Tecnologia 26/04/2016

O Alto Risco das Senhas sem Política de Gestão na Empresas

A empresas terão de manter inventários das senhas e credenciais de privilégio. É preciso abandonar o modelo velho de chaves baseadas no teclado QWERTY

Rodrigo Jonas Fragola (*)

Parte considerável dos investimentos no combate à vulnerabilidade dos sistemas informacionais escorre pelo ralo devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços em diferentes níveis estratégicos.

O problema vai muito além da alardeada proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas (pelo menos para algumas aplicações) mesmo depois do desligamento profissional do seu respectivo criador.

O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Este tipo de credencial é gerado, em parte, para suprir necessidades do comando empresarial, afetando um pequeno número de gestores, o que as torna mais fáceis de gerenciar.

Mas a expressiva maioria das permissões de privilégio é representada por chaves de finalidade técnica (frequentemente passageira), criadas para assegurar acesso pontual a partes sensíveis do sistema.

É grande o número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos a fio, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.

Há ainda uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software.

Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis.

O alto risco de tudo isto se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, inclusive propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.

Um estudo da CiberArk concluiu que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio.

A situação, com certeza, é bem pior no Brasil, onde apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo dados contidos no Mapa Estratégico da Defesa Cibernética publicado pelo Ministério da Defesa.

Entre os fatores mais críticos, descritos em estudos sobre o tema, está justamente a incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.

Em um documento publicado no site da Lieberman Software com o sugestivo título “Como manter a NSA fora do alcance dos seus sistemas”a multinacional se reporta a seis recomendações de segurança criadas pela própria NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que bem poderiam ser seguidas pelas corporações brasileiras.

A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.

Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.

O ponto central, a meu ver, é o que expressa a urgência pela adoção de múltiplas autenticações, tendo em vista os problemas de gestão associados à eficiência crescente dos ataques hackers “de força bruta”.

Isto se faz, por exemplo, través do emprego combinado de senhas com dispositivos “token”, ou pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho) ou a requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.

Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do “selfie” do usuário, ou conferindo sua posição geográfica (você está mesmo na empresa?) através da aplicação GPS no momento exato da requisição.

Em casos extremos (como risco de terrorismo), pode-se estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário.

Quaisquer que sejam as soluções ou padrões culturais escolhidos, o fato é que o modelo de senha, em voga desde os primórdios da predominância do chamado teclado QWERTY, já se tornou um “mamão com açúcar” e uma garantia de sucesso fácil para os atacantes profissionais. Ao ao mesmo tempo, a sua gestão confusa e ultrapassada tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, inclusive o terceirizado ou aquele que pulou para a concorrência.

A questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas “fáceis de memorizar”, como a fatídica “123456”, que são empregadas pelas grandes massas globais de usuários.

(*) É especialista em segurança de TI, Segurança Web e defesa cibernética. É Vice-Presidente de Segurança da Informação e Combate à Pirataria do Sindicato das Indústrias da Informação (SINFOR-DF); Diretor Adjunto de Segurança e Defesa da ASSESPRO-DF e cofundador e CEO da Aker Security Solutions.

Segurança e inovação no setor financeiro

O setor financeiro está entre os mais atraentes para a ação de cibercriminosos e também é o setor referência em segurança da informação atualmente. Muito investimento é feito pelas empresas deste setor para proteger seus dados corporativos e os dados de seus clientes. O setor financeiro é um dos que mais investem em tecnologia. Atualmente mais de 50% das operações bancárias são realizadas por meios eletrônicos. E da mesma forma que crescem as transações pela internet, os cibercriminosos também desenvolvem novos malwares e golpes para se aproveitarem dessa situação.
Do outro lado temos o usuário de serviços bancários, que é cada vez mais exigente. Ele quer soluções novas e práticas o tempo todo, quer realizar transações via internet e pelo celular de forma segura, com total disponibilidade, 24 horas por dia. O cliente quer inovação e a empresa precisa atender esta demanda com rapidez, mas sem deixar brechas, criar riscos para a segurança e também sem impactar a experiência do usuário.
Inovar na área financeira é obrigatório para atender a demanda dos clientes, mas para oferecer a experiência agradável almejada pelo cliente é preciso que a segurança seja inserida nos projetos de desde o início. Atualmente as empresa já atuam com um nível altíssimo de complexidade na segurança de dados. As equipes de segurança têm entre os constantes desafios: melhorar a performance, obter visibilidade do ambiente complexo e reduzir custos.
É possível inovar e melhorar a performance da segurança utilizando as ferramentas já existes em seu ambiente corporativo. Muitas vezes as empresas investem em tantas soluções diferentes, que geram milhões de alertas por dia, demandam imenso esforço administrativo e mesmo assim não trazem o resultado esperado. Vemos no mercado crescer a necessidade de soluções que viabilizam a comunicação entre diferentes fornecedores. Com um ambiente integrado, estruturado com ferramentas capazes de trocar informação entre si é possível aproveitar as soluções existentes, acelerar a detecção, reduzir o tempo de resposta dos ataques e obter um ambiente mais seguro.
Ninguém tem controle sobre a transformação digital, cada vez mais tecnologias são inseridas nos negócios e, neste cenário, a segurança se torna um importante habilitador do negócio. A segurança precisa fazer parte do negócio e não ser tratada como um fator a parte. Sem a segurança em primeiro plano não existirá entrega de serviços.

(Fonte: Bruno Zani é gerente de engenharia de sistemas da Intel Security).

Batman vs Superman: aprendendo com super-heróis a lidar com a concorrência

Pedro D’Angelo (*)

Sim, nesse artigo vamos misturar o inacreditável universo dos super-heróis com a realidade do mercado de trabalho e das pesquisas de mercado – que pode ser quase tão inacreditável quanto super-humanos vestindo capas e armaduras

Para isso, nada melhor que usar de exemplo Batman vs Superman: A Origem da Justiça, o mais novo filme de heróis da DC Comics que faturou mais de US$ 200 milhões pelo mundo apenas em sua estreia.
Para quem não é fã de quadrinhos, o assunto pode ser um pouco estranho, mas Batman vs Superman marca basicamente o grande encontro dos dois maiores super-heróis da cultura pop nas telas do cinema. E é justamente pelo peso dos nomes dos dois personagens e pela influência que eles têm na cultura contemporânea, que podemos traçar uma comparação entre a luta dos heróis e o mundo dos negócios, no que diz respeito a um aspecto muito importante: a competição no mercado.
Com isso em mente, vamos ver algumas lições que podemos tirar do grande embate de super-heróis e aplicar no dia a dia de qualquer negócio.

Superman: o inimigo imbatível?
Imagine que no seu mercado de atuação existe aquele concorrente “todo poderoso”. Ele é querido, inspira confiança e é muito difícil encontrar qualquer falha na sua performance. O seu concorrente parece tão perfeito que até dá para desconfiar. E, sempre que você pensa em defini-lo, a palavra que vem à mente é a mesma: força.
Agora imagine esse adversário na forma de um alien superforte, inteligente, veloz e invulnerável a quase todo tipo de dano. Esse é o Superman. Se parece impossível enfrentar de igual para igual alguém assim, leia novamente o início desse parágrafo e perceba o que dizemos a respeito do herói: ele é invulnerável a quase todo tipo de dano. Então é hora de encontrar as falhas na armadura e aproveitar as oportunidades.
Uma alternativa à força, por excelência, é conhecimento. E conhecimento, no mercado, costuma ser a principal arma para superar qualquer obstáculo. Na hora de analisar sua concorrência e encontrar eventuais chances de se sobressair em relação aos adversários, tenha em mente a pesquisa de mercado como sua maior aliada. A pesquisa de mercado é aquele fiel escudeiro que vai fornecer as informações valiosas e basicamente impossíveis de se obter de outra forma.
Usando a pesquisa de mercado para encarar sua concorrência, você pode identificar o que leva os clientes a preferir outra marca ao invés da sua. Você pode pesquisar os hábitos dos consumidores, perguntar para eles quais marcas eles costumam comprar e por quê preferem e confiam mais em uma empresa e não em outra. Assim, é possível enxergar além do status de deus do concorrente e encontrar a tão sonhada kryptonita, que vai te impulsionar no mercado.

Batman: impiedoso e confiante
Ok, ninguém quer ver um homem forte, rico, charmoso e cheio de truques na manga como concorrente direto, certo? Se ele estiver vestindo um uniforme de morcego então, nem se fala. Adversários ferozes como este existem por aí, mas não necessariamente andam nas sombras e atacam bandidos com gadgets ultramodernos.
Encontrar pontos fracos em um concorrente impiedoso e que vai até o fim para provar seu ponto é bastante difícil. Considerando que, assim como o Batman, esse competidor está há muito tempo no mercado como uma força sólida e implacável, o desafio é ainda maior.
Mas nem tudo está perdido: como o Batman dos quadrinhos e do cinema, no fim das contas, ele não passa de um ser humano como você mesmo. E para contornar um adversário assim, a dica é usar justamente ele mesmo para sair ganhando. Concorrentes como um Batman tendem a ser quase arrogantes, devido à posição sólida em que já se encontram. Consequentemente, é essa a oportunidade que você precisa para sobressair, apostando em criatividade e inovação, que costumam ser os pontos fracos de quem está há muito confiante no que já vem fazendo.
E nem precisa falar que as pesquisas de mercado te ajudam nessa tarefa, certo? Na vida real, use as pesquisas para descobrir um caminho diferente do que seu concorrente vem fazendo, explore novas possibilidades, aposte na inovação e se mostre como uma alternativa ao que a concorrência já vem fazendo.

Mulher Maravilha: a surpresa
Sim, agora ela também está nos cinemas! E sim, em um filme que supostamente trata apenas do encontro de outros dois heróis. Porém, mesmo aparecendo quase que de surpresa, a heroína que é símbolo do poder feminino marca presença no filme e acaba roubando a cena.
No mercado, essa história costuma se repetir. Muitas vezes, enquanto você está focado em uma única batalha, em um único ponto de vista, é comum que apareça alguém das sombras e vire todos os holofotes para si. Por isso, esteja sempre atento ao mercado em que seu negócio está inserido. Estude, mantenha-se atualizado e, claro, use as pesquisas de mercado para mapear tudo o que for possível sobre seu ambiente de mercado, as tendências que vão surgindo e todas as novas possibilidades para não ficar para trás.

SPOILER: concentre-se na ameaça maior
Outra lição de Batman vs Superman que pode – e deve – ser aproveitada no mundo dos negócios é a de se unir à sua concorrência visando objetivos maiores. Muitas vezes, no ambiente competitivo dos negócios e no mundo dos super-heróis, enquanto batemos de frente com nossos pares, um monstro pode estar à espreita, esperando para aniquilar a todos.
A primeira vantagem de se trocar a competição pela “coopetição” é, basicamente, unir mais de uma voz para divulgar a inovação a fim de expandir o mercado. Além disso, trabalhar lado a lado com a concorrência pode valorizar produtos e serviços, atrair investidores para um mercado ainda não muito valorizado, e muito mais. Então, seja lutando contra alienígenas kryptonianos ou encarando o impiedoso mercado de trabalho, no fim das contas vale muito a pena deixar um pouco a competição com a concorrência de lado e focar em metas ainda maiores.
No fim das contas, tenha sempre em mente que todo concorrente tem um quê de super-herói dos quadrinhos. Você já sabe quais são os poderes e fraquezas da sua concorrência? Além disso, de que lado você está na guerra dos heróis? Você é #TeamSuperman, #TeamBatman ou prefere apostar na chegada da Mulher Maravilha?

(*) É especialista em pesquisa de mercado do Opinion Box, plataforma pioneira de pesquisa digital.