Todo início de ano aparecem especialistas indicando as tendências de mercado, principalmente em TI e sempre citam que naquele ano a Segurança da Informação será prioridade para as empresas. Quem previu isso em 2014 errou feio.

O último ano ficou marcado como o ano em que os sistemas de informação provaram ser inseguros por natureza, com múltiplas vulnerabilidades sendo expostas e afetando quase todos os sistemas operacionais e fornecedores.

Entre as falhas mais graves, podemos citar:

Falha na biblioteca OpenSSL, que permitia que conexões criptografadas pudessem ser expostas, afetou a maioria dos sistemas operacionais Linux e BSD e consequentemente grandes fornecedores como Facebook, Tweeter, Amazon e aplicativos da Oracle, IBM, VMware e muitos outros. Cogitou-se que NSA já conhecia essa vulnerabilidade e a utilizava para espionar conexões criptografadas e supostamente seguras.

Vulnerabilidade no bash, responsável pelo acesso shell e scripts no mundo Linux/Unix. Permitia que um usuário com um pouco de acesso escalasse privilégios, afetando grandes provedores de nuvem e praticamente todas as instalações Linux e Mac. Afetou grandes provedores de nuvem como Amazon, Facebook, Tweeter, forçando o reboot de todos os servidores para aplicar as correções. Também afetou versões do Android e iOS.

Vulnerabilidade no Windows permitia infecção de vírus por arquivos do PowerPoint. Normalmente inofensivos e conhecidos por não portar vírus, os arquivos .ppt foram alvo de criminosos para infectar computadores e ter acessos privilegiados.

  • NTP
Várias falhas no protocolo NTP (CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296, CVE-2014-9297, CVE-2014-9298)  permitiam diversos acessos indevidos, desde amplificação de ataques DDoS, até vazamento de informação e possível travamento do serviço de ajuste de hora usado em servidores e roteadores.
Vazamento de fotos privadas de várias celebridades, normalmente nuas. No início foi atribuído a uma falha de segurança no iCloud (serviço de hospedagem e backup da Apple), mas nenhuma evidência foi encontrada e a possível explicação foi devido a senha fraca nos dispositivos dos usuários, apesar de isso ser uma enorme coincidência.

Vazamento de dados de grandes empresas americanas, totalizando mais de 100 milhões de números de cartão de crédito expostos. Também na Sony, dados de clientes e funcionários foram expostos devido a invasões.

Mais algumas vulnerabilidades são explicadas nesse resumo do CAIS, entre elas a vulnerabilidade Poodle.

Como começou 2015

Esse ano não se mostrou diferente, uma vulnerabilidade no software Samba, usado em servidores Linux para acesso de estações Windows permitia acessar os arquivos sem autenticação, afetando algumas distribuições.

O mais recente FreakAtack ou CVE-2015-0204 permite que conexões sobre SSL (https) sejam descriptografadas, dependendo claro de uma série de fatores, incluindo sistemas desatualizados, tanto de servidores, quanto de clientes, e acesso em redes frágeis, com o acesso a um HotSpot WiFi em um café, restaurante ou aeroporto. Sites grandes como o 4shared.com, bloomberg.com, mit.edu, tinyurl.com, groupon.com, entre outros, foram afetados colocando em risco os dados de milhões de internautas.

O que mais será de 2015?

Não se espera nada diferente para esse ano, com os sistemas cada vez  mais complexos, mais dados acumulados nas bases de dados das empresas, maior velocidade de conexão entre as redes e a falta de investimentos em segurança da informação a tendência é continuar igual ou piorar.

Pior que a falta de investimentos, são os investimentos feitos em coisas erradas.

O que fazer no futuro?

Para evitar que sua empresa faça parte dessa estatística, é importante efetuar os investimentos adequados, mas não apenas comprar novos firewalls, IDS/IPS ou antivírus, mas também investir em processos e pessoas.

As principais ações que podemos listar são:

  • Cuidar de processos de Segurança da Informação

    Criar uma Política de Segurança da Informação, criar um modelo de Análise de Riscos, aplicar continuamente a Análise de Riscos, mitigar os riscos encontrados em um ciclo PDCA, criar planos de Contingência de Negócio, estudar a viabilidade e executar um Plano de Recuperação de Desastres deveriam ser focos de investimentos, normalmente não custa nada em termos de aquisição de equipamentos ou ferramentas, apenas em tempo.

    • Treinar as Pessoas

      Como parte do processo, o treinamento deve ser algo constante. A maioria dos ataques parte de agentes internos, mas mesmos os externos podem ter auxílio por descaso ou desconhecimento de agentes internos. Ensinar as pessoas a ficarem atentas para sinais de possíveis fraude, a não divulgar sua senha para terceiros, não clicar em links suspeitos, não divulgarem informações para desconhecidos por telefone é um passo gigante rumo a segurança da informação.

      • Resposta Rápida a Incidentes

      As empresas devem ser capazes de reagir rapidamente a novas ameaças, ter um Grupo de Resposta a Incidentes é o caminho mais natural. Se não puder fazer esse investimento, pode contratar uma empresa terceira para essa operação, normalmente um MSSP. Esse grupo fica responsável por monitorar as principais ameaças que são divulgadas em aplicativos e validar se elas aplicam ao ambiente da empresa, em caso positivo, ações de mitigação dos riscos são tomadas rapidamente.

      • Trabalhar a Confiança entre os Ativos e Processos

      Uma forma de proteger os ativos e processos é estabelecer uma baixa relação de confiança entre eles, isto é, um sistema não deve considerar que as informações que vieram de outro como sempre corretas, e deve fazer sua própria validação de segurança da mesma, isso em sistemas automatizados e mesmo manuais. Isso é muito bem tratado no framework OSSTMM, o Open Source Security Testing Methodology Manual da ISECOM.

      Conclusão

      Enfim, depende de cada empresa e de cada indivíduo garantir que aquele ano vai ser o ano de segurança da informação para si próprio, o investimento em tecnologia está longe de ser a solução correta, pois como já se mostrou no passado, novas tecnologias trarão novas falhas e vulnerabilidades.

      Criar um plano de melhoria contínua para segurança da informação é com certeza a melhor saída. Como já disseram, é preciso fazer segurança, e não comprar segurança.

      E você, acha que existe mais alguma contra medida que vale a pena ser adotada? Deixe seu comentário.

      Sobre o autor
      Fernando Ulisses dos Santos
      Diretor de Tecnologia na Blue Solutions
      Especialista em Segurança da Informação
      Certificado VCP-DCV, VCAP-DT, VCP-DT