quinta-feira, 16 de julho de 2020

Segurança e negócios na Internet


Imagem de Werner Moser por Pixabay

Então, você teve uma boa ideia e quer criar um negócio na Internet... Maravilhoso, certo? Poucos insumos, negócios virtuais, clientes reais. Uma combinação para o sucesso! Mas há riscos que você deve atentar e que podem falir sua startup em menos de 1 hora.
#internet #business #ti




Anatomia de um "Internet Business"

Você tem algum tipo de serviço ou conteúdo que deseja oferecer as pessoas, que poderão consumi-lo utilizando computadores ou dispositivos móveis. Pode ser baseado em bens reais, como e-commerce, ou virtuais, como venda de conteúdo. Na verdade, independentemente do que você esteja vendendo, há algumas funções de negócio que você deve implementar:


Temos o Cadastro, que permite às pessoas se registrarem e armazena seus dados, a gestão de Produtos, que representa o seu catálogo ou estoque, o controle de Pedidos, que é "porta de entrada" de dinheiro, e a gestão de Pagamentos.

Hoje em dia, seus clientes utilizarão smartphones, mais do que computadores, e em breve poderão usar dispositivos #IoT, como: geladeiras inteligentes, por exemplo.

Ok, tenho certeza que você sabe disso. Mas o que é importante é o fato de que todas estas funções de negócio possuem integração com a Internet. E há vários riscos envolvidos, só que a maioria dos empreendedores não pensa muito sobre eles.

Eu vou falar sobre termos de tecnologia da informação e segurança digital relacionados com estes riscos, porém sob o ponto de vista de negócio e não de tecnologia. É um artigo para empreendedores e não para profissionais de informática:

  • Autenticidade: Risco de forjarem identidades e acessarem recursos e serviços da sua empresa como se fossem usuários legítimos;
  • Confidencialidade: Risco de usarem informações privilegiadas para prejudicar a sua empresa;
  • Confiabilidade: Risco de comprometerem suas operações, levando os clientes a deixarem de fazer negócios com você;
  • Disponibilidade: Risco de prejudicarem sua operação tornando seus serviços indisponíveis ou difíceis de acessar;
  • Responsabilização: Risco de praticarem atos ilegais e prejudicarem pessoas em nome da sua empresa;
Estes riscos são reais em qualquer tipo de empresa, mas potencializados em negócios digitais na Internet. 

Vulnerabilidades e superfície de ataque

Sabe o que é "superfície de ataque"? Basicamente, são os pontos em que sua empresa está exposta a um ataque externo. Por exemplo:

  • Quantidade de URLs e portas abertas para a Internet;
  • Quantidade de funções expostas como Web Services;
  • Quantidade de servidores e sites diferentes.
Quanto mais pontos você expõe, maior a sua "superfície de ataque" e mais exposta sua empresa está. 

O problema é que, frequentemente, as empresas esquecem da "superfície de ataque interna", ou seja, a quantidade de pontos abertos internamente, e que podem ser explorados de dentro da rede corporativa. 

Você nem imagina que as coisas mais banais possam ser "superfícies de ataque". Em um caso que eu investiguei, o atacante utilizou uma lista de aniversariantes que estava aberta na Rede interna, ou seja, sem exigir autenticação para acesso. E por que teria que exigir autenticação? Afinal, estava na rede interna, portanto qualquer um poderia acessar, e, além do mais, qual é o mal que uma lista de aniversariantes pode causar? 

Na referida lista, havia o nome da pessoa, a lotação, o telefone, o email e, obviamente, a data de aniversário. Foi o suficiente para extrair uma lista de potenciais contas que poderiam ser comprometidas. Bastou copiar para um pendrive. 

Tudo o que você coloca em uma rede, seja interna ou externa, é uma vulnerabilidade e deve ser protegido. Muitas pessoas imaginam que vulnerabilidade seja apenas colocar algo que não necessite de senha para acesso, mas não. Veja alguns exemplos de vulnerabilidades: 
  • Sistema operacional ou software desatualizado. Atualizar o software básico de todos os computadores é uma questão importantíssima, assim como planejar a obsolescência e substituição. Seja do software básico ou do software aplicativo;
  • Barreiras de segurança insuficientes um inadequadas. Tem gente que pensa que basta colocar um firewall e, por milagre, as vulnerabilidades são extintas. Não basta um firewall, existem outras medidas de segurança que precisam ser adotadas e todas devem ser mantidas e monitoradas em busca de falhas;
  • Aplicação vulnerável. Eu diria que a maioria dos ataques ocorre por falhas nos aplicativos que você desenvolve ou adquire. Pode ser na plataforma de software que o suporta ou no próprio código em si. Acredite: ataques de SQL Injection ocorrem até hoje!
  • Dados desprotegidos. O ideal é que, independentemente da rede ser interna ou externa, os dados sempre trafeguem em canais encriptados. Sempre! Mas isto não basta se eles são decriptados na ponta, ou seja, em repouso. Além da criptografia do canal é preciso encriptar os dados e mante-los desta forma mesmo quando estão no disco. Outro problema sério são os dispositivos de aceleração, como Caches, que também devem manter os dados encriptados.
Prestar atenção a estas coisas ajuda a diminuir a "superfície de ataque" e, consequentemente, o seu risco. 

E mesmo diminuindo as "superfícies de ataque", você ainda estará vulnerável a ataques de "Negação de Serviço" como DOS ou DDOS (ataque de negação de serviço distribuído).

Em um ataque de negação de serviço, o hacker utiliza máquinas infectadas com vírus e worms, para gerar tráfego de rede malicioso contra o ponto de presença da sua empresa na Internet. Com isso, ele pode tirar seu site do ar, negando-lhe o serviço. 

Infelizmente, não há como evitar ataques DOS ou DDOS apenas com gerência de segurança, mas dá para tomar algumas medidas preventivas, como contratar um serviço de proteção. Os maiores provedores de nuvem oferecem soluções de proteção contra negação de serviço que podem mitigar o risco e resolver rapidamente este tipo de problema.  

Firewall não protege contra ataques de Negação de Serviço! É preciso outro nível de proteção. 

O inimigo é interno

Kevin Mitnick, um famoso hacker que foi preso e hoje é consultor de segurança, diz que a engenharia social ainda é a grande ferramenta para promover um ataque bem sucedido. E isso piorou muito com o advento das redes sociais. Saber onde uma pessoa trabalha, qual o seu cargo, quais seus colegas, seu aniversário e outros dados, é simples e pode ser feito em menos de 15 minutos. 

Sabendo estas informações, é possível "fuçar" um pouco mais e verificar quando a pessoa estará de férias, qual o horário que entra e que sai do trabalho, e planejar para usar sua conta, pegar seu crachá ou mesmo entrar em seu computador corporativo. 

Pessoal de TI é muito vulnerável a esse tipo de prática, pois são extremamente auto-confiantes, além de geralmente ter acesso privilegiado aos recursos computacionais da Empresa. 

Muitas vezes, os próprios funcionários "abrem a porteira" através de atitudes inocentes e bem intencionadas. Em um caso, um funcionário "emprestou" sua senha para outro que havia tido sua conta bloqueada por esquecer a própria senha. Para não deixar o colega na mão, repassou sua senha a ele. Mesmo que tenha trocado a senha posteriormente, deixou outra pessoa usar os recursos em seu nome. Eis algumas atitudes comuns nas empresas, especialmente entre o pessoal de TI: 
  • Compartilhar uma conta de Administrador com várias pessoas (root);
  • Emprestar sua conta ou pedir emprestado a de um colega;
  • Deixar arquivos e código-fonte desprotegidos, confiando na segurança da rede interna;
  • Criar conexões remotas para suas estações de trabalho, de modo a poder trabalhar de casa;
  • Dar maiores privilégios às contas do pessoal de TI;
  • Compartilhar exemplos de código da Empresa ou dar informações sobre seus sistemas internos;
Como se proteger disso? É possível? Depende... Eu acredito que se proteger totalmente é impraticável, mas é possível aumentar  o rigor da segurança interna através de políticas de segurança. 

Algumas políticas importantes a serem adotadas: 
  1. Conscientizar os funcionários sobre as práticas de segurança. Não só uma vez, mas sempre!
  2. Buscar meios legais para obrigar os funcionários a seguirem as regras;
  3. Implementar autenticação multi-fator, com a senha e outro meio (impressão digital, token ou reconhecimento facial). Individualizar os acessos e dificultar o compartilhamento de contas e senhas;
  4. Encriptar tudo! Tudo na rede interna: O tráfego, os dados em repouso (arquivos ou bancos de dados) e em Caches;
  5. Implementar mecanismos de rastreabilidade nos acessos;
  6. Delegar permissões a grupos de usuários e não às pessoas individualmente;
  7. Delegar o menor privilégio possível a cada grupo. Para ter o privilégio, é necessário ter a necessidade;
  8. Empregar uma politica de senhas difíceis e com trocas frequentes, rotacionando também as senhas de criptografia dos dados;
  9. Implementar barreiras automatizadas de segurança, com gravação de imagens em áreas sensíveis (datacenters);
  10. Implantar um sistema de análise de comportamento UEBA - User and Entity Behavior Analytics;
Com a implantação da LGPD - Lei Geral de Proteção de Dados, sua empresa poderá sofrer sanções legais devido a ataques de hackers. Uma maneira de se proteger é fazer auditorias de segurança em suas instalações e recursos de TI, e, certamente, essas políticas de segurança listadas acima serão verificadas. 

Posturas importantes para se precaver

Mesmo adotando medidas de segurança, sua empresa não está isenta de sofrer ataques. Veja só o que aconteceu com o Twitter esta semana (15 de Julho de 2020). É preciso adotar posturas importantes com relação ao seu negócio e à segurança: 

Não assuma, verifique, comprove!
Não assuma que sua rede interna é segura, ou que sua aplicação está protegida. Meça, monitore e comprove na operação diária. 

Nada é invulnerável
Certa vez ouvi em uma palestra um consultor afirma: "Com este firewall é impossível penetrarem em seu servidor". Uma semana depois, verifiquei que haviam vulnerabilidades no referido firewall, que ainda estavam sem solução. Há vários sites que mostram essa informação em detalhes. Nada, mas nada mesmo é invulnerável! É uma questão de tempo e dinheiro. 

Prevenir é melhor do que remediar
Adote políticas de segurança, monitore e continue a tratar a segurança como um fator crítico de sucesso do seu negócio. Contrate auditorias de segurança e siga as recomendações. Contrate soluções de proteção contra DDOS e de UEBA. Acredite: Isso tudo sairá mais barato do que um processo judicial provocado por fraude.


Cleuton Sampaio, M.Sc.








Nenhum comentário:

Postar um comentário