Cansados do assunto segurança da informação?

cansado

Olá pessoal! Hoje venho falar sobre os resultados de uma pesquisa realizada em conjunto a profissionais do National Institute of Standards and Technology (NIST), e divulgada pela IEEE Computer Society, na qual foi apontada que o excesso de notícias e alertas sobre segurança da informação tem levado os usuários a uma “fadiga de segurança”, o que por sua vez tem feito os usuários tomarem decisões ruins relacionadas ao tema.

Embora o relatório tenha sido divulgado apenas no dia 04 deste mês, a pesquisa foi conduzida entre os meses de janeiro e março de 2011, entrevistando diversos participantes, incluindo homens e mulheres de algumas partes dos Estados Unidos, onde foram incentivados a falar sobre como se sentiam em relação ao tema segurança da informação.

Estes foram questionados a respeito de atividades realizadas online, percepção de segurança da informação, além do conhecimento e uso de ícones de segurança, ferramentas e terminologias associadas ao tema. A partir disso, técnicas de dados qualitativos foram utilizadas para codificar e analizar os resultados em busca de sintomas, fatores contribuintes, e efeitos relacionados a fadiga de segurança da informação.

Mesmo que a fadiga não tenha sido envolvida diretamente nos protocolos da pesquisa, mais da metade dos entrevistados apresentaram sintomas referentes a ela em suas respostas, onde expressaram resignação, perda de controle, fatalismo, minimização de riscos, e até mesmo indicaram evitar tomar decisões relativas ao tema segurança.

Algumas das respostas oferecidas pelos entrevistados podem ser vistas em um vídeo, onde uma das Cientistas da Computação que realizaram a pesquisa, e que trabalha atualmente para o NIST, Mary Frances Theofanos, explica o que é a fadiga de segurança da informação. Veja algumas das afirmações feitas por participantes:

“Segurança parece ser algo meio incômodo, é só mais uma coisa que devemos ter e nos manter atualizados”.

“Acho que estou meio insensível a ela… as pessoas se cansam de ser bombardeadas com ‘cuidado com isso’,’cuidado com aquilo’ “.

É quase compreensível que tenham esse tipo de reação, levados é claro pelo número cada vez mais frequente de notícias envolvendo quebras de segurança, tanto no setor privado quanto governamental, porém é possível minimizar esse tipo de sentimento se seguirmos alguns conselhos oferecidos pela própria pesquisadora.

Limitar o número de decisões do usuário quando estas forem relacionadas a segurança da informação. Quanto maior a quantidade de decisões que se deve tomar durante um dia, mais difíceis elas se tornam. A partir do suporte oferecido, podemos indicar quais seriam as melhores soluções a serem empregadas em determinada situação, para resolver uma determinada dificuldade relacionada ao tema, minimizando assim a necessidade de preocupação por parte dos usuários na busca pela resolução da mesma.

Desenvolvedores de sistemas participam dessa ação ao criarem códigos seguros a despeito da experiência do usuário. A segurança dos sistemas não pode ser minimizada para melhorar o seu contato com os usuários. Estes sistemas devem ser idealizados para limitar os riscos de exploração, aleḿ de reforçar os princípios de uma autenticação forte e segura.

Tornar simples para o usuário tomar a decisão certa relativa ao assunto segurança. Não devemos simplesmente impor ao usuário, através de nossas políticas de segurança, que este tenha uma senha com determinada quantidade de caracteres, seguindo uma determinada combinação, e que esta seja trocada a cada período determinado, sem oferecer-lhes formas seguras de criar e armazenar estas senhas, como um chaveiro digital por exemplo.

O usuário deve ser guiado a construir uma proteção efetiva de seus dados a partir do entendimento de como essa proteção é construída, em torno de sí mesmo primeiramente, até o contato que estes tem com os sistemas corporativos a seu dispôr. Não se pode negligenciar a forma de como este usuário enxerga o valor de seus dados, e não lhes oferecer indicações sobre como podem se proteger fora do ambiente corporativo.

Tentar proteger estes sistemas, utilizando as mais diversas ferramentas e orçamentos disponíveis, sem que o usuário seja instruído sobre como lidar com a segurança de seus dados pessoais, ou de seu equipamento doméstico ou móvel, de uma forma que seja compreensível por ele, será sempre uma luta difícil de ser vencida.

A participação de todos os envolvidos nos processos, é essencial para a minimização dos riscos na segurança da informação, por isso a alta direção deve se preocupar com a educação dos usuários sobre o tema, mas fazendo isso a partir do ponto de vista deles, oferecendo caminhos que possam ser trilhados para a obtenção de segurança, removendo a tensão existente, e melhorando a proteção de todos.

Anúncios

Nova norma trata segurança em serviços na nuvem

iso-logo

Uma nova norma ISO foi publicada dia primeiro deste mês, e trata sobre a questão da segurança em serviços na nuvem, tendo como escopo a definição de parâmetros de suporte à implementação do gerenciamento da segurança da informação para o uso de serviços na nuvem.

A norma ISO/IEC 27036-4 visa orientar a usuários e provedores sobre como obter visibilidade sobre os riscos de segurança da informação, associados ao uso e provimento de serviços na nuvem, formas de gerenciar efetivamente esses riscos, além de responder a riscos específicos à aquisição ou provisionamento destes serviços, que possam ter impacto na segurança da informação das organizações que os utilizam ou fornecem.

Por enquanto, a norma está disponível no site apenas na língua inglesa, o que pode mudar em breve, com as traduções sendo realizadas pelos órgãos vinculados nos diversos países.

Aqui no Brasil, como é sabido, o órgão que realiza essas traduções e publicações é a ABNT, que publicou a parte um desta norma ainda em 2014, porém só pude encontrá-la disponível na língua original, o que causa dúvidas quanto a tradução oficial da parte quatro para o português.

Dica de segurança em servidores Slackware com SSH habilitado

Slackware logo

Sim, você provavelmente já viu um texto com esse título, e vai notar que também trato do mesmo assunto, que é apenas uma dica trivial para a implementação de segurança básica e inicial em servidores que utilizem acesso via SSH, principalmente aqueles que estão disponíveis a acesso externo ( leia-se Internet ).

O artigo que escrevi anteriormente foi postado em outro blog, e foi uma pequena contribuição para a difusão de experiências que temos, e que optamos por compartilhar com a comunidade, facilitando a iniciação daqueles que tenham interesse em assuntos diversos, tratados pelos profissionais que lá queiram dividir seus conhecimentos.

No post original, eu tratei sobre a customização do arquivo de configuração do serviço de SSH em um servidor com sistema operacional GNU/Linux, mais especificamente a distribuição CentOS, então quis registrar o assunto aqui também, utilizando a nossa querida Slackware Linux.

Caso já tenha lido o post original, este não lhe trará nenhuma informação nova, sendo apenas uma adaptação para outra distribuição GNU/Linux, mas, caso ainda não o tenha lido, e assim como eu, utilize a distribuição Slackware, então talvez ache essa pequena dica algo interessante de se compartilhar com alguém que talvez precise. 🙂

Como é de conhecimento geral, uma das primeiras providências que possíveis invasores tomam, tão logo escolhem um alvo, é iniciar a coleta de informações a respeito deste, e quando este está disponível para acesso através da Internet, entre essas atividades de reconhecimento inicial está a varredura de portas, buscando possíveis pontos de entrada no sistema.

Um destes pontos de entrada pode ser o serviço de SSH, que geralmente é deixado habilitado como forma de acessar remotamente esses servidores, e é por isso que precisamos reconfigurar esse serviço para que não tentem utilizá-lo para obtenção deste acesso com o único usuário de que eles tem certeza que existe no sistema alvo, e esse usuário é o root. A dica é simplesmente configurar o serviço de forma que o acesso como superusuário não seja possível, e para tanto devemos seguir alguns passos. Para este tutorial, utilizei a versão estável mais recente da Slackware Linux, que é a 14.1, sendo que a versão 14.2 não deve demorar muito mais para ser lançada.

Através da linha de comando, já com privilégios de root, vamos acessar o arquivo de configuração do serviço, localizado no diretório /etc. Com o editor de textos para linha de comando de sua preferência, edite o arquivo /etc/ssh/sshd_config. Utilizando o vi seria:

# vi /etc/ssh/sshd_config

Localize a linha com a opção que precisamos alterar. Ainda utilizando o Vi bastaria utilizar o caractere “/” para realizar a busca:

/#PermitRootLogin

Isso nos levaria à linha que precisamos mudar. Ela estaria assim:

#PermitRootLogin yes

Utilize a tecla insert para entrar em modo de edição no Vi e navegue pela linha, alterando-a para deixá-la assim:

PermitRootLogin no

Em seguida vá até o final deste arquivo e adicione um campo chamado AllowUsers. Este campo será utilizado para explicitar quais usuários terão acesso remoto via SSH autorizado. Veja o exemplo utilizado em meu post anterior:

AllowUsers=fulanodetal

Isso faria com que apenas o usuário fulanodetal pudesse acessar o sistema utilizando o protocolo SSH, e outros usuários, mesmo tendo contas configuradas no servidor, não conseguiriam autorização de acesso. Caso queira que outros usuários tenham acesso, basta listá-los entre os permitidos, separando-os por vírgulas. Após o término de adições basta salvar o arquivo e voltar ao prompt do shell. No caso do Vi seria a combinação de teclas ctrl+x.

Essa deve, ou deveria ser, uma das primeiras medidas de segurança a ser implantada, e não demora quase nada para que se torne efetiva. Bastando agora que o serviço seja reiniciado para que as mudanças sejam efetivadas. O comando para reiniciar o SSH varia de acordo com a distribuição utilizada. No nosso caso, utilizamos os comandos a seguir:

# /etc/rc.d/rc.sshd stop

# /etc/rc.d/rc.sshd start

Como também esclareci no post anterior, existem outras opções que podem ser modificadas no arquivo, e que são interessantes para ampliar essa proteção, como por exemplo o tempo permitido pelo sistema para que a pessoa entre com as credenciais de acesso, a quantidade de tentativas em sequência que a pessoa pode tentar antes de ser desconectada, entre outras, portanto vale a pena explorá-las, modificá-las de acordo com as suas necessidades, não esquecendo é claro de sempre salvar o arquivo com essas modificações e reiniciar o serviço sempre que desejar aplicar novas alterações.

Recomendo ainda que coloque a porta, na qual o serviço está habilitado, sob a proteção do firewall. Em nosso caso, o IPTables é o firewall que acompanha a Slackware Linux, e para proteger o serviço SSH vamos adicionar algumas regras a ele. Essas regras foram retiradas de um outro artigo, publicadas em um outro blog, pertencente à rackAID, e que tem por objetivo proteger os sistemas contra ataques de força bruta:

# iptables -N LOGDROP

# iptables -A LOGDROP -j LOG

# iptables -A LOGDROP -j DROP

# iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set

# iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 -j LOGDROP

Isso fará com que um endereço IP seja bloqueado caso tente acesso mais de três vezes durante um minuto. As regras implicam somente os casos de novas conexões, não impactando as que sejam bem sucedidas. Além disso, a configuração permitirá o registro destas tentativas através de logs.

Para confirmar que as regras foram acrescidas, basta listá-las como normalmente faria:

# iptables – L

Bem essa era a dica, agora com foco na implementação em uma distribuição Slackware Linux. Espero que tenham gostado. Até a próxima!