NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Especialista defende maior capacitação dos profissionais
01 DEZ 2004

Especialista defende maior capacitação dos profissionais






Arquivo do Clipping 2004

Veículo: Computação Brasil
Data: 01/12/2004
Assunto: Segurança

Reportagem em formato PDF (464 KB)

Em entrevista ao Computação Brasil, Cristine Hoepers, analista de segurança do grupo de resposta a incidentes do Comitê Gestor da Internet (CGI), fala sobre o cenário nacional da área de Segurança na Internet e sobre os profissionais que atuam no mercado.

Computação Brasil - Quais são os principais problemas na área de segurança no país?
Cristine Hoepers - É um conjunto de fatores, mas o principal mesmo é a falta de mão-de-obra qualificada. Nós temos muitas redes, o número de redes conectadas à Internet é muito maior do que a quantidade de profissionais capacitados para trabalhar com segurança. Isso torna mais difícil manter as redes atualizadas e fazer um trabalho maior de segurança. Outro fator que, atualmente, está sendo determinante é o grande número de usuários que têm banda larga em seus domicílios e que não está preparado para aplicar correções e para implementar firewalls, ou seja, aplicar conceitos de segurança. Isso criou um ambiente muito propício para o surgimento de problemas de segurança, que culminou com o crescimento de atividades criminosas na Internet.

CB - Como o sistema de banda larga influencia na questão da segurança?
CH - Os usuários que utilizam banda larga permanecem muito mais tempo conectados do que os internautas que têm Internet discada, além de terem uma conexão mais rápida. Ao contrário dos servidores e máquinas conectadas em redes corporativas, as ADSLs não possuem um administrador e, em geral, não são tão bem protegidas. Como conseqüência esses computadores são comprometidos mais facilmente e utilizados por outras pessoas para cometer atos criminosos ou executar atividades como o envio de spam e a instalação de botnets.

CB - Como é que o CGI tem trabalhado a conscientização dos usuários em relação aos problemas de segurança?
CH - A conscientização deve ser feita por todos, não só pelo Comitê Gestor. Nós temos a Cartilha de Segurança para Internet, que foi escrita pensando em usuários finais. A gente tem um trabalho grande com diversos setores (universidades, provedores) que precisam colaborar na divulgação do material e na educação do usuário.

CB - Para os profissionais da área de segurança quais são os desafios enfrentados?
CH - Hoje em dia o desafio é manter-se atualizado porque é muito rápida a mudança da tecnologia e também a mudança nas tendências de ataques. É difícil para um profissional acompanhar os novos tipos de ataques. O que dificulta muito também são os ataques automatizados. Atualmente, os ataques não são mais realizados por apenas uma pessoa que tenta atacar um site, fazendo isso num tempo mais ou menos lento. Hoje em dia existem programas que fazem isso rapidamente, de maneira completamente automatizada, e que conseguem atingir um número muito grande de sites em um período muito curto de tempo. O espaço de tempo entre um problema anunciado e a criação de uma ferramenta pronta para começar a explorar em grande escala também vem diminuindo. Às vezes em questões de horas, antes do administrador de rede ter tempo de colocar uma correção no ar, já tem alguém tentando explorar isso. A questão do tempo para resolver os problemas e da rapidez para desenvolver um ataque automatizado é que tem sido um grande desafio.

CB - Se tem uma idéia de quem desenvolve esses programas?
CH - A gente não faz nenhum tipo de acompanhamento para identificar os criadores. Nós sabemos que a maioria dos programas é de outros países.

CB - Qual a sua opinião sobre os cursos de hacking como forma de capacitação de pessoas interessadas em trabalhar na área de segurança?
CH - Aqui no Brasil, acho que há mais cursos de hacking do que de capacitação em segurança. Isso é problemático porque saber invadir não é a mesma coisa que saber proteger uma rede. São áreas de conhecimento muito distintas. É difícil proteger uma rede com técnicas de invasão que se tenha aprendido. Mais complicado ainda é a questão ética, ou seja, qual é o perfil das pessoas que fazem um curso de invasão? Sem contar que proteger uma rede é muito mais complexo, o conhecimento necessário é bastante diferente do adquirido para invadir um sistema ou rede.

CB - E quanto às empresas que contratam ex-hackers?
CH - Existem dois exemplos: há empresas que realmente contratam ex-hackers, quer dizer, descobrem que alguém sabe invadir ou já está fazendo esse tipo de coisa e acham que terão um bom profissional; e existem pessoas que não sabem como entrar na área de segurança e acham que se inserindo no campo da invasão vão conseguir um bom emprego. E novamente entramos na questão ética porque invadir um site não é uma atividade ética.

CB - Ao que a senhora atribui a falta de pessoal qualificado? É difícil encontrar pessoas interessadas em trabalhar nessa área? Por que?
CH - O maior déficit de pessoal é na área de redes. Se houvesse uma quantidade maior de administradores de redes já seria melhor. Porque são pessoas que entendem de protocolo de Internet, de redes de computadores e conseguem aplicar esses conhecimentos na prática, mantendo a rede bem configurada. As pessoas que saem da universidade não têm esse nível de capacitação porque não aprendem a administrar redes na graduação. Os universitários aprendem coisas mais teóricas, não necessariamente sobre protocolos da Internet. Isso faz com que seja mais difícil ainda encontrar alguém que tenha o conhecimento em redes e comece a trabalhar com segurança. Mais do que falta de capacitação em segurança, há falta de capacitação em redes.

CB - Existem cursos superiores que são mais indicados para quem quer trabalhar com segurança na Internet?
CH - Não conheço nenhum curso específico para a área de segurança. O primeiro passo para quem quer atuar na área é ter uma formação sólida na área de Engenharia, Computação ou afins. O Brasil é carente de uma capacitação específica sobre administração de redes de computadores e segurança.

CB - E quem possui apenas um curso técnico?
CH - Depende do curso técnico e da sua aplicação. Não quer dizer que para atuar na área é preciso ter feito obrigatoriamente um curso superior, conta muito a dedicação pessoal, ou seja, correr atrás da informação, tentar trabalhar e aprender.

CB - Quais são as causas das vulnerabilidades encontradas nos softwares atuais?
CH - O número de vulnerabilidades encontradas nos softwares é muito grande. Os programas são desenvolvidos no ritmo do mercado, ou seja, é exigido que esses softwares entrem rapidamente em produção e venda. Não há preocupação com a questão da segurança no desenvolvimento dos softwares. A maior parte dos programadores se preocupa com requisitos de usuários e sofre pressão para colocar o produto logo em circulação. Não existem nem profissionais que já estão acostumados a pensar em programação segura, nem profissionais que estão acostumados a fazer testes nessa área. A causa das vulnerabilidades, na verdade, é um misto da demanda acelerada por softwares, da falta de demanda por programas com preocupação em segurança e da falta de formação voltada especificamente para prevenir vulnerabilidades em software e evitar problemas de segurança por parte dos programadores.

CB - O que são as redes de computadores zumbis?
CH - O grande problema atual tem sido essas redes, que são compostas por códigos maliciosos (bots) instalados geralmente em computadores de usuários finais conectados via banda larga. Esses códigos são instalados automaticamente por invasores que procuram por máquinas vulneráveis. À medida que esses equipamentos vão sendo identificados, são instalados softwares que podem ser controlados remotamente pelos atacantes. Quando essas redes, também conhecidas como botnets, são formadas, se tem um invasor com controle de centenas, às vezes, milhares de máquinas. Esses computadores geralmente pertencem a usuários domésticos e são usados, entre outras coisas, para extorsão, tirar sites do ar e enviar spam.

CB - Quais são os incidentes mais comuns?
CH - Em volume a maioria dos incidentes são ataques por worms (como Slammer e Blaster) e por ferramentas automatizadas que buscam máquinas vulneráveis para se propagar. Como o worm entra na máquina como se fosse um invasor, tem controle completo do computador. Também existem os bots, que utilizam o mesmo método de propagação dos worms, mas são controlados remotamente e podem ser usados em atividades criminosas. Há também um crescimento muito grande na notificação de fraudes pela Internet. O número absoluto não é o maior, mas a proporção tem crescido rapidamente.

CB - Quais são as principais iniciativas brasileiras para inibir esses incidentes?
CH - Existem várias. Nos últimos anos houve um aumento considerável no número de grupos de resposta a incidentes. As maiores operadoras de telecomunicações e backbone já formaram grupos, assim como instituições bancárias e empresas de sistemas financeiros. Na área acadêmica, há diversas universidades e institutos de pesquisa que têm grupos de resposta a incidentes, entre eles, INPE, UNICAMP USP, UNESP, UFRGS e UFRN. Algumas redes maiores também têm, como a rede Tchê e a RNP. O CGI possui o NBSO que trabalha em nível nacional e atende a qualquer rede conectada à Internet no Brasil. Atualmente, a comunicação, a troca de informações e a cooperação entre esses grupos têm sido fundamentais para conseguir rapidamente identificar e tentar reduzir o impacto dos ataques.

CB - O que um administrador de redes pode fazer para garantir o mínimo de segurança no seu sistema?
CH - Desde o começo tem que se pensar em segurança, ou seja, desde a hora em que se está projetando a rede. Não adianta pensar em segurança só depois. Acho que isso é o principal. O Comitê Gestor tem um documento de práticas de segurança que nós costumamos indicar. Como é um documento grande, é difícil apontar essa ou aquela dica, o importante é pensar em segurança desde o início e lembrar que é preciso criar um projeto que prepara a rede para ter uma resposta rápida a incidentes e tenta evitar problemas de segurança. É preciso tentar se manter atualizado sempre, ou seja, assinar listas de discussões sobre o tema, comprar livros, conversar com especialistas da área porque a mudança é constante.

CB - Os administradores de redes costumam contatar o CGI em busca de dicas de segurança?
CH - Diversos administradores nos procuram em busca de dicas de segurança e, para atendê-los, nós desenvolvemos o documento Práticas de Segurança para Administradores de Redes. Porém, a grande maioria nos procura quando está com algum problema de segurança ou quando quer notificar uma tentativa de ataque. Para esses nós damos apoio técnico, mas não prestamos serviço de consultoria ou chegamos a implementar as recomendações nós mesmos.

CB - Quais são as boas práticas para os usuários?
CH - Como para os administradores de redes, também há uma cartilha de segurança para os usuários de Internet. A principal dica é que o internauta precisa ter uma postura mais segura, mais próativa quando acessa a web. O usuário não pode acreditar em tudo que vê ou que é dito. Também deve evitar ir atrás de promoções ou visitar sites que não conhece porque, hoje em dia, esse tipo de ardil é usado para tentar convencer os usuários a entrar em sites clonados ou para instalar códigos maliciosos nas máquinas. Além disso, é preciso manter a máquina atualizada, possuir um firewall e usar um antivírus. Sempre que possível, o usuário deve verificar quais são as novas tendências de ataques.

CB - De que forma a SBC, por meio dos seus associados, pode contribuir para melhorar o cenário da segurança do espaço virtual brasileiro?
CH - Por se tratar de uma sociedade nacional, a SBC tem uma penetração muito grande não só entre os profissionais de Informática, mas entre professores e pesquisadores que estão definindo currículos de universidades. A SBC pode incentivar a educação sobre o tema nos cursos de graduação das universidades, conscientizando os estudantes de que o profissional de Computação precisa se preocupar com segurança, que um desenvolvedor de software precisa criar um programa com o menor número possível de vulnerabilidades. A Sociedade também pode discutir com as universidades que estão planejando criar cursos de programação segura como operar um currículo para tratar não só de segurança de redes ou de segurança na Internet, mas também de desenvolvimento seguro. Do ponto de vista dos profissionais, seria interessante ver as pessoas discutindo mais o que significa o desenvolvimento de software, incluindo a parte de testes de segurança, não só testes de requisitos. É preciso que os profissionais tenham uma postura mais ativa, se vão desenvolver um produto ou montar uma rede, devem fazer isso já pensando nas implicações em segurança, nas possíveis vulnerabilidades.
Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso