, no nível do aplicativo ou até do elemento de dado.
“Vamos criptografar números de Previdência Social, nomes, endereços — tudo que represente uma identificação pessoal”, diz Hale. Em alguns casos, isso é possível com recursos embutidos em software comercial, como os aplicativos de banco de dados. Mas este nível de granularidade, apesar de economizar ciclos de processamento, tem seu custo: o esforço necessário para inventariar e classificar aplicativos e dados.
Na realidade, a tecnologia em si não é a parte mais difícil de uma ampla implementação de criptografia, acredita Matt Haynes, arquiteto de segurança de uma importante empresa de telecomunicações que ele quis manter no anonimato. “O grande esforço é identificar onde estão os dados. Levamos um trimestre para fazer isso. O segundo aspecto é estabelecer políticas e procedimentos: como viver com essa coisa nova chamada criptografia?”
Haynes recomenda que duas equipes distintas assumam o projeto de criptografia: “Uma descobre e classifica os dados e outra se especializa nas ferramentas e nos processos de criptografia”.
O trabalho não pára depois que a criptografia está feita. “Há um overhead de processos, um overhead administrativo e você, obviamente, tem que gerenciar este sistema muito de perto.”
Sem falar no gerenciamento de chaves. “Quando há muitos dados criptografados, você precisa ter muita certeza de que eles poderão ser descriptografados e saber de antemão quem vai fazer a descriptografia.”
Ainda assim, existem opções de tecnologia capazes de reduzir extremamente o esforço de implementação, salienta Haynes. Algumas abordagens de criptografia, por exemplo, requerem que aplicativos sejam modificados em cada ponto onde acessam um banco de dados criptografado.
“Quando começamos a pensar em criptografar os dados”, recorda Haynes, “entendemos que a necessidade de fazer alterações numerosas e complicadas transformaria o conceito em um projeto de muitos anos e muitos milhões de dólares”. Mas ele conseguiu evitar uma empreitada hercúlea utilizando o appliance de criptografia da Ingrian. Posicionado entre o banco de dados e os aplicativos, é invisível para os aplicativos. As mudanças no nível do aplicativo foram mínimas.
“Criptografia é uma iniciativa estratégica”, define Massar. “No último ano, enfocamos algumas coisas muito táticas — criptografar fitas, laptops, BlackBerries e assim por diante. Estas são situações de rápida solução. Mas que tal se seu tivesse adotado uma abordagem mais estratégica uns dois anos atrás?”
Se Massar tivesse promovido uma re-arquitetura em seus aplicativos para não armazenar dados em clientes, por exemplo, talvez não precisasse criptografar os laptops. Se a fonte que Massar está copiando para fita tivesse sido criptograda, para início de conversa, ele não precisaria criptografar as fitas de backup. “Se eu tivesse feito alguma coisa lá atrás, não precisaria tomar algumas atitudes táticas depois.”
Leia mais...
Agora, finalmente, este cenário está mudando. Uma sucessão de infortúnios expressivos, como laptops roubados, fitas perdidas e litígios associados a vulnerabilidades de dados, atraiu a atenção da gerência, e não apenas da gerência de TI. Enquanto isso, fornecedores de hardware e software reduziram gradualmente as barreiras tradicionais à criptografia, incluindo prejuízo à performance e dificuldade de gerenciar chaves.
As empresas com grande volume de dados sigilosos estão começando a migrar de produtos pontuais táticos para “plataformas” de criptografia de alto nível que fornecem serviços para aplicativos, bancos de dados e redes em nível corporativo.
“Estamos implementando uma arquitetura que nos dará a capacidade de gerenciar a criptografia com alta integração em múltiplos sistemas operacionais e múltiplos sistemas back-end, e criptografar tudo que considerarmos sigiloso”, diz Harvey Ewing, diretor sênior de segurança de TI da Accor North America. Os dados criptografados podem ser informação de identificação pessoal, como nome, endereço, RG e número de telefone, ou dados médicos ou financeiros sujeitos a regulamentações governamentais.
A Accor, que administra cadeias de hotéis econômicos, entre eles a Red Roof Inn, utiliza o Key Manager da RSA Security para gerenciar centralmente as chaves de criptografia de suas 1,3 mil propriedades. O produto permite que aplicativos diferentes compartilhem dados criptografados sem que cada um precise ter suas próprias chaves. “O servidor de gerenciamento de chaves é o centro de todos os nossos processos de criptografia e tira de cena o gerenciamento de chaves individuais”, explica Ewing.
Um dos maiores problemas da criptografia foi resolvido na Accor. O gerenciamento de chaves, além de complexo e arriscado, representava um obstáculo significativo à ampla adoção da criptografia.
A dificuldade surge porque a criptografia entra nas empresas “organicamente, não estrategicamente”, diz Jon Oltsik, analista do Enterprise Strategy Group.
“Muita gente ainda terá dificuldade para lidar com isso nos próximos dois a três anos.”
Oltsik prevê que unidades de disco rígido e de fita, novas versões de software de banco de dados e coisas do gênero vão acabar incorporando funções de criptografia, e as empresas vão adotá-las uma de cada vez. “De repente, você se vê com cinco sistemas de gerenciamento de chaves e todos os tipos de complexidades”, observa Oltsik.
“O risco maior, agora, é disaster recovery. Ou você precisará recuperar cinco diferentes sistemas de gerenciamento de chaves para erguer um processo de negócio ou fará um backup de quatro deles, mas vai perder as chaves no quinto e afundar o processo inteiro”, ressalta.
O gerente de segurança de TI Marc Massar conta que sua empresa – que ele preferiu não identificar – processa mais da metade de todas as transações de cartões ao redor do mundo.
Durante muitos anos, a empresa protegeu as transações com produtos de escopo limitado que executam tarefas específicas como criptografar uma senha em um caixa eletrônico. Estes produtos são desenvolvidos para proteger “dados em movimento”, segundo Massar.
Existem várias maneiras de criptografar dados em movimento: Secure Sockets Layer (SSL) para a internet e o padrão IPsec para “tunelamento”, ou seja, criação de um túnel seguro em uma rede não segura. “Estes tipos de produtos estão bem estabelecidos e prepararam o caminho para o comércio eletrônico muitos anos atrás, principalmente SSL”, diz Massar. “Ninguém questiona mais a necessidade de criptografar um número de cartão de crédito na internet”, explica.
Hoje, é muito menos comum as empresas criptografarem “dados em repouso” – em servidores, desktops, laptops e fitas de backup. Mas, recentemente, proteger arquivos e bancos de dados tornou-se o foco dos projetos de criptografia em muitas empresas.
Massar, por exemplo, implementou o DataSecure Platform, um appliance de criptografia dedicado da Ingrian Networks que fica entre aplicativos e bancos de dados. O hardware e o software são ajustados especialmente para processos criptográficos que dependem de computação intensa.
Massar usa os dispositivos da Ingrian para aplicar um dos princípios básicos da criptografia de dados em repouso. “Pense em uma informação como tendo um ciclo de vida”, diz. “Quero protegê-la o mais próximo possível de seu ponto de origem de forma que já possa criptografá-la ao entrar no meu primeiro sistema.”
Se Massar quiser afunilar a informação para um sistema back-office, ela permanecerá criptografada. E, se precisar fazer um backup em fita, ela também continuará criptografada.
“Estamos implantando primeiro para nossos sistemas baseados na internet porque é onde há maior risco”, acrescenta Massar. Mas a meta é ter um serviço de criptografia para que os desenvolvedores de aplicativos não sejam obrigados a criar uma nova rotina de criptografia toda vez que uma informação sigilosa é obtida.
Massar admite, no entanto, que esta criptografia abrangente e altamente integrada é mais fácil de imaginar do que fazer. Ele tem mais de mil sistemas sujeitos às diretrizes de criptografia do Payment Card Industry Data Security Standard, o que “exige muitas decisões arquiteturais”.
As organizações que estão aderindo à criptografia da informação em repouso naturalmente se concentram primeiro nos dados mais vulneráveis, que podem sair da empresa em laptops, dispositivos handheld e assim por diante.
Há pouco tempo, uma empresa de serviços de informática estabeleceu a política de criptografar as unidades de disco rígido em todos os laptops com o Whole Disk Encryption da PGP, conta Lawrence Hale, chief information security officer (CISO), solicitando que seu empregador não fosse mencionado.
Com freqüência, as empresas resistem a criptografar grandes volumes de dados porque os algoritmos matemáticos utilizados para criptografar e descriptografar demandam computação intensiva. De acordo com Hale, pode levar de seis a oito horas para criptografar um disco rígido de 60GB a 80GB desde o começo.
Mas é um trabalho realizado uma vez para cada disco. Depois de pronto, a criptografia e descriptografia cotidianas incrementais ocorrem em background, imperceptíveis para os usuários. “Os arquivos que você cria abrem muito rápido”, ressalta Hale.
Riscos para a performance
Embora a Lei de Moore tenha fechado grande parte da ferida da criptografia, um servidor que processa muitas transações envolvendo um banco de dados pode se tornar inaceitavelmente lento se não houver atenção, alerta Hale. A solução não é a criptografia do disco inteiro, mas a criptografia seletiva, no nível do aplicativo ou até do elemento de dado.
“Vamos criptografar números de Previdência Social, nomes, endereços — tudo que represente uma identificação pessoal”, diz Hale. Em alguns casos, isso é possível com recursos embutidos em software comercial, como os aplicativos de banco de dados. Mas este nível de granularidade, apesar de economizar ciclos de processamento, tem seu custo: o esforço necessário para inventariar e classificar aplicativos e dados.
Na realidade, a tecnologia em si não é a parte mais difícil de uma ampla implementação de criptografia, acredita Matt Haynes, arquiteto de segurança de uma importante empresa de telecomunicações que ele quis manter no anonimato. “O grande esforço é identificar onde estão os dados. Levamos um trimestre para fazer isso. O segundo aspecto é estabelecer políticas e procedimentos: como viver com essa coisa nova chamada criptografia?”
Haynes recomenda que duas equipes distintas assumam o projeto de criptografia: “Uma descobre e classifica os dados e outra se especializa nas ferramentas e nos processos de criptografia”.
O trabalho não pára depois que a criptografia está feita. “Há um overhead de processos, um overhead administrativo e você, obviamente, tem que gerenciar este sistema muito de perto.”
Sem falar no gerenciamento de chaves. “Quando há muitos dados criptografados, você precisa ter muita certeza de que eles poderão ser descriptografados e saber de antemão quem vai fazer a descriptografia.”
Ainda assim, existem opções de tecnologia capazes de reduzir extremamente o esforço de implementação, salienta Haynes. Algumas abordagens de criptografia, por exemplo, requerem que aplicativos sejam modificados em cada ponto onde acessam um banco de dados criptografado.
“Quando começamos a pensar em criptografar os dados”, recorda Haynes, “entendemos que a necessidade de fazer alterações numerosas e complicadas transformaria o conceito em um projeto de muitos anos e muitos milhões de dólares”. Mas ele conseguiu evitar uma empreitada hercúlea utilizando o appliance de criptografia da Ingrian. Posicionado entre o banco de dados e os aplicativos, é invisível para os aplicativos. As mudanças no nível do aplicativo foram mínimas.
“Criptografia é uma iniciativa estratégica”, define Massar. “No último ano, enfocamos algumas coisas muito táticas — criptografar fitas, laptops, BlackBerries e assim por diante. Estas são situações de rápida solução. Mas que tal se seu tivesse adotado uma abordagem mais estratégica uns dois anos atrás?”
Se Massar tivesse promovido uma re-arquitetura em seus aplicativos para não armazenar dados em clientes, por exemplo, talvez não precisasse criptografar os laptops. Se a fonte que Massar está copiando para fita tivesse sido criptograda, para início de conversa, ele não precisaria criptografar as fitas de backup. “Se eu tivesse feito alguma coisa lá atrás, não precisaria tomar algumas atitudes táticas depois.”
Segurança corporativa: código aberto é sinônimo de fragilidade?
É uma discussão antiga em segurança da informação. O que é mais confiável: as soluções pagas de fornecedores com atuação de anos e nomes consolidados ou uma ferramenta de código aberto desenvolvida pela comunidade de software livre? Especialmente quando essa discussão é levada para a esfera corporativa, a tendência é uma discussão quase sem fim.
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Leia mais...
Por um lado, o cansado argumento de que não há confiança no open source não é mais válido. Além da forte adoção de Linux nos servidores, também nas máquinas de missão crítica, a utilização disseminada de ferramentas como o snort, dedicado à identificação e prevenção de intrusos, mostra como a situação mudou. “Há cinco anos atrás, podia-se dizer que havia medo, que era válido o discurso ‘se é possível ver o código, é mais fácil quebrá-lo’. Hoje, não é mais possível”, defende John Pescatore, diretor de pesquisas do Gartner, em entrevista por telefone.
Além disso, resultados de testes como o realizado pela David Matousec, que colocou as firewalls gratuitas de código aberto na frente das soluções pagas para Windows, têm servido para consolidar a argumentação favorável a uma estrutura de segurança em código aberto. Sem a pressão do ‘time to market’, as soluções desenvolvidas pela comunidade poderiam se focar exclusivamente na qualidade e não precisam se preocupar em manter um modelo de negócios viável. Por terem sido criadas por paixão – contando com estudantes e acadêmicos destacados – as ferramentas não teriam as brechas causadas pela pressa.
Do outro lado, fala-se da importância de ter uma empresa formal com escritórios em várias partes do mundo, com armadilhas prontas (honeypots) para colher pragas. E, num mundo fortemente baseado em criação de vacinas, conta muito ter profissionais contratados para criá-las várias vezes por dia. Acima de tudo, destacam-se os milhões de clientes mandando respostas e amostras de malware de todas as partes do globo, assim como a capacidade de investimento que os 2,09 bilhões de dólares gerados apenas no segmento de antivírus corporativo em 2006, segundo dados do Gartner.
A pergunta, portanto, que surge na cabeça dos gestores de tecnologia ou de segurança é imediata. De que vale gastar recursos para comprar a licença de uso de uma solução se existe uma alternativa gratuita? Além disso, em um mundo em que as ameaças mudam tanto e que até os fornecedores do setor afirmam que nada é 100% seguro, não vale mais apostar no que é – no final – mais barato?
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foi ressaltada as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Para Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
Novo e-mail falso sobre acidente da TAM circula pela internet
Um novo e-mail falso sobre o acidente da TAM foi identificado nesta segunda-feira (23/07).
O e-mail, enviado supostamente pela GloboNews, instala um malware na máquina caso o usuário clique no link indicado.
A mensagem utiliza a técnica de phishing, afirmando conter imagens e vídeos exclusivos do acidente. Na mensagem há duas fotos relacionadas ao acidente para enganar o usuário.
Tanto as informações como o e-mail utilizado para o envio são falsos.
Leia mais...
O e-mail, enviado supostamente pela GloboNews, instala um malware na máquina caso o usuário clique no link indicado.
A mensagem utiliza a técnica de phishing, afirmando conter imagens e vídeos exclusivos do acidente. Na mensagem há duas fotos relacionadas ao acidente para enganar o usuário.
Tanto as informações como o e-mail utilizado para o envio são falsos.
Fraude de clique atinge 15,8% das campanhas online no 2º trimestre
O número de fraudes registradas entre cliques dentro de campanhas publicitárias online atingiu participação de 15,8% durante o segundo trimestre, segundo dados divulgados nesta quinta-feira (19/07) pela Click Fraude Network.
Os dados do estudo, feito com dados de cerca de quatro mil anunciantes e agências de publicidade que veiculam campanhas publicitárias por links patrocinados, indicam aumento em relação aos 14,8% registrados no primeiro trimestre do ano.
Dentro das redes de afiliados organizadas por programas como AdSense, do Google, ou Publisher Network, do Yahoo, a incidência de fraude aumenta, chegando a um quarto (25,6%) de todos os cliques entre abril e junho.
Segundo a pesquisa, o aumento nas fraudes tanto na média como na rede de afiliado é conseqüência do aumento do tráfego de redes botnet, que, segundo a consultoria, duplicou durante o período.
Uma porcentagem significativa das fraudes atuais pode ser atribuída para duas áreas crescentes de preocupação para anunciantes de buscas - tráfego que vem de redes botnets e de domínios abandonados ou sites formulados apenas para propagandas, afirma Tom Cuthbert, presidente e CEO da Click Forensics, empresa responsável pelo estudo.
A maior porcentagem de fraudes de cliques vêm da França, com participação de 5,1%, seguida pela China (3,2%) e Austrália (3%).
Ainda que não divulgue a porcentagem correta, o Brasil aparece no gráfico da Click Fraude Network entre os países com alta taxa de risco para campanhas online.
Leia mais...
Os dados do estudo, feito com dados de cerca de quatro mil anunciantes e agências de publicidade que veiculam campanhas publicitárias por links patrocinados, indicam aumento em relação aos 14,8% registrados no primeiro trimestre do ano.
Dentro das redes de afiliados organizadas por programas como AdSense, do Google, ou Publisher Network, do Yahoo, a incidência de fraude aumenta, chegando a um quarto (25,6%) de todos os cliques entre abril e junho.
Segundo a pesquisa, o aumento nas fraudes tanto na média como na rede de afiliado é conseqüência do aumento do tráfego de redes botnet, que, segundo a consultoria, duplicou durante o período.
Uma porcentagem significativa das fraudes atuais pode ser atribuída para duas áreas crescentes de preocupação para anunciantes de buscas - tráfego que vem de redes botnets e de domínios abandonados ou sites formulados apenas para propagandas, afirma Tom Cuthbert, presidente e CEO da Click Forensics, empresa responsável pelo estudo.
A maior porcentagem de fraudes de cliques vêm da França, com participação de 5,1%, seguida pela China (3,2%) e Austrália (3%).
Ainda que não divulgue a porcentagem correta, o Brasil aparece no gráfico da Click Fraude Network entre os países com alta taxa de risco para campanhas online.
Executivos da Microsoft e Mozilla divergem sobre brecha em browsers
Após correção da Mozilla que provocava Microsoft, empresa defende Internet Explorer e acusa Firefox e Trillian de apresentarem brecha.
Leia mais...