27 ABR 2007

CERT.br: Raio X da segurança na internet brasileira

Veículo: TI Brasil Intelligence
Data: 27/04/2007
Assunto: Segurança

Esta é a primeira de uma série de entrevistas em que um CIO ou CSO entrevista outro. Abrindo a série Carlos Taninaka, do HSBC Bank, eleito em 2006 para A Nata dos Profissionais de Segurança da Informação entrevista Cristine Hoepers , eleita em 2005 e 2006 como um dos profissionais para a Nata dos Profissionais de Segurança da Informação pela contribuição à segurança da informação no Brasil, pelo trabalho desenvolvido junto ao Cert.br. Esta série segue a mesma linha iniciada com as entrevistas da SecurityInfos Dados a Salvo de Tragédias realizadas com a particpação de especialistas e consultores de segurança da informação que tem resultado em entrevistas de um alto nível aalém de ajudar em uma integração maior entre os profissionais de nossa comunidade de segurança da informação.

Entrevista realizada por Diter Stein da TI Brasil Intelligence e Carlos Taninaka IT Security HSBC Bank

SecurityInfosDados a Salvo de Tragédias: quais são as pesquisas e serviços realizados pelo CERT.br e como foi seu desenvolvimento?

Cristine Hoepers: A Internet comercial no Brasil teve início em 31 de maio de 1995, juntamente com a criação do Comitê Gestor da Internet no Brasil (CGI.br) naquela data. O CGI.br é responsável por coordenar e integrar todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Em 1996, já preocupado com o problema da segurança na Internet, o CGI.br solicitou a um conjunto de especialistas da comunidade Internet um relatório sobre a situação da segurança, com propostas sobre o melhor curso de ação a ser tomado. O relatório "Rumo a Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil" foi então entregue ao CGI.br em agosto de 1996.

Como resultado deste relatório em junho de 1997 foi criado o CERT.br, naquela época chamado NBSO. O CERT.br foi o primeiro CSIRT criado no país, iniciando uma fase de desenvolvimento destes grupos no Brasil. De acordo com o relatório anual de 1998 da RNP e com o relatório do CERT-RS, CAIS/RNP e CERT/RS foram os grupos criados logo a seguir, ainda em agosto de 1996.

Nos anos seguintes o CGI.br continuou investindo no aumento da capacidade nacional de segurança da informação e de tratamento de incidentes. Atualmente o CERT.br é um dos serviços mantidos pelo NIC.br, que é o braço executivo do CGI.br, e é com o apoio do NIC.br que todos os nossos projetos são conduzidos. Dentre os diversos projetos e atividades que o CERT.br desenvolve nesta área estão:

* Tratamento de incidentes, prestando auxílio a sites brasileiros que estejam envolvidos em incidentes de segurança, além de auxiliar instituições que estejam criando seus grupos de segurança ou seus CSIRTs.

* Envolvimento em outros projetos do NIC.br, como a produção do material do site antispam.br e participação na assessoria sobre assuntos de segurança às Comissões de Trabalho do CGI.br;

* Documentos e material gratuito para utilização pela comunidade na educação dos usuários de Internet, como por exemplo a Cartilha de Segurança para Internet;

* Cursos para profissionais de segurança -- trouxemos para o Brasil a preço de custo os cursos da Carnegie Mellon na área de segurança da informação e tratamento de incidentes. O maior objetivo é tornar acessível aos profissionais brasileiros o mesmo treinamento de excelência a que os profissionais de outros países têm acesso;

* Implantação e coordenação do Consórcio Nacional de Honeypots, em conjunto com o CenPRA/MCT. Neste projeto fazemos o uso da tecnologia dos honeypots para prover dados públicos diários sobre as atividades maliciosas na Internet brasileira, além de notificarmos todos os administradores de sites brasileiros que tenham originado tráfego malicioso para os sensores.

Carlos Taninaka: Com a redução dos custos dos micros e o aumento do acesso à Internet no Brasil, você acredita que podemos ter um crescimento na fraude on-line?

Cristine Hoepers: Nos últimos anos, com o aumento no número de usuários finais conectados à Internet, o foco dos atacantes tem se direcionado para as máquinas destes usuários. Isto ocorreu devido à combinação de alguns fatores:

* cada vez mais máquinas de usuários finais estão conectadas via banda larga -- de modo que não só possuem melhor conectividade, mas tendem a ficar mais tempo conectadas. Isto faz com que os invasores possam utilizar estas máquinas para diversas atividades.

* as máquinas de usuários tendem a ter menos mecanismos de segurança instalados, sendo deste modo um alvo mais fácil para ser comprometido.

No fundo, isso contribui para um aumento em diversos tipos de atividades maliciosas, principalmente as que tenham como objetivo final vantagem financeira ou furto de dados.

Porém, o sucesso das tentativas de fraude depende também de diversos fatores, sendo um dos principais o esclarecimento e a educação do usuário de Internet.

Carlos Taninaka: As novas tecnologias podem ajudar a reduzir as fraudes on-line? (ex.mobile tokens, OTPs, certificados digitais, biométricas, etc).

Cristine Hoepers: Elas só ajudarão a reduzir as fraudes on-line se o usuário estiver esclarecido sobre a importância que a segurança do computador dele tem para o funcionamento da tecnologia de proteção de transações on-line.

Com a sofisticação dos códigos maliciosos hoje já seria possível ter códigos que se aproveitem da autenticação do usuário na transação, mesmo com meios adicionais, para realizar a fraude. Essas técnicas ainda não estão disseminadas, mas são uma realidade não muito distante.

Quanto à biometria, ela não é uma tecnologia adequada para uso via Internet. No momento em que você tem seus dados biométricos convertidos em um conjunto de informações em um computador, isso pode ser capturado de diversas maneiras no computador do usuário. Seria muito arriscado usar isso como autenticação, pois se essa informação for comprometida, ela não pode ser trocada, como ocorre com um certificado digital, ou com tokens.

Mesmo o certificado digital tem seus problemas. Quem acompanha os desenvolvimentos da comunidade de criptografia sabe que é factível remover um certificado, mesmo de um token, assim como a criptografia tem um limite de vida dependente do aumento do poder computacional do parque de máquinas atual. É uma ferramenta poderosa, mas não resolve todos os problemas, e também não pára todos os tipos de ataques.

Uma medida de prevenção imprescindível é a educação e o esclarecimento dos usuários. É necessário que além de ações preventivas do ponto de vista de tecnologia, o usuário também mude seu comportamento. Em particular podemos destacar duas grandes áreas de ação para um usuário de internet melhorar sua segurança:

Ações Preventivas Mínimas

- manter o sistema operacional e demais softwares (como navegadores) sempre atualizados;
- instalar e manter atualizado um bom programa antivírus;
- instalar um firewall pessoal.

Mudança de Comportamento

- não acessar sites ou seguir links recebidos por email ou presentes em páginas sobre as quais não se saiba a procedência;
- jamais executar ou abrir arquivos recebidos por email, mesmo que venham de pessoas conhecidas;
- consultar sua instituição financeira sempre que tiver dúvidas sobre a utilização de mecanismos de acesso e segurança ou quando receber convites para cadastros em promoções ou atualização de dados, entre outros. Muitas vezes os fraudadores utilizam estes ardis para tentar convencer o usuário a fornecer dados de cadastramento;
- jamais executar programas de procedência duvidosa ou desconhecida.

Carlos Taninaka: A cooperação entre empresas, governo e grupos de trabalho voltada à segurança na Internet poderá futuramente aumentar a segurança contra a fraude on-line?

Cristine Hoepers: A cooperação é uma das únicas formas de melhorar a segurança da Internet contra vários tipos de ataques. Conhecer bem os profissionais de segurança das redes a quem sua instituição se conecta, trocar informações com outros profissionais sobre os desafios e soluções ou conhecer grupos que possam facilitar seu contato com redes de outros países, são exemplos de situações de cooperação que são chave para mitigar diversos ataques, como DDoS, remoção de códigos maliciosos de sites, entre outros.

Carlos Taninaka: Não há fronteiras na Internet e isto tem sido usado para a fraude, como podemos ter o apoio internacional para combater isto?

Cristine Hoepers: Os CSIRTs internacionais, principalmente os de responsabilidade nacional, têm colaborado muito no sentido de encaminhar rapidamente solicitações com o intuito de cessar uma atividade maliciosa.

Um CSIRT não tem como investigar, punir ou rastrear um invasor, e nem é esta a função. Mas um CSIRT pode tentar cessar o ataque o mais rápido possível, reduzindo a exposição dos usuários e diminuindo o número de pessoas afetadas. Mas os desafios para a realização disso com certeza são grandes, e envolvem diferenças de idioma, de fuso horário e de legislação de cada país.

Com certeza os invasores também sabem destas dificuldades e não é coincidência que procuram desferir os ataques ou hospedar códigos maliciosos em outros países, com o intuito de dificultar não só a resposta, como também a investigação.

Carlos Taninaka: As fraudes que ocorrem no Brasil é um case único no mundo, podemos ser também um case único no combate a ela? Realmente, do que tenho acompanhado nas reuniões do Anti Phishing Working Group e em outros fóruns internacionais, o Brasil tem uma peculiaridade que é a utilização em grande escala de códigos maliciosos, os cavalos de tróia.

Cristine Hoepers: Este tipo de tentativa de fraude está acontecendo em escala muito menor em países com Austrália e Inglaterra, e temos notícia de alguns casos isolados em outros países. Mas, realmente, em nosso caso é muito mais difícil educar o usuário, porque a tentativa de fraude não vem como uma página falsa, mas sim como um assunto relacionado a entretenimento ou notícias, e que geralmente chegam ao usuário quando ele não está preocupado com uma transação on-line.

Nesses casos o combate passa pelo esclarecimento de toda a família, de todos os que usam o computador, pois qualquer um pode ser o agente que infecta o computador e que pode afetar financeiramente a alguém.

Carlos Taninaka: A vulnerabilidade que estão cada vez mais comuns nas aplicações e sistemas operacionais, tem permitido alguns ataques (DDOS, vírus, worms, etc), você vê a possibilidade de utilizarem isto para realizar fraudes on-line?

Cristine Hoepers: Em diversas regiões do mundo existem grupos que utilizam ataques de DDoS para praticar extorsão contra grandes empresas. Eles possuem grandes botnets que conseguem gerar tráfego suficiente para retirar grandes redes do ar. Se estas redes pagarem o que for exigido, os ataques teoricamente cessam.

Outro tipo de ataque que nos foi reportado por um CERT internacional, foi o caso de um worm que foi programado para parar sua propagação e ativar a ação quando conseguisse infectar uma máquina de um indivíduo em particular.

O requinte destas ferramentas é muito grande, e é só uma questão de tempo para que sejam utilizadas em maior profusão para atividades relacionadas com fraudes.

Carlos Taninaka: Como as empresas responsáveis pelas aplicações e sistemas operacionais podem evitar ou ajudar a combater as fraudes?

Cristine Hoepers: Esse é um ponto bastante crítico da segurança da informação como um todo. As recomendações de manter sistemas atualizados, colocar softwares de proteção, entre outros, são necessárias devido à grande quantidade de vulnerabilidades nos sistemas operacionais e aplicativos. Essa situação tem raízes mais profundas do que as próprias empresas, ela está presente nas universidades que formam os profissionais de desenvolvimento de sistemas.

A situação só melhorará quando a formação dos profissionais incluir conceitos de levantamento de requisitos de segurança, práticas de engenharia de software seguro e práticas de programação segura. Isto tudo aliado a outras práticas de desenvolvimento de software podem melhorar o cenário e tornar a produção dos sistemas complexos da atualidade um processo mais confiável e com um volume menor de vulnerabilidades.

Mas enquanto esse cenário macro não muda, as empresas precisam investir em reciclagem de seus desenvolvedores, com treinamentos voltados à compreensão do papel da segurança em todo o ciclo de desenvolvimento de software, e não somente na fase final de testes. Com um sistema e aplicativos mais robustos, a participação do usuário na aplicação de boas práticas de segurança fica muito facilitada.

Carlos Taninaka: Ainda não temos uma legislação específica voltada para este ambiente virtual, uma vez que tenhamos uma legislação adequada à realidade deste ambiente, com punições adequadas, você acha que o número de incidentes poderá cair?

Cristine Hoepers: Apesar de nós do CERT.br não exercermos nenhuma atividade relacionada com a área legal ou com investigações de crimes, notamos que a maior parte dos crimes informáticos engloba condutas que já são criminosas, como ameaça, escuta telemática, estelionato, furto, entre outros.

Uma dificuldade maior do que tipificar um crime informático parece ser a investigação e o levantamento de evidências. É perfeitamente possível levantar evidências em ambientes informáticos, mas como estas evidências podem estar em qualquer local na Internet -- até mesmo em outros países -- o processo burocrático de obtenção destas evidências não é fácil. Adicionalmente, estas evidências são mais voláteis e necessitam de peritos e investigadores especializados para tratá-las e compreendê-las.

Com relação à queda no número de incidentes, apenas ter uma lei nova pode não causar uma queda. A legislação é imprescindível, mas é necessário que a população esteja esclarecida sobre como se prevenir e como identificar crimes informáticos, e os operadores da justiça estejam aparelhados para fazer cumprir a lei. Creio que isso é similar ao que acontece com outros tipos de crimes na nossa sociedade.