Batori Blog

O uso do e-mail está mais do que disseminado. Trocam-se e-mails entre amigos para enviar um anexo com aquela piada imperdível, para convite de aniversário, para a receita de um remédio milagroso, para falar de amenidades etc.etc. E, muito mais preocupante, profissionais e empresários trocam muitas dezenas de e-mails, diariamente, para atualização de quase todas as tarefas e rotinas pertinentes ao dia-a-dia de empresas de todos os portes e tamanhos.
No mundo corporativo, raras são as companhias preocupadas com a inviolabilidade dos seus e-mails. Informações confidenciais tais como projetos, propostas, relatórios, memorandos etc. circulam livremente através de e-mails. Sejam eles internos ou, pior ainda, externos. E sem qualquer padrão ou preocupação mínimos de segurança.
A utilização do e-mail é tão simples e banal, que em praticamente todas as empresas ele já acabou gerando, paradoxalmente, um grave problema de comunicação interna: o da falta de interação pessoal. Funcionários quase não se comunicam mais pessoalmente, só mesmo através do maravilhoso e-mail. Nem mesmo quando os assuntos possam ser de vital importância para a empresa. E nem mesmo quando estão sentados lado a lado, na mesma seção.
Poucos dirigentes sabem, mas rastrear e abrir um e-mail desprotegido é uma tarefa simples. Qualquer administrador da rede corporativa, do servidor de e-mail, do sistema de backup, etc., pode “enxergar” tudo o que trafega na empresa que esteja desprotegido. Aquele e-mail confidencial do diretor para o presidente, por exemplo, pode ser lido com facilidade.
Para complicar ainda mais essa quase “promiscuidade” na ida e vinda de e-mails sem respeito a qualquer norma de segurança, as redes sem fio também estão se espalhando rapidamente em lugares públicos, facilitando ainda mais a quebra do sigilo no tráfego de informações. Hotéis e aeroportos são locais perfeitos para sniffers (farejadores) com más intenções. A espionagem industrial está aí, mais do que presente. Ela não é obra apenas de ficção, e está sendo incrivelmente facilitada pelo uso indiscriminado e irresponsável do e-mail.
Existem três “Contramedidas de Segurança” eficazes no uso do e-mail: a certificação digital, a criptografia por gateway e a classificação da informação e conscientização do usuário.
Certificação Digital
A confidencialidade e a integridade na troca de e-mails pode ser assegurada através de uma criptografia assimétrica. Isso não é assim tão trabalhoso. Basta que as empresas – e os usuários em geral – se habituem a trafegar seus e-mails criptografados. A utilização de identificações digitais permite o tráfego seguro de mensagens, inclusive a sua criptografia. Uma identificação digital é composta de uma chave pública, de uma chave particular e de uma assinatura digital. Ao assinar digitalmente as mensagens, o usuário estará adicionando sua assinatura digital e uma chave pública à mensagem. A combinação da assinatura digital e da chave pública é a chamada certificação digital.
Existem inúmeras entidades certificadoras que podem fornecer essas chaves de segurança. No próprio correio eletrônico do Windows Outlook ou do Outlook Express, por exemplo, há explicações detalhadas sobre como proceder para a obtenção dessas chaves, que resultarão no envio e recebimento de mensagens de e-mail seguras, autênticas e invioláveis. Esses procedimentos podem demandar algum tempo, mas, com certeza, eles são de grande valia. Em especial no mundo empresarial é inconcebível que os e-mails continuem trafegando livremente sem qualquer proteção.
Criptografia por Gateway
Esta é uma solução mais corporativa, onde a política de criptografia no envio de e-mail é aplicada na solução de proteção do serviço de e-mail. De acordo com uma política pré-estabelecida, o e-mail é criptografado na saída da mensagem. Esta solução torna a adoção de criptografia transparente para o usuário final e agrega um controle adicional de segurança nas mensagens confidenciais.
Classificação da Informação e Conscientização do Usuário
Não podemos nos esquecer do fator mais importante que envolve a segurança da informação de uma organização: o ser humano. Dispor de uma política de segurança da informação implantada e manter os usuários conscientes da classificação da informação e das normas de segurança é fundamental. Existem técnicas como a AVS (Análise de Vulnerabilidade Social) que ajudam as empresas a medir e melhorar o seu nível de conscientização de segurança.

Ricardo Kiyoshi é diretor da Batori www.batori.com.br – empresa que presta serviços de inteligência em segurança da informação e difunde a cultura de segurança, contribuindo para a excelência nos negócios das corporações.

Quantas milhares (ou milhões ?) de vezes, esta frase deve ter se repetido por ocasião da falha no link da Telefônica ? Seja em casa, na escola ou no trabalho este evento afetou direta ou indiretamente milhões de pessoas que dependem diariamente do fluxo de informações suportado pela internet.
A grande questão é: sera que ninguém havia se preparado para isso ? Este evento é tão raro, que as pessoas não cogitam que ocorra ? Pior: quanto pode ter custado, em termos de valores e/ou retrabalho, tudo o que deixou de ser feito, porque “a internet caiu” ?
Na verdade, trata-se de um conjunto de fatores técnicos e culturais: o brasileiro não acredita que o pior vá acontecer, via de regra confiando em soluções planejadas para o pior, sem pensar no que realmente poderia ser o pior.
Não tenho dúvida alguma de que muitas empresas possuíam links redundantes de internet, sejam por fibras óticas originadas de pontos diferentes ou mesmo por radio. Mas quantas empresas possuíam dois PROVEDORES diferentes, como forma de redundância e consequente proteção ?
A cada dia, vemos ativos de TI incorporando características específicas de governança ou se adequação à padões de segurança, quando não ocorre da matriz no exterior manter a gestão dos aplicativos da organização, deixando a cargo dos funcionários locais apenas a manutenção e configuração do hardware e infra-estrutura.
Antigos “serviços” oferecidos por profissionais de segurança, como “Análise de Riscos”, tornam-se cada vez menos necessária em função da automação dos requisitos de segurança incorporados ao hardware e aos prestadores de serviço.
Entretanto, no fim das contas resta apenas uma grande questão a ser respondida: como prever o imprevisível ? Como se preparar para situações onde o impensável se concretiza ?
A resposta pode ser uma simples mudança na forma de encarar os riscos corporativos: ao invest de tentar identificar infinitos potenciais fatores de risco, deveríamos trabalhar para criar estratégias considerando-se a fatalidade dos impactos !
Neste caso, ao invés de se contratar um provedor de internet com duas entradas de links independentes, poderíamos ter pensado em DOIS provedores independentes, garantindo a redução do risco de uma falha por conta do prestador de serviço.
O mesmo deve ser feito a cada aspecto critico de infra-estrutura ou componente que o negócio da organização utiliza, garantindo-se que qualquer efeito acarretado por contad e uma falha, seja neutralizado por uma estratégia.
O maior problema da falha sofrida pelo provedor de serviços não é o prejuízo do serviço que deixou de ser prestado. Mas a possível ameaça de seus clientes virem cobrar os prejuízos decorrentes desta falha, multiplicada pelo número de usu’rios prejudicados.
Não basta duplicar. É preciso saber “o quê” e “onde”, baseados emu ma estratégia de resposta à contingencias e voltado à continudiade de negócios.

Autor: Fernando Marinho

Existem algumas considerações de segurança que devem ser levadas em consideração quando falamos na adoção da tecnologia MPLS (Multi Protocol Label Switching). Apesar da tecnologia MPLS permitir a criação de circuitos virtuais para cada cliente, o backbone do provedor será o mesmo para todos os clientes, ou seja, os dados de todos os clientes estarão passando fisicamente pelo mesmo meio.

Assim, como nos casos da terceirização de hospedagem de serviços/servidores, a empresa contratante do serviço deverá confiar não só na qualidade do serviço contrato, mas também nas práticas de segurança adotada pela empresa prestadora do serviço.

Apesar da tecnologia MPLS criar circuitos virtuais fechados para cada empresa, os dados que trafegam entre uma matriz e uma filial, por exemplo, não são alterados. Em outras palavras, a tecnologia MPLS não vai criptografar os dados em nenhum momento da comunicação.

Falhas de segurança encontradas na tecnologia MPLS

As falhas de segurança encontradas na tecnologia MPLS são as seguintes:

1- Se a configuração dos roteadores não for feita corretamente, seja por parte do cliente ou do provedor, a disponibilidade da rede MPLS e a confidencialidade dos dados que nela trafegam estarão comprometidas através da realização de ataques de DoS e Label Spoofing.

2- A tecnologia MPLS não utiliza qualquer tipo de criptografia para os dados que trafegam na rede MPLS, ou seja, se os dados que a empresa contratante planeja passar pela rede MPLS exigem determinado nível de confidencialidade, a tecnologia MPLS não é a opção mais recomendada.

Considerações finais

Todo sistema de segurança de uma empresa varia de acordo com o tipo de ativo que será protegido, de quais ameaças ele será protegido e qual será esse nível de proteção. Essas métricas só podem ser definidas pela empresa contratante. Por exemplo, se as informações que irão trafegar pela rede MPLS são confidenciais e estão ligadas diretamente ao negócio da empresa, é recomendável que se utilize o protocolo IPSec em conjunto com a tecnologia MPLS, caso os dados não possuam nenhuma criptografia nativa, como o SSL por exemplo.

Um ponto que muitas vezes não é analisado diz respeito à infra-estrutura da empresa que prestará o serviço. Não estamos falando somente de infra-estrutura de atendimento, disponibilidade etc. É necessário analisar as práticas de segurança da informação que empresa adotou. Alguns pontos que devem ser analisados: a empresa possui um SGSI? A configuração dos equipamentos direcionados ao serviço contratado segue as recomendações do fabricante e/ou alguma RFC? A empresa já fez alguma análise de risco deste serviço? Com que freqüência o sistema de segurança é testado?

Se utilizada corretamente, a tecnologia MPLS, em alguns casos até combinada com outras tecnologias como o IPSec, pode atender todas as necessidades de comunicação da empresa sem comprometer a confidencialidade e a integridade das informações que nela trafegam. Mas para que isso ocorra, os dois itens listados acima devem ser atendidos.

Existe uma RFC que fala exclusivamente sobre a segurança na tecnologia MPLS. Ela pode ser acessada em http://www.ietf.org/rfc/rfc4381.txt.