TechNet Magazine > Home > Todas as edições > 2008 > Dezembro >  Security Watch: Revisitando as 10 leis imutávei...
Security Watch Revisitando as 10 leis imutáveis da segurança, parte 3
Jesper M. Johansson


Provavelmente, você conhece as "10 leis imutáveis da segurança". É um artigo sobre segurança que foi publicado há oito anos e continua importante e popular até hoje. No entanto, houve muitas mudanças nos últimos oito anos, por isso comecei a examinar essas leis e ver se elas ainda eram verdadeiras. Nas duas edições anteriores da coluna Security Watch, abordei a primeira das sete leis.
Até agora, elas parecem continuar valendo, apesar dos incríveis avanços em segurança e conectividade que ocorreram nesses anos. Embora algumas das leis possam ter uma interpretação um pouco diferente hoje em dia e talvez tenha havido certo abrandamento de duas delas, elas ainda são válidas como leis. Elas continuam muito úteis para formular uma estratégia de segurança de informações e, em um sistema comum de leis, esperamos que elas evoluam conosco.
Este mês, falarei sobre as últimas três leis e concluirei com algumas ideias sobre como o ambiente pode ter mudado e criado uma nova lacuna que as leis não preenchem mais. E se, por acaso, você não leu o artigo original, pode encontrá-lo na TechNet.
Lei 8: Ter um verificador de vírus ultrapassado dá quase na mesma que não ter nenhum.
De todas as leis, esta é a única que deixa a idade transparecer mais. Não que não haja mais vírus, muito pelo contrário. Atualmente, os fornecedores de antivírus alegam que adicionam centenas de milhares de ameaças por ano. E no último "Relatório Symantec Global de Ameaças à Segurança da Internet" publicado em abril de 2008, a Symantec anunciou que agora detecta mais de um milhão de ameaças diferentes.
A Lei 8 mostra a sua idade quando especifica um verificador de vírus. No final da década de 90, os vírus eram basicamente nossa única preocupação. Entretanto, foram-se os dias em que um vírus de macro do Microsoft Word era a pior coisa a se enfrentar. Hoje, lutamos contra vírus, worms, spyware, adware, coletores de pressionamentos de tecla, rootkits, sites de phishing, spam e bots. E, como se isso não bastasse para termos muito cuidado, também temos de nos preocupar com software antimalware falso.
Os vírus são uma tecnologia bastante singular comparados a todas as outras ameaças que temos de enfrentar hoje em dia. Então, será que realmente importa ter um software antivírus desatualizado se só o que ele faz é detectar vírus? Sem dúvida, praticamente não existe nenhum software antimalware disponível atualmente que só detecte vírus, mas a ênfase da lei aqui sobre o verificador de vírus é o que revela a sua idade avançada. Para ser minimamente útil, uma solução antimalware deve detectar muito mais do que apenas vírus.
Conforme observado na última parte de uma série de três do artigo "Senhas e cartões de crédito", a situação gerou um ecossistema de caixas de seleção em que os diversos fornecedores de software de segurança competem com base no número de caixas de seleção que conseguem preencher. Uma das formas de fazer isso é fornecer proteção contra todos os tipos de malware.
A maioria dos softwares antimalware está disponível apenas como pacotes que fazem muito mais do que proteger contra malware e incluem consoles para gerenciar todos os recursos. A Figura 1 mostra o console fornecido pelo Microsoft Windows Live OneCare, que inclui antivírus, antispyware e recursos de backup, rastreia o filtro de phishing interno do Internet Explorer e inclui um firewall separado que não se baseia no firewall interno do Windows (uma redundância comum em pacotes de segurança). Hoje, um software antivírus é, de fato, um software antimalware com alguns extras.
Figura 1 O console do Live OneCare é um tipo de pacote de segurança bastante comum hoje em dia (Clique na imagem para ampliá-la)
Isso porque nunca houve tanto malware como agora, e os marginais que os escrevem estão cada vez melhores na arte de disfarçá-los como software legítimo. Na verdade, agora eles são uma espécie híbrida de cavalo de Troia e malware.
Dificilmente, um usuário comum consegue diferenciar um software legítimo de um mal-intencionado. E muito software mal-intencionado é oferecido em sites legítimos ou sites que costumavam ser legítimos, com frequência, na forma de anúncios. Alguns inclusive executam suas ações danosas automaticamente, sem que haja nenhuma interação do usuário a não ser a de visitar o site.
O software antimalware pode ajudar a detectar um software mal-intencionado. A melhor abordagem para manter essa onda de criminalidade à parte é usar um software antimalware e práticas criteriosas de uso do computador. Embora há quem defenda que as práticas criteriosas já sejam suficientes, isso depende de um bom discernimento e do bom senso, atributos que, infelizmente, não são muito comuns.
Ou considere outro cenário: o uso do computador por crianças. Elas não possuem experiência relevante para a qual apelar; além disso, muitos pais não entendem de segurança do computador bem o suficiente para comunicar sua importância aos filhos. Ademais, é praticamente impossível supervisionar as crianças durante todos os minutos em que elas usam um computador.
Nessa situação, o software antimalware fornece pelo menos uma rede de segurança parcial — ele força os criminosos a continuarem melhorando suas práticas. E, embora isso possa causar um ciclo vicioso no qual o malware se torna cada vez melhor, claramente também mantém uma grande parte dele acuado.
O software antimalware pode pelo menos manter o malware mais básico fora do ecossistema, permitindo que profissionais de segurança se concentrem em ataques mais sofisticados. Se o software antimalware for removido inteiramente do ecossistema, é realmente provável que seríamos completamente infestados até mesmo por malware simples. O problema seria várias ordens de magnitude pior do que hoje.
No entanto, nada disso responde a pergunta que está em pauta, que é "a lei 8 ainda vale?". Obviamente, isso depende de interpretação. De uma perspectiva purista, a lei diz que antivírus desatualizado é apenas um pouco melhor que nenhum antivírus. No entanto, com o malware mudando de forma tão rápida, você poderia facilmente afirmar que o software antivírus desatualizado é praticamente inútil. Isso pode ser um pouco exagerado, mas não é uma afirmação totalmente absurda.
Uma maneira mais realista de enxergar a lei 8 é reinterpretá-la para o mundo moderno. Portanto, eu a reafirmaria como "Software antimalware deve ser usado e mantido atualizado". Se alguém adotar essa visão mais pragmática da lei, a lei 8 definitivamente se aplica. Afinal de contas, mesmo os oponentes mais ardentes do software antimalware não podem discutir com sucesso afirmando que deveríamos bani-lo totalmente do ecossistema da segurança.
Eu pessoalmente tendo a ter uma visão mais interpretativa das leis e argumentaria que a lei 8 ainda se aplica. No entanto, eu acrescentaria que, com o malware mudando cada vez mais rapidamente, é absolutamente fundamental manter o software antimalware atualizado.
Lei 9: O anonimato absoluto não é prático na vida real ou na Web.
Quando penso nessa lei, acho difícil não zombar do fato de como os nossos governos e grandes empresas se certificam de que tenhamos pouquíssimo anonimato. O governo dos Estados Unidos e a The TJX Companies juntos garantiram que informações pessoais de aproximadamente metade da população dos EUA caísse no portfólio do submundo criminoso. Embora eu fosse adorar imaginar que não existe algo como o anonimato, em toda praticabilidade, o anonimato não existe hoje (a menos que você pretenda se desconectar completamente, desistir das suas contas bancárias, mudar para uma ilha deserta e abandonar totalmente o radar).
Existe uma vasta quantidade de informações sobre todos nós que fornecemos deliberadamente ou que pode ser compilada apenas por uma interação conosco. Os sites de rede social garantiram coletivamente que a maioria dos adultos que usam a Internet, e várias crianças, possua uma riqueza de informações pessoais publicamente disponíveis. Muitas delas necessariamente não são informações que desejamos que outras pessoas acessem. Algumas delas são constrangedoras para nós ou para os outros. (Lembre que um possível empregador pode ver aquela sua foto denunciativa).
E existem informações que podem ser bastante prejudiciais. Números de telefone, endereços, informações financeiras e qualquer outro tipo de informação pessoal deve ser tratado como confidencial. Em um caso, um usuário apresentou uma excelente maneira de rastrear todos os sites da Internet que ele usava para fazer transações bancárias, gerenciar cartões de crédito, e assim por diante. Ele criou uma home page personalizada com todos os links de que precisava. Para facilitar que ele lembrasse todas as informações corretamente, ele também digitalizou todos os seus documentos importantes, incluindo um cheque com o número da sua conta bancária impresso, seus cartões de crédito (frente e verso), sua carteira de habilitação, seu passaporte e até mesmo seu cartão da previdência social.
Isso teria funcionado bem se ele tivesse colocado a página da Web em um local seguro. Infelizmente, sua home page pessoal, hospedada em seu provedor de serviços de Internet, não era privada. A URL era mostrada na sequência de caracteres do referenciador de todas as páginas que ele clicava depois da sua página. Seguir essa URL de volta revelava informações pessoais que valem milhares de dólares no mercado criminoso. Esse é um caso extremo, mas destaca o ponto de como é importante que você gerencie com cuidado as informações que permite disponibilizar online sobre você.
Embora os sites de rede social geralmente ofereçam opções de privacidade complexas, elas normalmente não ficam habilitadas por padrão. A Figura 2 mostra os controles de privacidade do Facebook, embora não esteja em suas configurações padrão. A questão é, ainda que você não possa esperar ter um anonimato absoluto, pode manter um certo limite de anonimato se for cuidadoso.
Figura 2 Configurações de privacidade no Facebook podem ser restritas se você alterar os padrões (Clique na imagem para ampliá-la)
A privacidade na Internet, como na vida real, é amplamente dependente de como você a gerencia. Não é possível evitar quando uma agência do governo ou uma empresa trata mal das suas informações pessoais, mas você pode trabalhar para atenuar o impacto de tal violação. E você pode evitar entregar muitas informações quando não é absolutamente necessário.
Um método muito útil de controlar suas informações pessoais é estabelecer um alerta de fraude com as principais centrais de relatório de crédito. Infelizmente, devido ao lobby persistente e bem-sucedido de centrais de crédito, elas podem tornar a obtenção desses alertas de fraude muito onerosa. Eles custam em qualquer lugar de 6 a 12 dólares por central, por um período de três meses, e normalmente devem ser renovados manualmente. Uma opção melhor é usar um serviço de terceiros, como o Debix (debix.com), e fazer com que ele estabeleça os alertas de fraude para você.
Se não precisar obter crédito, você pode definir um congelamento de crédito, impedindo que qualquer pessoa extraia seu relatório de crédito. No entanto, as centrais de crédito garantiram que os congelamentos de crédito não são legais na maioria dos estados e, em vários outros estados, eles são restritos apenas a pessoas que já tiveram suas informações pessoais roubadas. Os congelamentos de crédito também custam muito mais dinheiro e, frequentemente, precisam ser configurados por correio certificado. (Curiosamente, normalmente, eles podem ser retirados com uma simples chamada telefônica.)
Outra maneira de controlar suas informações pessoais é restringir quem a obtém. Não as entregue a organizações que não precisam dela. Atenha-se a organizações em que você confia e não seja condescendente com organizações que tenham mostrado uma negligência com relação à sua proteção no passado. Não há motivos para você criar uma conta e fornecer credenciais para obter informações básicas. Se o acesso ao manual de um produto exigir que você se registre em um site, não use o produto ou use informações falsas para se registrar. Se precisar de um endereço de email para fazer isso, use um serviço de email gratuito para configurar uma conta falsa temporária.
Tudo isso realmente serve como prova de que a lei 9 certamente ainda se aplica. Sua capacidade de manter as coisas privadas na Web, e na vida real, não melhorou nada recentemente; ela, na verdade, ficou bem pior. Desde quando as leis originais foram publicadas, praticamente tudo ficou online e a Internet agora é usada como o conduíte de uma quantidade tremenda de empresas que usa suas informações.
Portanto, agora é mais importante do que nunca controlar suas informações pessoais. A única modificação que eu poderia fazer na lei 9 seria reescrevê-la como "O anonimato absoluto é impossível na Web, mas você tem o controle de quanto perto do anônimo ficará".
Lei 10: A tecnologia não é uma panaceia.
A lei 10 abrange tudo. Seu objetivo é salientar que não existe nenhum botão azul grande do tipo proteja-me agora — ou pelo menos nenhum que funcione. A tecnologia sozinha é incapaz de aliviar nossas preocupações com a segurança. Isso é um problema sério porque uma grande parte do setor da segurança tenta fazer de tudo para convencer as pessoas de que a tecnologia, de fato, é uma panaceia. A mensagem recorrente é que tudo o que você precisa é a versão mais recente do conjunto de segurança correto e você poderá parar de se preocupar com todo o resto.
Não era exatamente isso que Scott Culp pretendia com a lei 10 quando ela foi originalmente escrita, mas como ocorre com todas as grandes leis, elas crescem e se desenvolvem com o tempo. A intenção original era salientar que a tecnologia em si não será perfeita e, mesmo se fosse, os invasores iriam para outro lugar. De volta a quando as leis foram escritas, o registro de segurança técnica estava longe de ser excelente. A Microsoft estava passando por um cerco e a lei 10 era, de algum modo, uma maneira de a Microsoft explicar seu registro de segurança.
A lei 10, no entanto, também era presciente de várias maneiras. A explicação inclui a afirmação de que, se você aumentar o custo e a dificuldade de atacar a tecnologia de segurança, pessoas mal-intencionadas responderão mudando seu foco para longe da tecnologia e em direção ao usuário.
E foi exatamente isso que ocorreu. A tecnologia é algo muito difícil de se dominar; as pessoas não. Então, os criminosos estão atacando pessoas com várias técnicas de engenharia social e phishing. Em um mundo em que a insegurança pode ser monetizada, essa é a progressão natural das coisas.
A lei 10 não apenas se aplica, como estava muito além do seu tempo — tanto que, embora a lei seja tão verdadeira hoje, a explicação parece meio desatualizada. Talvez a lei simplesmente tivesse uma conotação diferente quando foi escrita. Hoje, ela ainda se aplica, mas o significado mudou e a interpretação precisa crescer. Devemos olhar além da tecnologia e trabalhar na parte do processo da segurança e no lado da equação das pessoas. Para sermos bem-sucedidos, devemos descobrir como proteger essas partes do ecossistema.

E agora?
As leis provaram ser notavelmente flexíveis. Elas todas se aplicam há oito anos. Algumas, notavelmente a lei 10, parecem ter crescido com o tempo e poderiam muito facilmente ter sido escritas ontem. A última lei, por abranger todas as finalidades práticas, era visionária (ou, pelo menos, ficou sendo assim). Parece que ela previu que o novo ramo de segurança de software seria tão importante para um ecossistema saudável.
A tecnologia realmente não é uma panaceia. Apenas entendendo esse fato, as leis poderiam ter sido formuladas em primeiro lugar. Apenas levando em conta o fato de que a tecnologia é falível, uma pessoa pode apreciar totalmente todas as outras leis. Na verdade, se você examinar as leis de 1 a 9, em algum momento, todas elas falam de processo e segurança de software. Todas elas tratam essencialmente de configuração incorreta, um patch ausente, uma vulnerabilidade apresentada por uma pessoa ou alguma outra forma de tratamento incorreto do sistema ou dos dados que ele protege.
Quando comecei pela primeira vez a escrever esse artigo de três partes, tinha toda a intenção de acrescentar algumas leis minhas. Durante a análise das leis, no entanto, percebi que seria desnecessário. A lei 10 resume todas as outras e abrange tudo o que eu poderia ter adicionado. De fato, em vez de adicionar, eu simplesmente reescreveria a lei 10 como "A tecnologia não é uma panaceia e ir além dessa percepção incorreta é essencial à segurança".
Lembre-se de que essas leis surgem de uma época em que o ambiente de TI estava mudando de uma mentalidade do ano 2000 pra um mundo de especialistas em auditoria. A segurança agora alcançou toda a percepção do produto ou marca.
Por que isso acontece? Amplamente devido ao crescimento explosivo de empreendimentos criminosos. Os criminosos, vários deles trabalhando publicamente em países sem um sistema legal interessado em nos proteger, perceberam que poderiam monetizar a segurança negligente de computadores. Isso aconteceu no comércio de drogas, na máfia do antigo bloco oriental, em grupos terroristas, e assim por diante.
O crime de informática é agora orientado puramente por três fatores: ganância, ideologia e supremacia nacional. Para combater esses novos ataques, precisamos trabalhar na estrutura das leis imutáveis. Também devemos tomar decisões difíceis, mas deixarei essa discussão para uma coluna futura.

Jesper M. Johansson é arquiteto de segurança de entidade de uma empresa renomada da lista Fortune 200, além de ser editor colaborador da TechNet Magazine. Ele é Ph.D. em sistemas de informações sobre gerenciamento, tem mais de 20 anos de experiência em segurança e é MVP (Most Valuable Professional) da Microsoft em segurança corporativa. Seu livro mais recente é o Windows Server 2008 Security Resource Kit (Resource Kit de segurança do Windows Server 2008).

Page view tracker