Segurança
da Informação na Internet e Intranet
Oportunidade
versus Riscos
Developer's Magazine - Fev/98
Por Alberto Bastos
Em outubro de 1997, foi
realizada uma pesquisa com 206 empresas de grande porte, participantes
do VI CNASI - Congresso Nacional de Auditoria e Segurança da Informação
e do Ciclo de Seminários sobre "Trends in Intranet and Internet
Security" promovido pela Módulo Informática.
Em comparação
com a pesquisa anterior de 1996 (132 empresas pesquisadas), os resultados
e indicadores apontam um explosivo crescimento do uso de Internet nas empresas,
passando de 29% em 1996 para 63% este ano.
Da mesma forma, a adesão
às Intranets também foi surpreendente. Em 1996, apenas 3%
das empresas pesquisadas possuíam uma Intranet instalada. Hoje,
este percentual saltou para 49%, sendo que 70% das empresas que ainda não
migraram suas aplicações para a Intranet, pretendem fazê-lo
em até um ano.
No entanto, os investimentos
em proteção e controle não acompanharam este crescimento.
As empresas brasileiras encontram-se extremamente vulneráveis a
ataques e invasões internos e externos, sendo que 82% delas não
possuem uma Política de uso da Internet. Os riscos são realmente
muito altos considerando que apenas 7% das empresas possuem um plano de
ação documentado para casos de problemas, embora 12% já
tenham sofrido algum tipo invasão ou ataque e 45% não sabem
dizer se o foram.
Neste cenário atual,
vivemos hoje um grande paradoxo: o uso sério de aplicações
em Internet e Intranet tem se inviabilizado devido aos graves problemas
de segurança. Mas os números mostram uma irreversível
(e irresistível) tendência para uso destas tecnologias na
busca de ganhos de competitividade.
Mas o que é Segurança
da Informação?
Os princípios básicos
da segurança são a confidencialidade, integridade e disponibilidade
das
informações. Os benefícios evidentes são reduzir
os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo
de informações e diversos outros problemas que possam comprometer
estes princípios básicos.
A segurança visa
também aumentar a produtividade dos usuários através
de um ambiente mais organizado, maior controle sobre os recursos de informática
e finalmente, viabilizar aplicações críticas das empresas.
Alguns exemplos de aplicações
bem sucedidas na Internet são o Internet Banking do Bradesco, as
Eleições de 1994 e 1996 e o Projeto Receita Net, que alcançou
a expressiva quantidade de quase 500.000 contribuintes que entregaram a
declaração de renda via Internet.
Ameaças e Vulnerabilidades
O uso de Internet nas empresas
trouxe novas vulnerabilidades na rede interna. Se não bastassem
as preocupações existentes com espionagem industrial, fraudes,
erros e acidentes, as empresas precisam se preocupar agora com os hackers,
invasões, vírus, cavalos de tróia e outras ameaças
que penetram através desta nova porta de acesso. Para obter segurança
em uma aplicação para Internet ou Intranet, é preciso
cuidar de quatro elementos básicos:
1. Segurança na estação
(cliente)
2. Segurança no
meio de transporte
3. Segurança no
servidor
4. Segurança na
Rede Interna
Segurança na estação
No uso de Internet e Intranet,
um dos elementos mais vulneráveis sem dúvida é a estação,
onde normalmente é executado um "browser" ou uma aplicação
dedicada por onde o usuário tem acesso aos recursos e serviços
da rede.
As estações
dos usuários podem armazenar chaves privadas e informações
pessoais na maioria das vezes sem proteção ou controle de
acesso.
Estações de
trabalho estão ainda sujeitas a execução de programas
desconhecidos (como Applets Java, ActiveX e Javascripts) sendo expostas
a grampos de teclado e outras armadilhas de ganho de acesso.
Existem ainda diversos usuários
que fazem uso de modems para conexão com a Internet, muitas vezes
contornando os controles e proteções da rede ou de um firewall
corporativo.
Segurança no meio
de transporte
Para garantir a privacidade
e integridade das informações enviadas pela Internet / Intranet,
é necessário implementar a segurança no meio de transporte.
A criptografia é fundamental para este fim, sendo que os principais
produtos que possuem criptografia "embutida" sofrem limitações
devido as restrições de exportação dos EUA.
Algumas empresas no Brasil
tem optado por soluções proprietárias ou solucoes
estrangeiras de outros países como Israel, Suíça e
África do Sul. No Brasil, temos ainda empresas nacionais com reconhecidas
competências em criptografia como é o caso do CEPESC - Centro
de Pesquisa de Segurança nas Comunicações e ACRON,
ambas situadas em Brasília e da SCOPUS em São Paulo.
Uma aplicação
freqüente do uso da criptografia nas empresas tem sido a segurança
para correio eletrônico. Neste caso, a criptografia preserva a privacidade
e integridade das informações que transitam via Internet
ou Intranet, além de certificar e garantir a validade e autenticidade
do conteúdo das mensagens, remetentes e destinatários.
Além de facilitar
a comunicação interna e integrar filiais, unidades e escritórios
distantes, o correio eletrônico tem sido cada vez mais utilizado
como ferramenta para gerenciamento de processos e relacionamento com clientes,
parceiros e fornecedores. Diversos sistemas estão sendo construídos
de forma integrada com o correio eletrônico e os usuários
são avisados sobre eventos ou transações através
de mensagens do correio eletrônico. (Na segurança, este recurso
é bastante interessante para se implementar auditoria "on-the-fly"
que informa sobre um determinado evento no momento que acontece).
Outra aplicação
bastante interessante para as empresas é a possibilidade de interligar
via Internet as unidades e escritórios distantes. No entanto, se
um usuário estiver conectado na mesma infra-estrutura de acesso
(seja rede interna ou Internet), pode com um simples programa obtido facilmente
na Internet, ter acesso a todos os dados que trafegam no meio.
Uma solução
simples e segura para este problema é a VPN - Virtual Private Network,
que utiliza encapsulamento e túneis de criptografia para trafegar
informações de forma segura através de meio público
(Internet).
Com a VPN, os dados são
criptografados antes de transitarem por canais inseguros e são apenas
decodificados quando chegam a seus destinos. Uma expansão da VPN
é o recurso de acesso remoto seguro que permite que um usuário
trabalhando em casa, em trânsito ou em viagem, possa acessar a rede
interna da empresa de forma segura através da Internet.
Possuímos na Módulo
a primeira VPN instalada no Brasil ligando os escritórios de São
Paulo, Rio de Janeiro, Brasília e Tampa, na Flórida. Na verdade,
se trata de uma Virtual Private Intranet pois estendemos a Intranet corporativa
situada na matriz no Rio de Janeiro de forma que possa ser acessada via
Internet pelas outras redes das filiais. Com isto, além do uso normal
para acesso servidores WWW da Intranet e transferência de arquivos
via FTP, temos utilizado recursos de IRC ("chats" internos) e I-phone para
troca de informações e conferencias internas com grande ganho
de produtividade.
Segurança nos
servidores
O uso de Internet / Intranet
exige ainda segurança nos servidores. Recentemente, um hacker invadiu
um servidor Internet de comércio eletrônico e roubou 100.000
números de cartões de crédito. Foi preso pelo FBI
quando tentava vendê-los por US$ 260.000 em dinheiro.
Além do roubo de
informações, uso e acesso indevido, outro problema sério
para a segurança dos servidores nas empresas é a "pichação
de sites", situação em que o site corporativo da empresa
é invadido pela Internet e tem seus arquivos alterados para imagens
pornográficas ou dados falsos, acarretando sérios problemas
na imagem ou reputação da empresa.
As empresas tem conectado
sua rede interna à Internet mas não gostariam de conectar
a Internet à rede interna. Para isto, torna-se necessário
o uso de firewalls que protegem o acesso através de um servidor
de controle no ponto único de entrada/saída dos dados.
O uso de firewall controla
os serviços e acessos permitidos, monitora o uso e tentativas de
violação e protege contra invasões externas embora
exija ainda avançados conhecimentos técnicos devido a sua
complexidade de uso e configuração.
Um serviço bastante
utilizado pelas empresas para avaliar a segurança de seus servidores
são os conhecidos "penetration tests" ou testes de invasão.
Este serviço busca normalmente identificar falhas ou "brechas" de
segurança nos servidores das empresas, informando os pontos de vulnerabilidade
e recomendando ações de melhoria ou correções
dos problemas.
Estes testes devem ser realizados
por empresas de confiança sendo fundamental o acompanhamento constante
de um responsável da empresa contratada.
Segurança na Rede
Interna Finalmente, a segurança
deve prever a proteção e controle da Rede Interna. O modelo
atual para segurança das redes tem assumido que o "inimigo" está
do lado de fora da empresa enquanto que dentro, todos são confiáveis.
Esta idéia tem feito que os desenvolvedores de sistemas e administradores
de rede utilizem uma estratégia simplista na Internet evitando qualquer
acesso externo e, por outro lado liberando o acesso irrestrito aos servidores
para usuários internos.
Sabemos que a maior parte
dos problemas ocorre em função de ameaças internas.
Segundo pesquisa recente da WarRoom Survey, 61% das organizações
sofreram ataques internos nos últimos 12 meses. Em 45% dos casos,
com perdas de aproximadamente US$ 200.000 chegando a US$ 1.000.000 em 15%
dos casos.
A solução
completa abrange:
· Política
de Segurança Corporativa com definição clara das diretrizes,
normas, padrões e procedimentos que devem ser seguidos por todos
os usuários;
· Programa de treinamento
e capacitação dos técnicos e usuários;
· Recursos e ferramentas
específicas para a segurança, e
· Monitoração
constante do "log" e trilhas de auditoria.
Conclusões
Os negócios e novos
mercados estão se direcionando cada vez mais para a Internet e Intranets.
Torna-se necessário o conhecimento e análise dos riscos e
vulnerabilidades a que estamos expostos, de forma que possamos definir
os mecanismos adequados para a segurança.
Apesar dos problemas, podemos
afirmar que o uso adequado da tecnologia de segurança e dos mecanismos
de proteção e controle na Internet e Intranet permitem realizar
operações comerciais em condições mais seguras
do que os meios de transações e comunicações
convencionais.
Retirado de http://www.modulo.com.br/noticia/a-opxris.htm |