Wagner Elias - Think Security First

Em Julho de 2007 a Google comprou a Postini. Se durante algum tempo os serviços estavam focados apenas em produtos do google, parece que eles estão ofertando serviços gerenciados de segurança baseado na sua estratégia de Clouding Computing. Eles lançaram os serviços da Postini ao consumidor final.

Os serviços vão de antivírus a gerenciamento de conteúdo e tem o valor de $ 36,00 ao ano.

Pronto, muitos vão achar que eu estou verdadeiramente louco. O que Sócrates tem haver com segurança da informação?

Eu acredito que o tiozinho não tenha nada haver, mas o seu método com certeza pode ser útil em muitas situações. Na minha humilde e questionadora opinião, não é possível responder a muitas das questões relacionadas a gestão de riscos com um checklist, ai que entra o barbudão. Sócrates utilizava um método para tirar as respostas de pessoas que achavam que entendiam algo, mas na verdade eram ignorantes no assunto.

O método socrático consistia em um dialogo onde ele ia fazendo perguntas simples, perguntas quais ele se mostrava estar concordando com as respostas dadas. Ao decorrer do diálogo ele ia fazendo perguntas mais complexas com base no entendimento que ele tinha das respostas dada anteriormente. Ao final do diálogo ele fazia a pessoa entrar em contradição e com argumentos dados por ele ela chegava a conclusão adequada do assunto proposto. Para a parte final Sócrates de o nome de maiêutica, ele fazia nascer as idéias. O nome é homenagem a profissão de sua mãe que era parteira.

Portanto, sempre que você se encontrar em situações onde alguem não tem uma visão clara de assuntos relacionados a gestão de riscos, use o método socrático para faze-la chegar a conclusão e conseguir atingir seus objetivos. Em entrevistas para entendimento de processos ou desenvolvimentos de planos e procedimentos funciona muito bem.

Mas cuidado, tenha pleno conhecimento do tema, como Sócrates tinha e não dê uma de Schopenhauer que quer ter razão a qualquer custo.

O roubo de informações confidenciais sobre as operações da Petrobras é um evento que pode trazer inúmeras lições sobre segurança da informação. A Policia Federal trabalha com inúmeras hipóteses, do simples roubo de equipamentos a espionagem industrial envolvendo a Petrobras e a Halliburton.

"PETROBRAS: Tinha reservas estimadas em 14,4 bilhões de barris, o que colocava o Brasil em 24º lugar no ranking das maiores reservas mundiais. Isso até as descobertas de Tupi - a partir da bacia de Santos. Supõe-se que o Brasil salte agora para a 8ª ou 9ª posição neste ranking.

A Petrobras é a quinta empresa do mundo entre as que têm grandes reservas e operam em Bolsas de Valores. Com as descobertas recentes deve saltar para o terceiro lugar.

O lucro da Petrobras em 2006 foi recorde: R$ 25,9 bilhões, um aumento de 9% em relação aos R$ 23,7 bilhões em 2005.

HALLIBURTON: é tida como a maior empresa de serviços em campos de petróleo mundo afora.

Com a Petrobras a Halliburton já assinou um contrato de US$ 2,5 bilhões, considerado, à época, o maior do mundo no setor.

Entre outros itens, o contrato previa a entrega de dois navios-plataforma para exploração de petróleo na Bacia de Campos.

Houve desentendimentos e o banzé foi bater na Comissão das Nações Unidas para Lei do Comércio Internacional (Uncitral), mas a questão foi resolvida e essa é outra conversa. É aqui relatada de passagem apenas para que se tenha uma dimensão da parceria e dos atores.

Certamente tudo caminha bem, uma vez que, em agosto passado, Petrobras e Halliburton fecharam novo contrato, este na ordem dos US$ 270 milhões."

Fonte: http://terramagazine.terra.com.br/interna/0,,OI2430297-EI6578,00.html

Lições:

1 - Como diria Marcus Ranum, segurança é transitiva. Toda a cadeia deve ser protegida;
2 - Incidentes podem acontecer por mais que todos os controles estejam implementados. Como responder a incidentes destas proporções?
3 - Segurança da Informação é mesmo coisa para ser tratado por tecnologia?

A coisa está ficando ótima para quem trabalha com Continuidade de Negócios. Calma, não estou falando que estamos ganhando rios de dinheiro ou que o mercado está bombando. Eu me refiro a quantidade de padrões que estão surgindo para embasar argumentos que muitas vezes ecoavam nos corredores sombrios das organizações e nada era feito.

O mercado está cheio de curioso, charlatão, marqueteiro, que diz conhecer Continuidade de Negócios, todos eles usam a famosa bomba de fumaça: Plano de Continuidade orientado a ISO 27001 e agora o mais novo hype, BS 25999.

Os mais informados sabem que nenhuma das duas lhe ajudará ou dará o caminho das pedras para desenvolver um processo de Continuidade de Negócios. A ISO 27001 apenas diz que você deve ter um plano, a BS 25999 é um sistema de gestão dos controles relacionados ao processo de Continuidade de Negócios.

Um profissional que conheça além de meia dúzia de Buzzword relacionados ao tema, agora tem dois padrões bem interessantes.

Série 28000 - Security management systems for the supply chain

Este padrão vem colaborar com os conceitos básicos de Continuidade de Negócios e segurança. Continuidade de Negócios deve gerenciar riscos com uma visão holística e segurança é transitiva. Do que adianta eu ter inúmeras soluções de alta-disponibilidade e contingência, se meu negócio pode parar se um fornecedor chave por algum motivo deixar de me fornecer?

ISO/PAS 22399 - Guideline for incident preparedness and operational continuity

Este padrão foi recebido com imensa alegria por mim. Sempre que eu tentei dizer que todo o processo de Continuidade de Negócios são controles de resposta a incidentes, achavam que eu era louco, que estava inventando moda.

Agora quem está dizendo é a ISO e não eu. Agora vou dar uma de louco novamente!

Todo profissional de segurança adora falar coisas como estas:

• Não existe segurança 100%
• Segurança é equilibrio

Se sabemos que, em algum momento um incidente vai acontecer, deve existir um equilibrio entre controles e procedimentos de resposta. Por que pouco se investe em Resposta?

Recentemente eu comentei sobre a necessidade de um padrão para gestão dos inúmeros sistemas de gestão disponíveis, devido ao crescente número de sistemas de gestão lançados.

Na minha atuação eu consigo rapidamente listar três sistemas:

1 - ISO 27000 (Sistema de Gestão de Segurança da Informação);
2 - BS 25999 (Sistema de Gestão de Continuidade de Negócios);
3 - ISO 28000 (Sistema de Gestão de Segurança na Cadeia de Suprimentos).

Uma característica bem interessante mais pouco divulgada é que, estes sistemas são padronizados de acordo com seis requerimentos comuns de outro padrão, o ISO Guide 72 (a standard for writing management system standards) de 2001.

Os sistemas de gestão geralmente são estruturados da seguinte forma:

1 - Política;
2 - Estrutura Organizacional e responsabilidades;
3 - Objetivos;
4 - Definições de Processos;
5 - Estatuário 3 Requerimentos Regulatórios Legais;
6 - Competência;
7 - Treinamento;
8 - Procedimentos;
9 - Controle Operacional;
10 - Monitoramento e Checagem;
11 - Auditoria e Revisão;
12 - Melhoria.

Sendo que, existe seis requerimentos comuns entre os padrões baseados na ISO Guide 72:

1 - Política;
2 - Planejamento;
3 - Implementação e Operação;
4 - Performance da Auditoria;
5 - Melhorias;
6 - Revisão Gerencial;

Como estes sistemas são padronizados é possível adotar um sistema unificado de gestão. O padrão para gestão unificada é o PAS 99 (Publicly Available Specification).

O que é o PAS 99?

O PAS 99 é uma estrutura de gerenciamento integrado de sistemas de gestão publicada em Agosto de 2006 pela BSI (British Standart Institute).

De uma forma bem simples e direta, podemos dizer que este sistema tem como objetivo evitar que exista vários requerimentos que são comuns entre sistemas de gestão replicados e tratados de forma isolada nas organizações que adotem vários sistemas de gestão.

A prática de análise de vulnerabilidade e/ou pentest em ambientes tecnológicos está longe de ser bem amparada por padrões e metodologias. Existe muito conteúdo disponível mas, no geral os profissionais acabam desenvolvendo um framework próprio com base em documentos como: OWASP Testing Guide; OSSTMM; ISSAF e vários outros documentos disponíveis na internet. Isso profissionais capacitados e com boa experiência, pois, a grande maioria executa como bem entende e sem um método estruturado.

A notícia boa é que o NIST publicou o Technical Guide to Security Testing. O documento está bem estruturado e utilizando todos os documentos citados como referência.

O documento trata desde, fases até ferramentas e cuidados que devem ser tomados por profissionais que desejam realizar testes de segurança em ambientes tecnológicos.

A estrutura do documento é a seguinte:

1 - Introdução

2 - Information Security Testing Overview

3 - Review Techniques

4 - Target Identification and Analysis Techniques

5 - Target Vulnerability Validation Techniques

6 - Information Security Test Planning

7 - Security Testing Execution

8 - Post-Testing Activities

Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.

O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.

Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.

A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.

A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possuí um centro de segurança em SCADA no Sandia Labs.

O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.

Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.

A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.

Dentro do volume criptografado eu criei as seguintes pastas:

• Projetos
• Desenvolvimento
• Comercial
• Diversos

Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:

• Projetos
• - Projeto x
• - Projeto y

Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:

• Desenvolvimento
• - Projeto x
• - Projeto y

Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.

Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.

Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!

Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.

A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).

Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.

Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.

A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.

Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.

Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.

A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.

Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.

National Strategy for Homeland Security