Sua empresa está segura? Mesmo? - parte 3

Por Cesar Brod

Data de Publicação: 10 de Dezembro de 2013

Nos artigos anteriores dessa série falei sobre a necessidade de se tratar a segurança como um hábito, não como uma paranoia, e do envolvimento de todos os colaboradores da empresa, tornando-os cúmplices e parceiros em todos os processos e atitudes que envolvam questões de segurança, privacidade e sigilo de informações.

O "efeito Snowden" trouxe à tona uma conversa, que parecia estar latente, sobre um assunto que não foi novidade alguma para aqueles que já trabalhavam há mais tempo com segurança da informação. Estamos sendo observados! Governos, em conluio com grandes empresas de tecnologia, colocam portas de acesso secretas em nossos computadores e as abrem a seu bel prazer, vasculham nossos arquivos e estão atentos a nosso comportamento.

Ora, quem já assistiu a uma boa palestra ou participou de um curso sobre ataques cibernéticos já viu o que é possível fazer em poucas horas: de tomar o controle de uma máquina de um usuário incauto a abrir senhas previsíveis que trafegam na rede sem fio. Faça a devida regra de três e imagine o que governos e grandes empresas podem fazer caso desejem saber quais os livros que você lê, quais os filmes que você assiste com a sua namorada e tudo o mais.

Há aquele ditado que diz que a resistência de uma corrente é definida pelo seu elo mais fraco. Não há nada mais verdadeiro em termos de segurança da informação. Ao se definir uma política de segurança é necessário, primeiro, definir o que deve ser tratado como segredo. Acredite-me: ao final de uma discussão específica para o tratamento desse assunto descobre-se que muito pouca coisa é segredo e, assim, fica muito mais fácil proteger aquilo que, efetivamente, é.

Uma coisa com a qual devemos ter muito cuidado, por exemplo, é o número de nosso CPF associado à dados bancários. Esses dados, em conjunto com outras observações que podem ser obtidas de forma relativamente fácil, entregues voluntariamente nas redes sociais (como a data de nascimento, o nome do pai, da mãe, etc) são perfeitas para aqueles que querem comprar algo no seu nome. Faça um exercício simples para verificar o que está disponível através de uma simples busca no Google. Digite exatamente o seguinte na caixa de pesquisa:

filetype:xls site:gov.br inurl:intranet NOME "CPF:" MAIL BANCO João Maria

Em filetype:xls instruímos ao Google que nos retorne apenas planilhas de cálculo no formato Excel, bastante usadas no armazenamento de informações do tipo que estamos procurando. Restringimos a busca apenas a sites do governo brasileiro com a chave site:gov.br e fazemos uma restrição ainda maior, pedindo ao Google que busque apenas naquelas URLs (o endereço da página web) que contenham a palavra intranet, usando a chave inurl:intranet. Usamos os termos NOME "CPF:" MAIL BANCO pois estes são títulos de cabeçalhos comuns em planilhas (CPF está entre aspas e com dois pontos para evitar, por exemplo, que siglas como CPFL sejam incluídas no resultado da busca). Por fim, usamos dois nomes brasileiros comuns, João e Maria, pois é muito provável que eles apareçam em várias listagens. Será que os arquivos que você obtém como resultado dessa pesquisa, localizados dentro de intranets de instituições, deveriam mesmo ser localizáveis através de um popular mecanismo de busca? Será que as pessoas que aparecem nessas listagens autorizaram a publicação dessas informações? Faça algumas adequações nas palavras e chaves de pesquisa utilizadas para ver se há alguma informação pública sobre você mesmo.

A rigor, não há motivo pelo qual a intranet de uma empresa ou instituição seja indexada por um mecanismo externo de busca. Para isso, basta acrescentar uma única linha a um arquivo que fica visível aos buscadores, na raiz do servidor web, chamado robots.txt. Algo do tipo:

Disallow: /pasta/

Onde pasta é o nome da pasta que não será indexada externamente.

A intenção destes artigos não é ficar dando receitas técnicas, mas sugerir alguns pontos de discussão sobre a segurança empresarial. Uma reação que tenho notado ao já mencionado "efeito Snowden" manifesta-se em frases do tipo "não vou hospedar nada em empresas americanas!" - como se isso fosse, de alguma forma, eficaz.

Você pode muito bem usar o Gmail e outros serviços criptografando, de forma bastante segura, a sua mensagem antes que ela saia pelo cabo da ethernet (ou através das ondas de rádio de sua interface wireless) de sua própria máquina. Procure saber mais, por exemplo, sobre a extensão MyMail-Crypt para o Gmail. Você pode usar o ótimo OwnCloudpara manter seus documentos no Google Drive sem que o Google ou o governo americano (ou de qualquer outro país) tenham acesso a eles. As duas ferramentas descritas neste parágrafo podem ser implementadas de forma a serem facilmente acessíveis pelos usuários, com o pleno conhecimento deles para que sejam usadas sempre que necessário.

Não acredito que cópias de segurança devem ser muito automatizadas. Um bom arquivo de backup só é bom se puder ser restaurado quando necessário e, para saber se ele pode mesmo, não há nada que substitua um bom teste feito por humanos. Da mesma forma, não acredito que a segurança da informação deva ser generalizada. Tornar hábito a criptografia de todas as mensagens e arquivos é banalizar o processo, eliminando a consciência sobre o que deve ser realmente confidencial e privado e o que pode ser público. Banalizações assim são as que levam arquivos supostamente protegidos a serem abertos por qualquer pessoa porque palavras-chave foram armazenadas em planilhas armazenadas nas intranets acessíveis por mecanismos de busca.

Sua empresa está segura? Mesmo? - O treinamento!

A repercussão das conversas que motivam essa série de artigos levou a Blackdoor Security a desenvolver um programa rápido de treinamento, com quatro horas, divididas em dois dias, oferecido na forma de EAD a um valor promocional, especialmente para divulgar esse formato de capacitação até então inédito para a empresa. Espere muita "entrega de ouro" por parte dos ministrantes, Cesar Brod, Edson Borelli e Breno Tamburi. Mais informações aqui!