Qual é a realidade do Brasil no que diz respeito à adoção de políticas de segurança, tanto no governo quanto nas corporações? Damos a devida atenção ou estamos defasados se comparados com outros países?
Trabalhando como consultor da área de segurança em TI, presenciei várias falhas, muitas vezes absurdas e primárias mesmo, em sistemas e redes, o que só mostra que o brasileiro ainda não está consciente dos riscos que corremos ao enfrentarmos um atacante com forte intenção maliciosa.
Isso talvez seja devido ao fato de que a Internet só chegou no Brasil em meados dos anos 90, quando Kevin Mitnick já cumpria pena na prisão. A defasagem tecnológica que vivemos no início da era digital era muito grande, o que também afetou o desenvolvimento de metodologias e políticas de segurança. Tanto que a maioria das empresas não possui políticas de segurança bem definidas e nem procuram adquirir uma certificação ISO 27001 ou ISO 17799.
Um exemplo disso é que só em 2008 o governo brasileiro decidiu liberar uma Instrução Normativa (a Instrução Normativa GSI n°1 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências) que regula a adoção de políticas de segurança da informação em instituições públicas, sendo que nos EUA, por exemplo, essa é uma preocupação existente há muito anos.
Talvez nossa nação não tenha a devida preocupação com tal necessidade pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (por exemplo, EUA, URSS, Iraque, China etc). E nem mesmo temos invasores maliciosos (crackers) com grandes conhecimentos técnicos, ou intenções para causar grandes prejuízos ao governo. Talvez isso gere uma aparente sensação de segurança, onde achamos que vivemos em um ambiente inócuo e seguro. Lêdo engano, meus caros!
Não temos grandes ataques, mas temos pequenos roubos! Até aqui o jeitinho brasileiro de querer aproveitar-se em cima da ingenuidade dos outros prevalece. Mas se temos script kiddies que possuem conhecimento suficiente pra burlar sistemas bancários e financeiros, ou apenas enganar o usuário, em alguns anos poderemos ter atacantes profundamente perigosos, que vendem suas pilhagens para os concorrentes das empresas que invadiram. Essa é a paisagem que podemos vislumbrar se não conscientizarmos os usuários dos riscos que correm. Mas para isso os administradores precisam se conscientizar em primeira mão.
Meu trabalho como articulista é basicamente esse: escrever sobre vulnerabilidades, técnicas e dar dicas sobre como um atacante age, ou como podemos criar sistemas robustos, mais difíceis de invadir. Pois nesse ponto tenho que concordar com Eugene H. Spafford, quando ele diz:
"O único sistema realmente seguro é aquele que está desligado, enterrado em um bloco de concreto e selado em uma sala cofre protegida por guardas armados."
Como último exemplo desse artigo, vamos apenas testar o seguinte: digite na pesquisa do Google as palavras "Currículo + CPF", sem aspas, e veja o resultado. Espantado? Então, imagine o que uma pessoa maliciosa, mesmo sem conhecimentos técnicos, poderia fazer com os dados das pessoas que aparecem nessa busca. E é justamente daí que surgem os laranjas!
Então, tenhamos mais cuidado, tanto com nossas informações pessoais, quanto profissionais.
[1] Comentário enviado por foguinho.peruca em 28/04/2009 - 10:27h
Olá!
Bom artigo. O tema de segurança nem sempre é dada a devida atenção pois é difícil mensurar os ganhos com ele, por ser intangíveis.
"Talvez nossa nação não tenha a devida preocupação com tal necessidade pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (por exemplo, EUA, URSS, Iraque, China etc)."
Quanto à esta afirmação, não muito tempo atrás roubaram um laptop da petrobrás com dados sigilosos. Foi bem divulgado esse roubo até!
[3] Comentário enviado por y2h4ck em 28/04/2009 - 10:56h
Fala amigo, sempre pensamos que o jardim do vizinho é sempre mais verdinho. Em minha experiência de mais de 4 anos como Pentester Profissional, eu abservei justamente o contrário. Por incrivel que pareça a segurança de corporações no Brasil, por mais que seja desfasada e muito melhor que de corporações do mesmo nível em Paises como Estados Unidos, Latin América e Europa.
O sistema bancário Brasileiro é um dos que tem a segurança mais avançada no Mundo. Nossos profissionais tem MTO o que amadurecer ainda porém não adianta so dizermos que ta ruim ta ruim ta ruim tem que investir :)
[4] Comentário enviado por AprendizPinguim em 28/04/2009 - 11:04h
Excelente texto. Com poucas palavras você descreveu o panorama de nossos sistemas computacionais.
Realmente, o povo brasileiro tem o pernicioso hábito de adiar medidas preventivas; procuramos tomar atitudes somente após o desastre consumado. A expressão “[...] sensação de segurança, onde achamos que vivemos em um ambiente inócuo e seguro.” traduz em poucas palavras este pensamento – quase coletivo – deplorável que temos de achar que tudo está seguro. Inclusive – se me permitem fugir um pouco do cerne da questão –, vemos esta mesma filosofia se repetindo no cotidiano de nossas forças armadas graças aos governantes que pouco conhecem de poderio militar, mas detém o controle sobre as verbas para o setor; neste contexto e mais ainda nos meandros de nossa política corrupta e beócia alega-se: “O Brasil é um país pacífico e não tem necessidade de possuir armamentos tão avançados”. Entretanto, o cenário mundial de guerras, guerrilhas, guerras eletrônicas e espionagem é improvável demais para que estejamos neste sono profundo do conformismo com a nossa incapacidade, ou – pior – na ilusão de que somos capazes de entrarmos em conflitos e sairmos ilesos.
O grande problema, tanto na segurança da informação, quanto nos demais aspectos de nossa sociedade parece ter origem certa na ignorância hereditária (sem querer ser prepotente ou preconceituoso, mas com pesar). Ora, o que esperar de um povo que valoriza o jogador de futebol e a “gostosa” do Big Brother mais que verdadeiros heróis (não que estes não tenham seus valores, cada um tem sua importância em cada aspecto peculiar)?
Me desculpem destoar tanto do assunto, mas o problema parece estar generalizado em todas áreas de segurança, seja a segurança de TI ou demais.
[5] Comentário enviado por valtinho em 28/04/2009 - 11:28h
Artigo interessante... Soh discordo quando vc disse q não temos invasores maliciosos (crackers) com grandes conhecimentos técnicos. Os brasileiros são muito bem conceituados fora do Brasil.
Acho que o que acontece é que os próprios brasileiros não dão muita atenção para atacar por aqui.
Me corrijam se estiver equivocado.
Abraço
[6] Comentário enviado por removido em 28/04/2009 - 11:29h
Concordo, bom artigo!
Realmente a maioria das empresas não dão importância para informação, que hoje é um dos ativos mais importantes.
O mercado de trabalho para segurança de informação no Brasil mostra claramente esse cenário.
Somente uma correção, ao invés de "ISSO" é "ISO".
[8] Comentário enviado por luizvieira em 28/04/2009 - 13:24h
foguinho, cheguei a ler a notícia, mas quando falei de dados sigilosos, pensei em questões estratégicas e militares. Mas o caso da Petrobrás realmente foi um caso sério. O problema é que muito ladrão que rouba laptop, nem sabe mexer direito em um computador e só quer vender para quem der o maior preço, sem considerar as informações que pode ter ali. A não, é claro, que tenha sido um roubo encomendado.
Vlw!
[9] Comentário enviado por luizvieira em 28/04/2009 - 13:27h
valtinho, concordo com vc. Mas quando digo que não temos no Brasil cracker com grandes conhecimentos técnicos continuo fixo nesse pensamento, pois vemos muitos script kiddies alardeando-se por aí, se achando o máximo. Mas se colocarmos a questão de profissionais da área de segurança, realmente temos profissionais com ótimos conhecimentos técnicos, mas aí assim, longe do que há em países de 1° mundo. Basta vermos, por exemplo, a qtde de certificações CISSP expedidas no Brasil e nos EUA, isso citando apenas uma das muitas certificações na área de segurança.
[11] Comentário enviado por foguinho.peruca em 28/04/2009 - 20:16h
Olá!
Eu comentei sobre o laptop pois mesmo que o ladrão só visasse o hw, seria muito ingênuo supor q não foi perdida (vazada) nenhuma informação importante, independente de ter sido encomendado ou não.
No mundo todo, acho que existem muito mais script kiddes do q verdadeiros crackers e aqui não seria diferente.
Como eu mencionei: mensurar ganhos em segurança é extremamente intangível e muitos administradores não dão o devido valor....
[12] Comentário enviado por thiagomlx em 28/04/2009 - 23:37h
Fala luiz, tenho acompanhado seus últimos artigos e posso dizer que são muito interessantes.
Bom, não sei se há crackers no Brasil com vasto conhecimento, mas tenho certeza que o Brasil é um país com muito potencial, principalmente na área tecnológica. Outro problema dentro da Segurança é o mau uso de equipamentos pelos usuários ou até mesmo a cooptação de funcionários por empresas concorrentes. Muitas empresas investem em segurança pesada, mas a maior vulnerabilidade ainda é o ser humano (acredito eu), por ser facilmente corrompido através da engenharia social.
Não tenho muito o que comentar, curso pós-graduação em Seg. da Informação e quem sabe um eu dia tire alguns certificados, mas por enquanto a pós ocupa a maior parte do tempo para estudos. imagino q a consultoria seja uma ótima saída..rs
[13] Comentário enviado por fabioarnoni em 29/04/2009 - 09:37h
Gostei do Artigo, muito bom ! Quando se fala em segurança pensamos em tecnologia, aplicativos, firewall e Antivirus blá blá blá mas muitas empresas esquecem de uma rotina muito importante: Auditoria. Já vi e ouvi falar de funcionários que roubam todas as informações da empresa sem ter que enfrentar nenhuma barreira. As empresas esquecem que é preciso uma política bem definida de acessos acompanhado com Logs de auditoria bem configurados. Agora saindo um pouco desse assunto, trabalhei como analista de Service Desk numa empresa de grande porte e ao longo de minha jornada lá eu me surperendi com vários acontecimentos. Muitos sistemas da empresa saiam do ar derrepente por falta de manutenção preventiva e monitoração. TInha uma ferramenta de abertura de chamado que ficou fora do ar por 5 horas um dia porque o espaço em disco do servidor de DBA tinha acabado !!!! Com tanta tecnologia para evitar o incidente como puderam descuidar desta forma ??? Absurdo...
[14] Comentário enviado por annakamilla em 30/04/2009 - 17:39h
realmente, mas os políticos brasileiros não tão nem aqui com a segurança digital, quanto mais o pobre ter acesso a internet para eles é bom pois é um motivo para que o presidente continuar no governo.
os políticos em sua vez só estão interessados em ganhar com o dinheiro do povo e passear de avião com o nosso dinheiro em vez de fazer algo com a segurança dos cofres publicos.
[15] Comentário enviado por removido em 30/04/2009 - 23:55h
Muito bom o artigo
Os brasileiros são bons, são muito bem vistos no exterior
Na minha opinião, os brasileiros estão entre os melhores hackers do mundo
Ja ganharam varias vezes competições hackers mundão afora
Mas no brasil existem hackers, não crackers (existem também, mas não tantos)
Reformulando:
"O único sistema realmente seguro é aquele que está desligado, enterrado em um bloco de concreto e selado em uma sala cofre protegida por guardas armados."
Não tem como invadir esse sistema mesmo, via internet
Kevin Mitnick:
"Se um hacker quiser uma informação que está guardada em um cofre e que somente uma pessoa tem acesso à esse cofre. O hacker irá convencer essa pessoa a abrir o cofre, ligar o computador, e passar a informação que ohacker deseja"
Esqueceu de citar também Engenharia Social, pois é também um dos principais fatores que contribuem para invasão de sistemas, técnicas de PNL são muito utéis quando se precisa de informações muito sigilosas.
As empresas também devem treinar o pessoal para evitar esse tipo de ataque
Luiz, como sempre, mandando ótimos artigos sobre segurança
Parabéns
[16] Comentário enviado por redhat2 em 03/05/2009 - 18:45h
Verdade o Brasil é um pais que tem hoje em dia um grande acesso a era digital mas são poucos que tem uma cultura digital,acha que internet é só brincadeira e não sabe que a internet na realidade é uma grande arma para pode se usada inclusiva com espionagem para uma gerra,roubo de informações,um grande exemplo é o que dono do artigo colocou a respeito de dados pela internet.
Parabéns pelo artigo excelente colocação feita pelo dono do artigo