Security WatchSenhas e cartões de crédito, Parte 3

Jesper M. Johansson

Conteúdo

Sobrecarregando tecnologias de atualização
Mensagens inconsistentes sobre segurança
É tudo uma questão de caixas de seleção
Um alerta

Nas duas últimas edições da TechNet Magazine, discutimos como os profissionais de segurança e a indústria de TI em geral confundem os consumidores e, na verdade, atrapalham os esforços de segurança. Nas duas primeiras partes desta série, me concentrei em problemas como, por exemplo, soluções que fornecem informações equivocadas aos clientes, sobrecarregam o

fluxo de trabalho de logon e ensinam maus comportamentos. Até aqui, mostrei a você muitos exemplos diferentes de como o setor, diante da vontade de aparentar preocupação com a segurança do cliente, acabou piorando a situação mais do que precisava. Nesta terceira e última parte, mostrarei como algumas das tecnologias mais importantes disponíveis aos clientes não estão correspondendo às expectativas que esses clientes devem ter em relação a essas soluções. Isso tudo leva ao meu alerta.

Sobrecarregando tecnologias de atualização

Uma das principais filosofias – um requisito inquestionável, na verdade – para se manter eletronicamente seguro é manter todo o software atualizado. Praticamente todos os grandes fornecedores de software agora contam com alguma forma de mecanismo semi-automático para manter pelo menos alguns dos softwares atualizados. No entanto, isso não é tão simples assim.

Primeiro, quanto mais softwares você tem, mais softwares terá de atualizar. E quanto mais fornecedores de software houver, mais mecanismos de atualização você terá de usar. Trata-se de um fator de confusão.

Por exemplo, se mantiver os padrões, o Internet Explorer® se atualizará sozinho. Mas o Internet Explorer é, na realidade, apenas um contêiner das demais tecnologias. O impacto potencial disso foi demonstrado durante a conferência CanSecWest em 2008, quando Shane Macaulay usou uma combinação de vulnerabilidades em Java e Adobe Flash para atacar um Mac. (Havia poucos detalhes no momento da redação desta coluna porque a falha ainda não tinha sido divulgada.) Mas o que digo é que nenhuma dessas tecnologias é um componente interno e, ainda assim, ambas estão disponíveis na maioria dos computadores porque são muito usadas na Internet. É um certo desafio atualizar ambas – cada uma conta com um mecanismo de atualização automático, ainda que nenhum desses mecanismos sejam ativados com muita freqüência.

Além disso, a maioria dos usuários simplesmente não percebe que essas tecnologias estão lá e que precisam ser atualizadas. Em muitos casos, elas foram fornecidas na imagem do OEM no computador, que, para o cliente, é indissociável do sistema operacional. Até onde o usuário final sabe, quando o Windows® Update diz não haver atualizações é porque não há atualizações.

O segundo problema é que os mecanismos de atualização costumam ser mais complicados do que o necessário. Qualquer mecanismo de atualização que não tenha um modo totalmente automático tem poucas chances de ser amplamente usado porque os usuários costumam desconhecer que precisam executar a ferramenta de atualização. Além disso, na maioria dos casos, o usuário deve ser um administrador para instalar as atualizações. E, na pior das hipóteses, o usuário deve ser um administrador para que seja notificado da disponibilidade de uma atualização.

Por fim, é cada vez mais comum que os fornecedores usem tecnologias de atualização de software para implantar um software completamente não-relacionado que o usuário não instalou – barras de ferramentas etc. As tecnologias de atualização de software deixaram de ser projetadas especificamente para implantar atualizações de software e passaram a ser usadas como uma forma de distribuir software adicional.

Dois casos muito claros disso são o serviço Microsoft® Windows Update (mostrado na Figura 1) e o Apple Software Update (mostrado na Figura 2). Tanto a Apple quanto a Microsoft optaram por usar os mecanismos de atualização não apenas para atualizar o software, mas também para implantar um novo software que o usuário não instalou originalmente.

Figura 1 Usando o Windows Update para implantar o Silverlight (Clique na imagem para ampliá-la)

Figura 2 Usando o Apple Software para distribuir o Safari (Clique na imagem para ampliá-la)

No caso da Apple, são oferecidos a você o iTunes e o Safari, mesmo que não tenha o QuickTime instalado. Curiosamente, eles também estão todos selecionados, por padrão.

No caso do Windows Update, o software mais recente implantado usando o serviço de atualização é o Silverlight™. A Microsoft já usou essa técnica para distribuir novo software. A seu favor, pelo menos a Microsoft não marcou a caixa de seleção para instalar o novo software por padrão.

Essa abordagem de distribuição de um novo software por meio de um mecanismo de atualização causa dois problemas para os usuários. Primeiro, muitos acabarão tendo mais software no computador do que quando começaram a usá-lo. Como você sabe, todo software, de qualquer proporção, tem bugs, e alguns desses bugs podem resultar em vulnerabilidades de segurança em potencial. E algumas dessas vulnerabilidades acabarão sendo usadas em alguma forma de ataque. Dessa forma, alguns usuários serão atacados por meio do software do qual não precisam ou sequer usam, implantado no computador por meio de um mecanismo de atualização de software.

Outro efeito é que os usuários podem ter a idéia errada a respeito da importância dos mecanismos de atualização de software. Caso achem que os mecanismos de atualização de software estejam sendo usados para implantar novo software, e não novas atualizações, os usuários podem considerar os mecanismos de atualização um incômodo e deixar de usá-los. Apenas imagine como um usuário deva se sentir depois de ser atacado por meio de uma vulnerabilidade proveniente de um programa que ele jamais usou, mas recebeu por meio de um mecanismo de atualização.

Existem algumas coisas mais perigosas para a integridade e a segurança do ecossistema tecnológico do que usuários que perdem a confiança nas tecnologias que devem mantê-los seguros. Depois que os usuários perderem essa confiança, essas tecnologias começarão a ser rejeitadas e acabarão em desuso. Se as tecnologias críticas à proteção, assim como são as tecnologias de atualização, caírem em desgraça, todo o ecossistema tecnológico estará em risco. É para proteger esse ecossistema que a Microsoft distribui atualizações de segurança mesmo para computadores que estejam executando software reconhecidamente pirata.

Por outro lado, respeito totalmente a interface de atualização limpa e objetiva do Mozilla Firefox, mostrada na Figura 3. Certamente espero que a Mozilla continue evitando a tentação de distribuir software adicional por meio da ferramenta de atualização de software.

Figura 3 A interface de atualização de software do Firefox é uma das mais limpas do mercado (Clique na imagem para ampliá-la)

Mensagens inconsistentes sobre a segurança

Seria legal se o setor, na verdade, definisse uma mesma mensagem para os clientes. Embora a concorrência no setor seja essencial, os clientes precisam saber o que a segurança deve significar para eles. Infelizmente, eles não podem fazer isso caso o setor envie mensagens conflitantes. Francamente, pediria que as empresas fossem consistentes em todas as suas mensagens.

Embora o setor provavelmente jamais vá definir uma mensagem em comum dessas, existe pelo menos a necessidade de haver consistência e honestidade nas mensagens. Dada a importância crítica na garantia de que os clientes continuem confiando nas tecnologias de segurança, o setor precisa fazer melhor como um todo.

Da mesma forma, também precisamos questionar aquilo que realmente agrega valor hoje em dia. Por exemplo, não acho que um software antivírus seja minimamente efetivo ou até mesmo essencial atualmente como o setor pode fazê-lo pensar. Considere o computador que o meu filho de sete anos usa e o computador na minha cozinha. Ambos têm um software antivírus instalado e, há três anos, desde que foram instalados, em nenhum houve sequer um alarme a respeito de algo. Agora, não estou dizendo que devemos abandonar o software antivírus – a esta altura, trata-se de um componente básico do ecossistema tecnológico. Obviamente, se removêssemos subitamente todos os antivírus, os invasores usufruiriam rapidamente disso e começaríamos a ver mais infecções.

O ponto aqui é que o setor precisa pensar em quais recursos são realmente necessários aos usuários nos produtos de segurança, qual é a eficiência desses recursos e como as empresas podem comunicar essas necessidades e valores aos clientes. Da forma como está, atualmente os usuários recebem muito mais mensagens conflitantes, exageradas e normalmente irreais sobre a segurança.

É tudo uma questão de caixas de seleção

Como exemplo, para o setor de software de segurança tudo é uma questão de pacote de aplicativos. Atualmente, o software de segurança está praticamente distribuído com exclusividade como pacotes de recursos aparentemente não-relacionados. E praticamente não há informações sobre quais desses recursos os usuários, de fato, precisam.

Isso parece resultar em uma corrida para saber quem marca mais caixas de seleção. Embora proporcionem uma boa forma de comparação dos produtos, as listas de verificação também dão margem a recursos que não são necessários, até mesmo indesejáveis ou que sequer fazem sentido. As figuras de 4 a 7 mostram quatro listas diferentes de marcas de seleção de quatro fornecedores de software de segurança diferentes. É seguro pressupor que o produto com 17 marcas de seleção seja superior àquele com apenas 10?

Na verdade, acho esses valores muito divertidos. Na Figura 4, há uma marca de seleção no produto por ser de uma versão nova. E o produto na Figura 5 tem uma marca de seleção porque ele, de acordo com o que diz a empresa, "interrompe ataques de sites perigosos". O produto na Figura 6 tem pontos extras porque "protege os filhos online". É claro que ninguém gostaria de ter um produto que deixasse de proteger as crianças. O vencedor, no entanto, recebe o prêmio de criatividade por incluir recursos como, por exemplo, limpeza do Registro e desfragmentação do disco rígido em um conjunto de aplicativos de segurança. O primeiro é raramente necessário e o segundo já é interno do sistema operacional. Na verdade, o sistema operacional Windows OS inclui 15 das 17 marcas de seleção mostradas na Figura 7.

Figura 4 Este produto top de linha tem apenas 10 marcas de seleção (Clique na imagem para ampliá-la)

Figura 5 Este produto com 11 marcas de seleção deve ser melhor (Clique na imagem para ampliá-la)

Figura 6 Calma, este tem 12 marcas de seleção (Clique na imagem para ampliá-la)

Figura 7 Mas este produto com 17 marcas de seleção deve ser a melhor solução, certo? (Clique na imagem para ampliá-la)

Existem algumas tendências perturbadoras aqui. Esses produtos não apenas estão duplicando a funcionalidade já incluída no sistema operacional (ao mesmo tempo em que deixam de mencionar esse fato na literatura de marketing), mas também reclamando coisas absolutamente falsas. Por exemplo, nenhum software de segurança do mundo é capaz de interromper ataques de lugar algum – eles só podem ajudar a impedi-los. Nenhum produto também pode, de fato, ocultar a sua presença dos invasores.

O problema é que os negócios da segurança de software têm se apoiado há muito tempo na proteção dos usuários contra vulnerabilidades possibilitadas por produtos criados por outros fornecedores. Mas esses fornecedores estão melhorando constantemente a proteção de seus clientes e, dessa forma, o setor de software de segurança está vendo seu modelo de negócios ameaçado. Mas o setor de software de segurança certamente tem muito a oferecer, à medida que surgem novos riscos, mas os fornecedores precisam ajudar os clientes a gerenciar riscos, e não apenas proteger contra ameaças que já deixaram de ser ameaças.

Um alerta

Se há algo que eu gostaria que os leitores aproveitassem desta série em três partes é que nós, como setor, precisamos nos ajustar a nossos usuários e clientes. Precisamos explicar os riscos e como os usuários podem resolvê-los. E, por fim, precisamos começar a equipar as pessoas para que elas se protejam.

A minha maior preocupação com todas essas "soluções" é que existe uma séria possibilidade de que elas acabem diminuindo a segurança a longo prazo. Se usuários e até mesmo gerentes de TI realmente acreditarem que essas soluções resolverão riscos de segurança reais, especialmente todos aqueles que reclamam resolver, poderemos perder a oportunidade de ensinar as pessoas a se proteger verdadeiramente.

Tome os sistemas de autenticação por senha como exemplo. Se os usuários acreditarem que os complementos fracos para sistemas de autenticação com base em senha que abordei na primeira parte desta série estão realmente os protegendo, eles poderão relaxar ainda mais e até mesmo usar senhas mais fracas. Na pior das hipóteses que realcei nesta série, a tecnologia efetivamente força o usuário a usar uma segurança mais fraca do que usaria se a nova tecnologia não fosse implementada. Isso significa que, quando os usuários mal-intencionados descobrirem como superar esses sistemas, o que não costuma ser difícil, estaremos em uma situação ainda pior do que estamos agora. Isso poderia resultar em um problema de confiança significativo, o que faz com que as pessoas deixem de lado soluções com valor real.

Precisamos agir agora para proteger o ecossistema tecnológico que sustenta os nossos negócios. É claro que a inovação deve ser incentivada, mas também precisamos tomar muito cuidado para evitar que a inovação pela inovação esteja à frente da análise de risco real. Do contrário, teremos apenas um teatro de segurança, que acabará cedendo próximo a nós.

O mesmo acontece com os demais exemplos que abordei. Tome a inutilidade do colírio para os olhos de segurança, por exemplo. Ele não traz absolutamente nada de bom para os usuários, e sim os apresenta a uma falsa sensação de segurança, além de permitir que os provedores de serviço online sumam com otimizações que efetivamente causam danos aos usuários. Enquanto isso, o custo líquido seria de apenas alguns milhares de dólares, ou talvez dezenas de milhares, nos casos mais graves, para fornecer as informações apropriadas aos usuários. É pedir muito que os fornecedores gastem um pouco em iniciativas para proteger os clientes e seus negócios?

Isso tem muitas implicações. Primeiro, precisamos abordar a percepção de que os usuários são incapazes de tomar decisões e que devem ser impedidos de fazer isso. Eles não são incapazes de aprender a tomar decisões. Afinal, esses usuários tomaram muitas decisões como, por exemplo, a de comprar um computador ou de usar um site, além de adquirir um ou mais dos seus produtos ou serviços. Assim como precisam aprender a dirigir um carro com segurança, as pessoas também devem aprender a usar um computador com segurança. Os invasores estão se concentrando nos usuários domésticos atualmente, e não se pode confiar na tecnologia para tomar decisões. Na verdade, as tecnologias de segurança devem ser sistemas de apoio à tomada de decisão, fornecendo as informações certas para poder permitir que o usuário tome uma decisão inteligente.

Algumas das piores interfaces do usuário do mundo provêm de soluções em segurança porque os aplicativos foram projetados para ocultar qualquer tipo de tomada de decisão do usuário ou para despejar todos os dados disponíveis (de maneira não-amigável) para ele. Nenhuma das abordagens funciona. A primeira coloca os usuários em risco porque a tecnologia não pode depender de uma escolha certa. E se for considerada um obstáculo aos objetivos de negócios do usuário, a tecnologia não durará até ser desabilitada. Já a segunda abordagem falha porque as pessoas não desejam ser incomodadas com endereços IP, IDs de processo e outros dados que não têm significado para elas. Elas só querem saber o que o computador está fazendo com senhas e cartões de crédito. Afinal, é disso que verdadeiramente se trata a segurança.

Jesper M. Johansson é arquiteto de software e trabalha na segurança de software, além de ser editor colaborador da TechNet Magazine. Ele possui Ph.D. em sistemas de informações sobre gerenciamento, tem mais de 20 anos de experiência em segurança e é MVP Microsoft em segurança corporativa. Seu livro mais recente é o Windows Server 2008 Security Resource Kit.