quarta-feira, 31 de outubro de 2012

Segurança da Informação. Computação em Nuvem: Sua empresa está realmente segura?

José Augusto P. Gomes
José Augusto P. Gomes (*)
A falta de transparência no processo de computação em nuvem (clouding computing) deixa os usuários sem a real percepção que a virtualização dos serviços é formada por um conjunto de computadores que semelhante a uma "nuvem" é constituída por várias máquinas virtuais compartilhadas por uma malha de hardwares distribuídos e, hoje existem diversas ameaças a segurança deste sistema tanto com hardware dedicado à espionagem como com programas que fazem a leitura de teclado (keyloggers).
Exemplificando, existem hardware dedicado a fazer cópia de cartões em caixas eletrônicos, os chamados "chupa-cabras"? Ou seja, nem mesmo os bancos que transmitem uma imagem de segurança e confiabilidade estão totalmente seguros contra fraudes.

E quando um administrador precisa fazer testes em uma máquina que não é a dele? O risco de ter a conta capturada é muito importante, mesmo dentro no ambiente corporativo.
Logo, a segurança da informação como nós conhecemos, precisará mudar completamente, para atender a este novo nível de "vulnerabilidades", onde tudo é possível, até mesmo câmeras escondidas em botões e, por outro lado é importante observar que são necessárias mudanças nas leis onde se encontram os servidores de virtualização e/ou computação em nuvem, já que com a globalização há a tendência de espalhar por mais países os provedores de serviços virtuais.
Diante de tantos questionamentos sobre por onde a "Virtualização Ocorre", vem a pergunta: Aonde podemos realmente chegar sem o comprometimento da segurança?
Sabemos que quanto mais meios e dispositivos houver em relação à segurança da informação, como no caso da virtualização, maior o índice de vulnerabilidade, mas como isto funciona? De acordo com os meios usados na comunicação, como celulares, laptops e tablets se torna possível o alcance à diversos pontos e dispositivos em que a segurança pode ser quebrada. A multiplicação de meios de fluxo de informação é algo que abre um leque para o ataque de hackers. Mas no geral, nos especializamos na segurança e proteção de computadores e nos esquecemos do fator humano, que está presente na maioria dos sistemas de Tecnologia da Informação (TI).
Por exemplo, alguém que use um celular para monitorar a sua empresa, pode ter o hardware necessário para roubar as informações desejadas. Hackers experientes podem monitorar o sinal do celular, gravar a informação em RAW (Dado puro) e depois quebrar o código usando computação em massa não-invasiva, os chamados sniffers, um exemplo disso dessa vulnerabilidade é quando acessamos uma conta bancária e se houver um grupo especializado em fraude digital, o que não é incomum nos dias atuais, monitorando um determinado espectro pode ter acesso aos seus dados.
Ao fraudar a identidade de um presidente de uma grande empresa, os fraudadores podem gravar os dados de sua transmissão e, observando a forma com que os dados se mostram é possível verificar o "comportamento da informação". Isto aumenta a possibilidade de se quebrar um código ou mesmo obter senhas para invasão. Ou seja, é necessário atentar sobre a espionagem tanto em nível corporativo como governamental.


Imagine que haja um enfeite em sua mesa. Um enfeite feito de material comum. Digamos que um dia você perceba que este enfeite, há um ponto preto reluzente ou algo que brilhe tão pequeno quanto a ponta de uma esferográfica. Este pode ser uma das câmeras pin role. Este tipo de microcâmera pin role é menor que um maço de cigarros, facilmente incorporada a qualquer objeto. Este tipo de câmera pode ser direcionada para ler o seu teclado e pegar seu login e senhas.
Por mais que esse cenário pareça de um filme de espionagem. Não é tão incomum, isto antigamente custava ao redor de milhares de dólares mas hoje é acessível e barato para o alcance de qualquer um. Agora é possível imaginar um hacker especializado com este tipo de informação.
Um outro tipo de ataque é através da chamada "engenharia social", onde o fraudador convence pessoas dentro da organização à "ajudarem" na fraude. Porém não se pode esquecer que essas ações são uma violação a lei de propriedade intelectual, de sigilo de informação entre outras. Portanto são necessárias diversas ações de prevenção. No que se refere ao hardware especializado só será combatido com equipamentos dedicados, variando de rastreadores de sinal à micro-câmeras que podem ser compradas as dezenas, monitores de sinal de celular como uma escuta passiva (lembrando que o uso desse equipamento no Brasil pode ser considerado crime). Este monitoramento de sinal pode identificar inclusive o que está sendo enviado e identificar se é um celular ou câmera.
Logo, há uma série de problemas legais envolvidos, problemas dos quais os hackers se aproveitam. Ainda sim os mais espertos e sutis, usam programas simples e baratos e até em muitos casos gratuitos...
Possivelmente ao usar programas antivírus e anti-spyware na sua empresa você pode considerar que está em um ambiente seguro? Possivelmente você pode considerar que atende a quesitos mínimos de segurança da informação, até cair na mão de um empregado insatisfeito, ou de alguém que esteja buscando brechas de segurança no seu sistema.E se um simples software pegar sua senha durante a digitação? Este é um keylogger, algumas desses softwares conseguem até burlar os melhores antivírus. É possível imaginar o estrago que alguém que passe a ter nível de administrador pode fazer ao tomar posse das senhas dos Sistemas de Informação de uma empresa.
Normalmente, os administradores não ficam monitorando todas as entradas dos Sistemas de Informação. Até que se dão conta que tem algo ou alguém acessando sua senha.
Além dos Keyloggers há os que capturam dados da tela. Ou seja, é possível capturar virtualmente tudo, e a cada dia uma nova variedade destes programas é injetada no mundo. Considerando isso, é virtualmente impossível bloquear todos esses softwares maliciosos mesmo com o uso de software especializado de contra ataque.
Imagine que você seja um administrador de uma empresa e que sua senha caia nas mãos de um Hacker com poder de administrador?É impossível prever os estragos? E se o Hacker ainda obtiver mais dados sobre você, como sua identidade, seu cpf, o que pode acontecer? Já ouviu falar em clonagem de identidade?O melhor álibi para um criminoso, não é conseguir um álibi para si próprio e sim jogar a responsabilidade e a culpa sobre alguém.
Desde um simples operador de computador, na base da pirâmide empresarial, que seja aliciado e convencido por um grupo de fraudadores e até mesmo um administrador e analista de TI, ao perceber falhas de sistema podem se aproveitar de informações privilegiadas para seu próprio benefício financeiro, pode se tornar uma ameaça.
Um operador não vai precisar saber tanto de hardware nem tanto de software, ele apenas vai precisar saber utilizar um cartão de memória, um disquete ou ainda carregar um arquivo da internet e executar e, pode fazer isto em qualquer máquina da empresa. E ao clonar a identidade de uma pessoa, ou ainda obter a chave do administrador, acaba por responsabilizar esse profissional.
Um administrador de sistemas corrupto pode fazer pior ainda, de forma limpa e aparentemente dentro da lei, culpar um terceiro pelo seu crime por saber como fazer essa fraude sem ser diretamente identificado. Mas e a consciência humana? No cenário exposto anteriormente percebe-se que a ética pessoal e profissional não está presente. Isto é a realidade e fechar os olhos à isto, é abrir mais ainda a guarda. Assim pessoas percebem que podem ganhar muito dinheiro violando um sistema, tornando-se alvo fácil dos fraudadores do sistema.O fator humano é um elemento de vulnerabilidade de segurança da informação.A falha maior sempre será o ser humano. Não há como retirá-lo da equação já que ele é está envolvido diretamente no uso e na operação dos sistemas.
Em geral, os países ainda não determinaram o ambiente legal para a utilização de Sistemas baseados em computação na nuvem e essa indefinição legal pode gerar problemas na prestação e execução deste serviço, uma vez que os serviços podem ser executados em países com restrições legais inexistentes.
A falta de previsão legal em alguns países como o nosso, acarreta uma série de problemas em que a lei precisa ser estudada por advogados que apoiam as firmas prestadoras de serviços antes de sua disponibilização pública.
É o caso, por exemplo, de um país que tenha uma lei que beneficie seu serviço secreto de inteligência e que poderia ter acesso à informações de máquinas virtualizadas de outro país o que, em tese, pode constituir numa violação de segurança de informação gravíssima e a soberania dessa nação.Logo isto limita sem dúvida a segurança de informação da virtualização prejudicando assim não só a confiabilidade como a disponibilidade dos serviços.Porém quem gera estes problemas? E porque há tanta falta de acerto e de confiabilidade? O fator humano é a hipótese mais provável.


Hoje em dia até o e-mail que sai de uma firma deve ser monitorado. É claro que isto não vai impedir ninguém de enviar um e-mail por celular ou ainda, de alguém tirar a foto de uma informação importante de enviar por e-mail anônimo, com o IP e Identidade da máquina mascarado.Então o que é possível fazer para minimizar os pontos de vulnerabilidades dos sistemas de informação? Monitorar todo o ambiente, incluindo as ações individuais das pessoas?
Já sugeriram que Inteligência Artificial (IA) verificasse os atos falhos dos seres humanos, porém isto recairia em total perda de liberdade, o que poderia se constituir um crime. Ao mesmo tempo isto recairia no fator de confiabilidade das relações pessoais além da questão ética de monitoramento da vida dos indivíduos. Vários autores de ficção científica já discutiram os impactos deste tipo de monitoramento.O problema é que tudo é confiável até que se mostre o contrário.
Confiar numa nuvem virtual pode se tornar algo bom por um lado e ruim por outro. Caso os serviços sejam suspensos por causa de falta de previsão legal específica que abranja a computação em nuvem que pode ser realizado em mais de um país. Por outro lado, não é possível saber qual a intencionalidade de quem está utilizando um determinado sistema.
A "engenharia social" é uma brecha importante, mas, certamente a situação mais difícil para uma empresa é o ataque de um Hacker, que tenha conseguido a posição de administrador o que dificulta sobremaneira a percepção das vulnerabilidades pois como administrador ele pode apagar seus rastros.Porém como combater esse problema? Já que há a perda de confiança. Isto é o pesadelo da Administração de Informática e a pior falha de todas. Porém como descobrir isto? Só monitorando quem nos monitora.
O ponto mais fraco da informática hoje em dia, enquanto não há o uso da Inteligência Artificial, é o fator humano e a legislação vigente.Mesmo seguindo toda cartilha de segurança e mantendo o sistema o mais seguro possível, é preciso monitorar até mesmo quem nos monitora como usuários. Assim como é preciso verificar todos os casos de clonagem de identidade assim como de acesso.
Uma análise de comportamento pode ser fundamental. Hoje nos preocupamos em procurar falhas, saná-las e punir os culpados na forma da lei. Ao ponto de se analisar a fisiologia da pessoa e seu comportamento enquanto esta responde à perguntas, verificando possíveis mentiras.Sem esta análise, podemos estar sacrificando pessoas que não tem o perfil e não são responsáveis por aquilo que são responsabilizadas.Esta análise não abrange apenas seres humanos. É preciso analisar o comportamento de todo sistema de forma que a análise deste possa abranger as possíveis falhas e imprevisibilidades. Que inclui também o caráter legal.
A Virtualização gerou uma gama de situações novas e inusitadas que levarão anos para se estabilizar e, ao mesmo tempo, é a solução para a necessidade de computação distribuída evitando assim os gargalos clássicos dos processamentos centralizados.
(*)José Augusto P. Gomes:Administrador, Analista na área de Tecnologia & Gestão das Informações. Diretor de Tecnologia & Segurança de Dados do Instituto Brasileiro de Segurança Empresarial - IBRASEM.Possui diversas Certificações na área de T.I. , Especialista em Segurança das Informações na área de Securitydata e TI.
Conheça Mais sobre o Tema:
Psicologia Criminal:
http://www.psicologiananet.com.br/psicologia-juridica-e-psicologia-criminal-a-investigacao-criminal-e-a-contribuicao-da-psicologia/940/
http://redepsicologia.com/psicologia-criminal
http://www.comportamentocriminal.com.br/portal/index.php?option=com_content&view=article&id=73:psicologia-criminal&catid=34
http://pt.scribd.com/doc/3029706/Trabalho-sobre-Psicologia-Criminal
http://www.blogdacidadania.com.br/2012/01/o-sociopata-mora-ao-lado/
http://www.fae.br/cur_psicologia/literaturas/Psicopatia_e_Sociopatia.pdf
http://www.cerebromente.org.br/n12/doencas/sociopatia.htm
Link: http://www.mundojuridico.adv.br/cgi-bin/upload/texto274.doc
Título:HACKERS: um estudo criminológico da subcultura cyberpunk
Autor: Túlio Lima Vianna - Professor de Direito Penal da PUC Minas
Mestre em Ciências Penais pela UFMG.
Artigo publicado no Mundo Jurídico (www.mundojuridico.adv.br) em 23.04.2003.
Artigo:
Link:http://www.fa7.edu.br/recursos/imagens/File/administracao/ic/vi_encontro/MIRELLA_MAPURUNGA_BENEVIDES_DANTAS_MARKETING_NA_INTERNET_E_COMPORTAMENTO_DO_CONSUMIDOR.pdf
Título:"Marketing na internet e comportamento do consumidor nas transações bancárias pela internet".Autor:Mirella Mapurunga Benevides Dantas.
Citação:"Este artigo científico foi apresentado no dia 24 de Maio de 2010, como requisito parcial para a obtenção do título de bacharel em ADMINISTRAÇÃO DE EMPRESAS"
Manual sobre Crimes Digitais:
Link:http://www.conjur.com.br/2011-set-17/manual-explica-crimes-digitais-orienta-aplicar-legislacao
Título:CÓDIGOS MALICIOSOS - Manual explica crimes digitais e orienta sobre legislação
Autor: Camila Ribeiro de Mendonça,Publicado em:17/09/2011.
O Estudo Aplicado à Virtualização, Computação em Nuvem:
Link:http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=24396&sid=97
Título:Computação na nuvem carece de jurisprudência legal.
Autor: Fernanda Ângelo* :: 29/11/2010
Link:http://www.slideshare.net/AllanReis1/computao-em-nuvem-estudo-de-caso-em-uma-empresa-de-tecnologia-da-informao
Título: Computação em Nuvem: Estudo de Caso em uma Empresa de Tecnologia da Informação.
Autor: Allan Reis Pablo Tavares
Link:http://legiscenter.jusbrasil.com.br/noticias/2999975/tributacao-da-computacao-em-nuvem
Título:Tributação da Computação em Nuvem (Extraído de Legis Center em Janeiro de 2012).
Contra Espionagem Política, Industrial e Comercial:
Link:http://www.xcorpsoftware.com/interna.asp?id=226
Artigo:Espionagem Industrial: Mais do que Ficção - Um Problema Real para os Negócios.
Autor:Ricardo Giovenardi
Cargo:Consultor de Segurança e Continuidade de Negócios da XCORP.
Formação:Em Tecnologia em Processamento de Dados pela Uniban com MBA em Gestão de TI e Internet pela Universidade Nove de Julho com especialização em Inteligência Competitiva e Inteligência Estratégica e Anti-Terrorismo em Israel.
Link: http://www.cartacapital.com.br/internacional/espioes-industriais/
Artigo:Guerra Econômica - Espiões Industriais
Em: 19/01/2011 as 17:23
Autor: Gianni Carta
Link:http://www.correiobraziliense.com.br/app/noticia/politica/2012/07/06/interna_politica,310970/revelacao-de-espionagem-contra-dilma-e-lula-desagrado-ao-governo.shtml
Artigo: Revelação de espionagem contra Dilma e Lula desagrado o governo.
Agência Brasil: Publicação 06/07/2102 16:55 Atualização:06/07/212:16:58

Nenhum comentário:

Postar um comentário