Administração de Sistemas e Segurança n.01 ( março/99 )

Integrando segurança em seu Site   

A informação tornou-se um elemento de fundamental importância e extremamente valiosa para os negócios de hoje. Empresas e instituições em geral estão cada vez mais utilizando recursos computacionais para armazenar, produzir e distribuir informações. Assim, ao mesmo tempo em que tem aumentado a confiança das organizações em informações providas por sistemas computacionais, infelizmente tem se observado também um aumento quase que diário no surgimento de vulnerabilidades nos diversos sistemas disponíveis no mercado.

É indiscutível o ganho que organizações terão com um crescente uso de computadores: acesso a redes de computadores, Internet e seus diversos recursos. Porém, é extremamente insensato entrar neste novo "território" tecnológico desprovido de regulamentação adequada sem entender os riscos, sem formular uma política de segurança adequada e sem definir procedimentos para proteger informações importantes de sua organização.

Decidir por onde começar a implementação de segurança em um site pode ser um processo difícil. Por um lado, você deve primeiro entender quais são as ameaças existentes (pretendemos tratar este assunto em outros artigos) e como você pode reduzir a sua vulnerabilidade. Por outro lado, você deve ter consciência de quais são os recursos que você deseja proteger, quais são os valores destes recursos e que nível de segurança é mais adequado, dada a cultura e a filosofia de sua organização. Menciono aqui recurso como sendo qualquer coisa (um bem físico ou não) que tenha um valor monetário e/ou intelectual.

Em um processo de integração de procedimentos de segurança em uma rede de uma organização, é importante que se tenha claro quais são os seus objetivos e qual a importância destes novos procedimentos e das novas tecnologias a serem introduzidas na empresa. Faça um levantamento das necessidades, problemas e requerimentos e convença a sua gerência da importância desta integração em seu site.

Este artigo dá uma visão geral não técnica de alguns aspectos relevantes de segurança que devem ser levados em consideração por gerentes de sistemas de informação e executivos que tomam decisões que afetam a infraestrutura de segurança da empresa. A seguir, tem-se alguns ítens que devem ser considerados.

  1. Como justificar investimentos em infraestruturas para segurança?
  2. O que uma política de segurança deveria conter?
  3. Que deve ser considerado em um programa de treinamento em segurança?
  4. Quais são os problemas comuns de segurança encontrados nos sites?

Como justificar investimentos com infraestruturas para segurança?

  • Faça uma análise de riscos para identificar os recursos que você deseja proteger e para determinar os seus valores.

    Estes recursos podem ser classificados nas seguintes categorias:

    • Físico: computadores, equipamentos de rede, mídia de armazenamento, etc.
    • Intelectual: código de programa e documentação, informações de servidores WWW, informações de banco de dados, projetos;
    • Valores não palpáveis: reputação da empresa, privacidade de usuários, informações confidenciais, moral de empregados;
    • Serviços computacionais: alocação de CPU, discos, suporte técnico.

    Identificar valores de bens físicos é uma tarefa fácil, basta levantar o valor de reposição de um novo. A parte difícil é determinar que propriedade intelectual significante sua organização possui e quais bens não palpáveis são recursos-chave.

  • Demonstre que as tentativas de ataques são numerosas demais para serem ignoradas
    • Instale programas para monitorar o tráfego em sua rede e registre a tentativas de ataques;
    • Utilize algumas ferramentas, se possível, de fora de seu site como, por exemplo, SATAN e analise seus resultados. Obtenha o máximo de informação que você puder sobre as vulnerabilidade da rede.
  • Discuta os impactos potenciais na reputação e lucros de sua empresa em caso de um ataque de negação de serviço. Que o prejuízo teria uma empresa que vende seus produtos somente via Web se ficasse fora de operação horas ou até mesmo dias?
  • Forneça informações de ataques ocorridos na Internet e as empresas que foram atacadas e os danos sofridos.

O que uma política de segurança deveria conter?

Um dos elementos mais cruciais de uma infraestrutura é a definição de uma política de segurança que atenda às necessidade de sua organização. Esta política deve servir como instrumento de comunicação com usuários e gerentes. Deverá informá-los o que eles precisam fazer quando tiverem que tomar decisões que envolvam aspectos de segurança.

  • Explicações

    É importante que a política seja explícita e clara sobre o por quê das decisões que foram tomadas. A maioria das pessoas não segue regras a menos que entenda por que são importantes.

  • Responsabilidades

    Uma política de segurança define expectativas e responsabilidades entre você, seus usuários e sua gerência. Todos devem saber o que se espera de cada um. Não crie um política baseada no que os usuários necessitam saber para manter o site seguro ou somente no que os administradores precisam fazer. Todos devem ser considerados.

  • Use uma linguagem comum

    Escreva um texto claro, preciso, em uma linguagem de fácil entendimento e direto ao assunto. Não seja muito formal.

  • Faça cumprir a autoridade

    A política deverá especificar quem vai decidir e aplicar os tipos de penalidades disponíveis.

  • Alguns assuntos específicos

    Estes são alguns aspectos comuns às redes que se devem considerar ao definir uma política de segurança.

    • A quem é permitido ter uma conta em seu site?. Existe alguma política de contas para visitantes, clientes, fornecedores, membros da família, etc?.
    • Uma mesma conta pode ser compartilhada por vários usuários ?
    • Quando um usuário perde o privilégio de sua conta, o que fazer a respeito? O que fazer quando as pessoas deixam a organização ou têm seu acesso negado?
    • Quem pode instalar modems? E outras pessoas, também podem?
    • Quão segura uma máquina deve estar antes de ser conectada à rede e antes de obter serviços de servidores principais?
    • Como serão protegidas as informações confidenciais?
    • Será permitido acesso remoto à rede? Se sim, quem terá acesso e como?
    • Quais serviços estarão disponíveis para acessos remotos?
    • Requerimentos de negócios têm precedência sobre segurança? Se sim, é isto que você deseja?

Que deve ser considerado em um programa de treinamento em segurança?

  • Forneça treinamento com regularidade para a equipe de suporte, usuários, gerentes e novos empregados;
  • Utilize diferentes meios de treinamentos: aulas, Web, vídeo, etc.;
  • Mantenha usuários e equipe de suporte informados das atuais tendências em incidentes de segurança em computadores;
  • Revise seus procedimentos de treinamento regularmente e assegure-se que continuam atualizados e relevantes para o seu ambiente.

Quais são os problemas comuns de segurança encontrados nos sites

Estes problemas são cobertos em algumas publicações como: [1] e [2].

  • Recursos insuficientes do site

    Os problemas mais comuns em segurança estão relacionados a organizações que não dedicam recursos suficientes para implementar níveis adequados de segurança. Apesar, deste problema não ser mais tão freqüente, ainda hoje escutamos queixas de administradores de sistemas de que em suas organizações a segurança não é tida como um tema de grande relevância.

  • Suporte ou autoridade insuficiente

    Nem sempre a equipe de suporte tem apoio de sua gerência ou autoridade para adotar medidas de segurança apropriadas para sua organização. Sem este apoio e autoridade, a equipe não pode implementar controles de segurança satisfatórios e fazer que políticas de segurança sejam cumpridas. Este é um ponto crucial para que uma política de segurança seja bem sucedida.

  • Sistemas com problemas de segurança

    Ainda hoje máquinas/sistemas continuam sendo vendidos com configurações default trazendo sérias vulnerabilidades. Sistemas operacionais (alguns mais que outros) devem ter sua configuração default muito bem revista após sua instalação para remoção de possíveis furos de segurança.

  • Patches não aplicados

    Em alguns sites não existe uma preocupação com instalação de patches (pacotes de correção de furos de segurança do próprio sistema) divulgados pelos fabricantes em suas máquinas. O tempo entre a divulgação da vulnerabilidade e a liberação do patch é considerável, neste intervalo a sua rede pode ficar desprotegida, a menos que você contorne o problema desabilitando o serviço, removendo e/ou alterando permissões, ou restringindo acesso à máquina. Deve-se estar atento aos anúncios de vulnerabilidades divulgados na Internet.

  • Senhas reutilizadas não criptografadas

    Alguns sites ainda utilizam sistema de autenticação sem criptografia em acessos remotos e ainda com senhas reutilizadas. Em uma conexão via Telnet ou rlogin, por exemplo, senhas passam às claras pela rede, portanto facilitando a vida de quem estiver monitorando a rede. Algumas soluções são sugeridas para atacar este problema, como: senhas não reutilizáveis (a cada acesso um nova senha deverá ser utilizada pelo usuário de um lista previamente definida em seu sistema), tokens (um dispositivo de hardware pequeno único para cada usuário, para conseguir fazer uma conexão remota a sua rede, o usuário deverá ter o dispositivo). Algumas soluções para autenticação remota com criptografia podem ser utilizadas como uso dos pacotes: Kerberos e SSH (Secure Shell).

  • Medidas de segurança deficientes em serviços de linha discada.

    Servidores de linhas discadas vulneráveis podem servir de pontos de partida para ataques a este site e a sites remotos.

  • Acesso aberto à rede

    Acesso às máquinas internas sem restrições ou sem monitoramento do tráfego da rede é um outro problema crítico e ainda comumente encontrado. Se voce decide não utilizar um firewall para filtrar o tráfego entre a Internet e sua rede interna, existem outras alternativas livremente disponíveis na Internet que permitem esta filtragem de pacotes. Estas ferramentas pelo menos irão reduzir os seus riscos.

  • Contas de usuários criadas sem critérios segurança

    Algumas organizações criam contas com senhas default e muitas vezes estas senhas nunca são trocadas pelos usuários. Devem ser utilizados procedimentos que definem métodos para criação de contas. O mesmo se aplica para permissões de diretórios, arquivos de configuração do ambiente, assim como algorítmos que serão utilizados para gerar a senha inicial do usuário.

  • Monitoramento e expiração de contas ineficientes

    Muitos sites não têm uma política definida e quando a têm muitas vezes não é seguida. Contas de usuários que deixam a empresa às vezes permanecem sem serem removidas. Estas contas podem ser descobertas por intrusos ou usuários locais mal intencionados.

  • Sistemas novos mal configurados

    Algumas máquinas são instaladas na rede sem nenhuma preocupação com segurança. Se a rede não tem firewall ou nenhum outro controle de acesso, pelo menos um padrão mínimo de segurança deveria ser implementado.

Conclusões

Gostaria de enfatizar que segurança é um questão à qual se deve dar alta prioridade. Apresentei aqui alguns ítens que se deve ter em mente e averiguar ao se planejar uma introdução de mecanismos de segurança em uma organização. Também é bom salientar que o único sistema de computação totalmente seguro é aquele que nunca foi ligado na corrente elétrica. Sua organização deve selecionar um nível de segurança que considere apropriado avaliando o impacto financeiro e em sua reputação no caso de um possível ataque bem sucedido ao seu site. Este artigo pretende servir de ajuda e de incentivo na buscar de uma infraestrutura apropriada de segurança para sua organização.

Referências:

  1. Oppenheimer, D.L., Wagner, D.A., and Crabb, M.D., System Security: A Management Perspective, Short Topics on System Administration, SAGE, vol. 3, March 1997.
  2. SANS Conf. and Office, 1998 Network Security Roadmap poster, 1998.
  3. Chapman, D.B. and Zwicky, E.D., Building Internet Firewalls, O'Reilly & Associates, Inc., 1995.

por Antonio Figueiredo <antonio@dca.fee.unicamp.br>

O que você achou deste Artigo ?

Qualidade Abordagem do Assunto
Excelente Medio Fraco Objetiva Extensa Reduzida
Comentário: